Ninguna web parece ser lo suficientemente segura o grande como para tener problemas de seguridad. La última de ellas habría sido Renfe, la principal operadora ferroviaria de España. Según ha comunicado en un email que está enviado a todos sus usuarios y lo que ha comunicado uno de sus portavoz, la compañía habría detectado “actividad inusual” en su web.

Renfe afirma que están probando contraseñas robadas en otros servicios con la web de Renfe

Esta actividad inusual es la que habría hecho que Renfe tome la decisión de comunicar a sus usuarios que cambien sus contraseñas “para garantizar la seguridad de sus compras” en su página web. En el email no se habla de un posible hackeo o de la detección de actividad inusual, sino que intentan esconderlo diciendo que “ha habido un cambio en la política de contraseñas para hacerlas más seguras”, exigiendo entre 8 y 16 caracteres que tengan al menos una mayúscula, una minúscula y un número.

Sin embargo, un portavoz de Renfe ha dado más información a eldiario.es al respecto, y afirma que esta política de cambio de contraseñas llega tras haber detectado una actividad inusual en la web, donde aclaran que en ningún momento se han puesto en peligro los datos de los usuarios.

Esta actividad inusual tendría que ver con la utilización de credenciales robadas previamente de otros servicios, y que los hackers estarían probando en la web de Renfe para intentar obtener acceso y robar datos personales, e incluso de pago. Por ello, Renfe simplemente se ha limitado a recomendar a todos sus usuarios que cambien las contraseñas, y que no usen las que ya utilicen en otros servicios; sobre todo en aquellos que han sufrido hackeos y robos de credenciales.

Renfe no tiene constancia de que los intentos de acceso hayan tenido éxito

En el caso de que haya habido algunos accesos a cuentas, los datos de pago no se han puesto en peligro, ya que éstos no se almacenan en la web de Renfe, sino en la de Redsys que es la que hace de intermediario entre Renfe y la entidad bancaria para realizar las compras.

Esta manera de comunicar el fallo de seguridad es realmente curiosa, porque algunos usuarios que han recibido el email ya tenían una contraseña que cumplía con los “nuevos” requisitos. Sin embargo, como ellos no saben cuál es la longitud de la contraseña real ni si cumple los nuevos requisitos (ya que va cifrada), han decidido enviar el email a todos los usuarios. De momento, afirman que ninguno de los intentos de acceso ilícitos con credenciales robadas ha tenido éxito, pero al menos sí han detectado actividad ilícita.

Renfe.com es la 143º más visitada de España, con 153 millones de visitas en 2018. Tradicionalmente ha sido objeto de mofa y escarnio debido a su mal funcionamiento, saturándose fácilmente con situaciones como la venta de billetes de AVE a 25 euros en 2017 y 2018. Esto motivó que la compañía anunciase en febrero que van a invertir 700.00 euros en renovarla.