Mi historia con 1&1! [Cuidado]

Buenas, os quiero comentar lo ultimo que me ha pasado con 1&1 que ya es donde ha sido la ultima gota del vaso.

Creo que ya todos sabéis que 1&1 es creo que la única empresa que te lo pone muy difícil a la hora de pagar, el tema de la renovación automática por defecto sin aviso y sin algún "checkbox" para ello, etc.

Con 1&1 solamente tenia unos 10/15 dominós, mas que nada porque el servicio que dan no es uno de los mejores respecto a servidores dedicados y/o servidores virtuales. Al tener todo configurado en el tema de los dominios, no es necesario conectarse muy a menudo debido a que no hay que hacer cambios, resulta que hace como 3 semanas me encuentro con una factura pendiente de cobro en paypal de 237€ por parte de 1&1 Internet España, fue un verdadero susto, trato de dirigirme al área de clientes de 1&1 y doy con la sorpresa de que la contraseña es invalida, trato de restablecer el correo y me doy cuenta de que el correo a donde se mandara el restablecimiento no es el mio.

En definitiva, me acaban de quitar la cuenta... Llamo a 1&1 para que me den una solución y resulta de que después de 30 minutos de espera al teléfono, me dicen que no, que he sido yo quien ha cambiado los datos y que la factura de 237€ es por un servidor cloud que yo había contratado desde el mes de octubre y que para solicitar un cambio de correo o cualquier otra cosa, tengo que mandar un correo a facturacio@.... con una declaración echa a mano junto a una copia de mi DNI.

Como comprenderán hasta entonces el tal "Ahmed" quien es el propietario de mi cuenta (según me han comentado ellos) supuestamente seguirá administrando mi cuenta con todos los dominios que por desgracia son bastante importantes para mi.

La única solución rápida que he encontrado es el traslado, gracias que los dominios .es se trasladan muy rápido(en cuestión de minutos) pero los .net y .com tardan hasta una semana y tuve que hacer varias llamadas a 1&1 para que me quiten el bloqueo de transferencia y me manden los códigos de autorización.

Para aclarar, si alguien consigue tu contraseña, puede cambiar el corre, los datos de la cuenta y todo lo demás sin que tu te enteres, 1&1 no tienen ningún tipo de seguridad respecto a esto y me he dado cuenta en los últimos días.

Creo que es la peor experiencia que he tenido respecto a Internet y robo de cuentas.

Desde ya, tener mucho cuidado con 1&1


Saludos

 

Una búsqueda de reputación previa te habría ahorrado regalar un solo céntimo a esa empresa... Siento decirlo así pero es la verdad.

 

¿No tienen un filtro adicional o capas de seguridad extra? ¿PIN, preguntas de seguridad, two factors o algo así implementado?

¿No bloquearon la cuenta en cuanto recibieron la disputa por tu parte?

 

Te entiendo, pero llevo con los dominios desde 2010 con ellos, me dieron algunos dolores de cabeza con los cobros pero bueno, ahí iba. Lo que no me imaginaba que en caso de robo, prácticamente no hacer nada! Llevo muchísimos dominios en namecheap, ovh, goddady y dondominio, que me hallan hackeado es muy poco probable, suelo vigilar todo eso. Donde me han quitado los datos ha sido en 1&1 solamente, lo que me hace pensar que probablemente 1&1 tenga un grave problema de seguridad.

Esta historia la he publicado especialmente por la seguridad de otros que quizás tienen servicios con ellos.

 

Nada de nada, han cambiado mi correo y mi contraseña y la única forma de recuperarlo es hacer por escrito una solicitud de cambio junto a fotocopia del dni, mandarlo por correo y esperar que ellos decidan. Mientras tanto el ladrón puede hacer una fiesta en mi cuenta... Me río por no llorar

Y no, no bloquearon la cuenta...

 

Gracias a Namecheap que después de una conversación por soporte me ayudaron con el traspaso rápido de los dominios .net y .com que por lo general tardan una semana en trasladar, yo he conseguido trasladarlo todo hoy mismo.

 

Pues la normativa europea y por ende la española se va a poner muy dura este 2018.

 

Después de lo que me ha pasado, mañana tengo cita con ocu y con un amigo abogado para una próxima denuncia de protección de datos y lo sucedido con 1&1. Me parece increíble que alguien se conecte con tu cuenta(incluso si los datos se los doy yo) que pueda cambiar la contraseña y el correo electrónico sin que tú te enteres de absolutamente nada y que cuando trates de rescatar tu cuenta pues te lleves la sorpresa del papeleo que te pone a hacer 1&1

 

El caso es que probablemente lo tendrán bien atado en las condiciones de uso. Eso si, debemos de ser justos, el usuario final no debe dejar nunca acceso a su cuenta administrativa, para ello supongo que se podrán crear subcuentas con ciertos roles o permisos (por ejemlplo para tu contable). De todas maneras, hay que decir que el procedimiento de autenticación es normal cuando se produce una disputa, no es quitarle hierro, es que simplemente es así, pero también es cierto, que ese procedimiento debe ir acompañado del bloqueo temporal de la cuenta hasta que se resuelva el asunto, es de libro. En cualquier caso, los hechos se podían haber evitado añadiendo esas capas que comentamos anteriormente, o simplemente evitando que el usuario pueda cambiar el email de su cuenta sin la verificación del proveedor.

Es un hecho que el escenario se puede volver a producir con ese proveedor si no toman medidas al respecto.

 

A mis cuentas solamente tengo acceso yo y solamente yo, nunca he dado acceso a las cuentas personales a nadie, tengo mucho cuidado con eso, principalmente porque soy SySAdmin y se lo que significa la seguridad. El ejemplo que puse era el más simple, en ningún caso yo he dado mis datos a nadie, se supone que si realmente me hayan hackeado a mi, desde luego no hubiera sido solo 1&1 donde habrían entrado. La cuestion fue que todo este cambio se hizo en octubre cuando yo nisiquera me llegue a conectar a 1&1. Es a donde quiero llegar, de lo que recuerdo, la última vez que me conecte a la cuenta de 1&1 ha sido en julio 2017 y no volví a conectarme hasta hace 3 semanas que fue cuando me encontré con la factura de 237€. Con esto también estoy poniendo en duda la integridad de la seguridad de 1&1, ya que al no tener el sistema de seguridad a un nivel más elevado, puede que haya habido una filtración de datos, lamentablemente no puedo asegurar nada de lo que estoy diciendo, solo son suposiciones.

 

En mi opinión es una cuestión de sentido común. Solo puede asegurar que ha habido una vulneración a un nivel más elevado si es un grupo el afectado, es decir, "numerosos los afectados".

Si solo has sido tu el afectado, el problema se encuentra en otro lado.

Saludos,

 

A eso me refiero, mi intención es saber si a alguien más le ha pasado.

 

Si el afectado no ha enviado dicha carta manuscrita, donde el ISP pueda verificar la identidad real del propietario, no tiene sentido que bloqueen nada.

 

Pero si se ve perfectamente que todos los cambios se han echo el mes de octubre, es un poco raro no? Desde 2010 no se hizo ningún cambio de datos en mi cuenta, en octubre cambian prácticamente todos los datos, a nombre de un tal “Ahmed”, yo les decía que no hice ningún cambio y que no tengo acceso a mi propia cuenta, almenos podrían darme una solución rápida, no ponerme a hacer un papeleo que tardará días en revisar.

Yo desde luego no lo veo normal.

 

Que sea una situación rara no implica nada.

Es normal que te exijan datos como una carta manuscrita y copia del dni o facturas de luz/agua o cualquier otro sistema, para poder verificar la identidad del propietario de la cuenta.

Bien podría darse el caso que es una historia que te has inventado para no tener que pagar esa factura de 200 y pico euros. Ojo, no estoy diciendo que sea tu caso, pero hay mucho listillo por ahí suelto...

Además, si que ofrecen verificación en 2 pasos: https://www.1and1.es/digitalguide/c...acion-en-dos-pasos-proteccion-para-tu-cuenta/

El único responsable de que te hayan robado la cuenta, eres tú.

En mi opinión, 1and1 está actuando de forma correcta con este caso.

 

En mi opinión creo que no esta actuando de la manera correcta. Primero porque lo que pido es volver a poner los datos que la cuenta ha tenido desde hace mas de 5 años, no estoy pidiendo un cambio de datos nuevo, supongo que de por si, a mi me hackean, me hacen un phishing o cualquier otra cosa, pierdo mis datos de acceso, pido que me den una solución urgente, entiendo la parte de la factura, pero yo no les pedí eso en un principio, pido una solución a poder proteger los servicios que tengo con ustedes. Pido restablecer los datos que anteriormente habían.

Es evidente que yo también tengo culpa y no voy a hacerme el tonto ahora, pero, después de todas las experiencias, en cualquier sitio que llamas y comentas este tipo de problemas, creo que hay formas mucho mas rápidas de verificar si soy yo el verdadero titular de la cuenta, todos los dominios tenían mis datos, lo que a mi me pareció frustrante es que no me dieron absolutamente ninguna posibilidad de asegurar la cuenta y los productos que tengo hasta poder hacer los procesos que ellos me piden.

Si usted se encuentra con un usuario que avisa de que no tiene acceso a su cuenta, que se le ha cambiado el correo electrónico y que no tiene ninguna manera de poder recuperarla, creo que lo mas básico seria verificar los datos anteriores, cuando se cambiaron, desde que país, a que nombre, etc. El cliente te pido que restablezcas los datos que habían anteriormente o que le des una solución rápida para poner a salvo sus servicios. No creo que usted como empresa no hace algo al respecto que no sea enviar al cliente hacer un papeleo, mandarlo por correo donde casi en todos los casos te contestan después de mas de 24 horas. Nunca me ha pasado este tipo de cosas y no se como realmente funciona pero si estoy seguro que de la manera que 1&1 lo hizo desde luego que no.

 

Mira, no estoy totalmente de acuerdo con eso, y menos tratándose de ese proveedor. He partido de la base de que el cliente ha enviado esa reclamación por algún medio. Evidentemente si la reclamación no ha sido enviada, no hay bloqueo cautelar alguno con el que proceder, en eso no te quito la razón; pero lo que si esta claro, es que no deberían de permitirse cambios en ciertos datos de la cuenta del cliente sin verificación del proveedor, de manera telemática (ej. enlace de aprobación al correo del anterior titular o comprobación humana), como quieras hacerlo; y no hablemos de capas adicionales. Esto aumenta notablemente los niveles de seguridad y privacidad. Lo dicho, para poder echarle la culpa enteramente a tu cliente debes de colaborar y participar a esos niveles de seguridad pasiva y activa. Los proveedores tampoco nos la tenemos que dar de listillos en eso, ni actuar de manera corporativista. Eludes ciertas responsabilidades.

Saludos,

 

Siendo el caso de 1and1, entiendo perfectamente ese corporativismo. Ten en cuenta que el técnico de soporte en el mejor de los casos "solo" habrá gestionado 20-30 llamadas de soporte ese día y tiene que estar al quite de que quien le llama realmente es quien dice ser.

Te lo comento porque trabajé en el soporte de OVH durante 4 años y se de primera mano lo que es que te llame alguien haciéndose pasar por otra persona con el fin de robar información.

Y por eso las empresas tienen procedimientos bien definidos para estos casos de accesos a cuentas perdidas.

Lo que comentas puedes hacerlo cuando trabajas en una empresa pequeña, donde prácticamente conoces a todos tus clientes.

Insisto, cuando gestionas ese volumen de llamadas diarias, tienes que estar muy al loro porque te puedes encontrar de todo. Y bloquear una cuenta de un cliente, porque te ha llamado alguien que dice que es suya y se la han robado, pues como que no...

PD- Escribir una carta exponiendo el caso, firmarla y hacerle una foto con el movil a tu dni, son 15 minutos.

Envias el mail. Vuelves a llamar al soporte para decirles que lo revisen.
En 1h debería estar solucionado el problema.
Es lo que tardas en recuperar tu cuenta.

 

Que si, que habrás tratado con golfos, pero lo cortes no quita lo valiente. No creo que me hayas leido correctamente. En cambio la lectura que saco yo de todo lo que dices, es que el cliente se tiene que preocupar de tener a buen recaudo una sola clave, la de acceso a su área de cliente. ¿Una sola capa de seguridad, y los datos abiertos a cambios de cualquier tipo? Y joderse si lo hackean claro! Perdona, pero eso es una locura, aparte de violar ciertas conductas y normativas de seguridad! Esperate entonces al 2018, para que te pongan de vuelta y vuelta. Mira, hay que poner parte en ello como proveedor. No hablo de verificaciones posteriores al hackeo, hablo de evitarlo con cosas sencillas o de manera proactiva o pasiva. Es como permitir que el usuario intrduzca cambios de claves con niveles muy bajos de seguridad, una clave débil.

Lo que yo decía, y no me gusta que me tergiversen, es que se puede verificar perfectamente a un usuario real de manera telemática y automática, hay tecnología para ello; o simplemente bloquear el cambio de datos y que esos cambios se deban solicitar via ticket. Añadir filtros, capas adicionales, hay un sin fín de herramientas u opciones, unas más sencillas otras más sostificadas..

Como tu, nosotros hemos tratado con mucho listillo y sinvergüenza, por eso mismo hemos tomado las medidas de autenticación y permisos en el cambio de datos oportunas y van en ese sentido. Con más razón se deben tomar en una empresa grande. Este tema me atrajo porque llevamos tiempoe trabajando en ello, observando como el que te roba lo hace, para poner herramientas que lo eviten, en ocasiones lo más sencillo te arropa.

Ante un hackeo quedas en evidencia como proveedor, si no tomaste medidas tan sencillas como esas en ayuda pasiva a tus clientes, ya no hablo de capas adicionales.

Algo de autoridad tengo en ello, no son dos días en este mundillo. Lo dejo ahí, cada uno que haga lo que quiera como proveedor, tus clientes te eligen por ello..

 

Tengo que reconocer que han resuelto mis problemas y han cancelado la factura de 234€ una vez haya mandado la declaración.

Respecto a todo lo que he leído por aquí, se debe de comprender de que es muy apropiado lo que @copernico.es esta comentando, es muy fácil de acceder a los datos y cambiarlos sin tener tan siquiera una barrera de seguridad ante el robo de cuentas. USTEDES como proveedores deben de proteger al usuario, no decirle al usuario que se proteja el mismo.

Respecto a lo que esta diciendo @jmginer, justo por ese comportamiento tan corporativo muchos clientes eligen companias mas chicas o que tengan un poco mas de tacto con el cliente, elijen al cliente ser un profesional y saberlo todo, cuando no se dan cuenta que hay clientes que no tienen ese conocimiento.

Se que yo como cliente tengo la culpa, pero en parte ustedes como proveedores también, porque gracias a este tipo de casos, la gente habla mal.


Saludos