Renfe ha enviado un mensaje a sus usuarios recomendándoles el cambio de sus contraseñas para “garantizar la seguridad de las compras” a través de su página web. Aunque la empresa justifica la petición en un cambio de la “política de contraseñas para hacerlas más seguras” en su comunicación oficial, un portavoz de Renfe ha explicado a eldiario.es que la solicitud llega tras detectar una “actividad inusual” en su web. La compañía aclara que los datos de pago de los usuarios no se han visto comprometidos.
“Renfe ha detectado una actividad inusual en algunos usuarios registrados en nuestra web, que podrían estar relacionados con el intento por terceros de hacer uso de las credenciales robadas en los últimos años de algunos conocidos sitios web”, ha expuesto. Esta “actividad inusual” no constituye “en ningún caso” una “brecha de seguridad”, asegura Renfe: “Tampoco afecta a datos de tarjetas de crédito o débito, porque la web de Renfe no almacena este tipo de información”.
La compañía recuerda que es otro servicio, Redsys, el que se encarga de la comunicación entre la página web de Renfe y la entidad bancaria del usuario para facilitar el pago de un billete. Por tanto, exponen las mismas fuentes, los datos de las tarjetas de crédito o débito no están expuestos ante un posible ataque a su web o brecha de seguridad.
El mensaje de Renfe en el que pedía a sus usuarios el cambio de contraseñas generó cierta extrañeza entre algunos de ellos, puesto que recomendaba modificarla aunque la clave antigua ya cumpliera las nuevas medias de seguridad obligatorias (tener entre ocho y 16 caracteres e incluir números, mayúsculas y minúsculas). “Debido a este cambio de política de contraseñas le animamos a que, aunque la suya ya cumpla estos requisitos, la cambie en cualquier caso”, se lee en su comunicación.
Fuentes de la compañía niegan que la recomendación tenga que ver con la sospecha de que alguno de los intentos de ingresar en la web con contraseñas robadas haya tenido éxito. “Renfe ha decidido reforzar la seguridad de la navegación cambiando su política de contraseñas con requerimientos que se han convertido en el estándar básico de casi todas las webs. Dado que Renfe no puede verificar si una contraseña existente ya cumplía esos requerimientos (porque sólo su propietario tiene conocimiento de la misma), ha pedido el cambio general de contraseñas”, aclara.
Página web problemática en constante rediseño
La página web de Renfe es una de las más usadas de España, con 153 millones de visitas en 2018. Sin embargo, los problemas de funcionamiento y usabilidad han sido recurrentes desde que se incluyó la opción de compra online de billetes. La compañía anunció en febrero que invertirá 700.000 euros en renovarla, tras varios procesos en los que han participado empresas como Indra o Accenture y se invirtieron, como mínimo, 11,5 millones de euros.
Uno de los principales fallos de funcionamiento sucedió mensualmente en 2017, cuando Renfe celebró los 25 años de servicios de Ave. Con motivo de este aniversario, la compañía ofertó billetes a 25 euros el día 25 de cada mes, que se convirtió en una serie de caídas del servidor cada vez que se ponía en marcha la promoción de billetes rebajados. FACUA calificó de “inaceptable” que la operadora fuera “incapaz de evitar el colapso de su web” un mes tras otro.