Entrevista a una víctima del extra de seguridad de Mobile Authenticator

Escrito el 17 junio, 2009 por Burroughs

Hoy os traigo algo que, junto con este artículo de WoW.com Save your Authenticator serial number before upgrading your iPhone, se convierte en un ejemplo clarísimo de una mala estrategia (o muy buena) de cómo hacer portable un servicio independientemente de si compras el aparatito o no.

El caso es que al hacer la migración a la aplicación para iPhone, la Mobile Authenticator, lo ideal es guardarse el serial inicial.

¿Por qué? Pues porque al instalar la aplicación se te pide ese dato y de romperse, perderse o mal funcionar el iPhone, deberás volver a proporcionarlo. Además, si cambia el serial del dispositivo móvil, lo que puede ocurrir si nos pegan el cambiazo en el servicio técnico, también podemos tener problemas con el servicio de Authenticator, como un doble candado a la puerta de los que pueden intentar aprovecharse.

Por mucho que el sentido común sea una herramienta a la alcance de todo el mundo, la gente no siempre tiene claro cómo funcionan los mecanismos de seguridad en Internet, y si no se hace mención de esta clase de cosas como advertencia y encontraremos con que, muerto el iPhone, se acabó la cuenta.

Insisto: la idea es buena, pero quizá fuera necesario especificar más cómo funciona para todos los públicos y evitar perder miles de cuentas por hacer pensar al consumidor que es algo unilateral de la compañía. Y eso es lo que parece el servicio desde un punto de vista publicitario.

Me encontré con un caso así en IRC, en el canal #world_of_warcraft e hice una entrevista al afectado. Por privacidad, el usuario me ha pedido que no muestre su nick o la cuenta comprometida y, por el formato, he reorganizado el log para que sea más sencillo de leer. Aparecen algunos interlocutores que he mantenido activos por respeto al orden y la autoría de las preguntas o las anotaciones.

Durante la entrevista surgen varios puntos importantes que comentaré en cursiva como claves para poder recuperar ese serial y la cuenta en caso de sucedernos algo parecido ¡Tomen nota si tienen iPhone, señores y espero que les guste!

Afectado: Se me rompió el iPhone, por lo tanto, me he quedado sin Authenticator y he perdido la cuenta.

Burroughs: ¿Qué problema, no? ¿Qué has hecho para intentar recuperarla?
Envié un correo a Blizzard hace 5 días y aún sigo esperando respuesta.

Ahya: Tranquilo te contestaran en 3 meses
¡Tres meses! –Golpea su cabeza contra el escritorio–. Pensé en llamar hoy, pero me decía que el tiempo de espera era de unos treinta minutos, así que pasé.

Ahya: te has metido en el foro? Suelen contestar antes.
Para el foro necesito el Authenticator. Ya sabía yo que era mala idea… Prefiero que un vendedor de oro me robe la moto a quedarme sin cuenta por culpa del iPhone, en serio.

Burroughs: ¿Cómo de cuánto se te partió el iPhone?
La batería se murió, lo mandé a reparar y me dieron uno nuevo, y al ser un número distinto de serie, el Authenticator ya no vale.

Esto es algo que no aparece especificado en ningún lado al contratar un Authenticator (al menos, no lo he encontrado) y creo que es de per se un fallo bastante grave en el diseño de la estrategia de seguridad del Authenticator

¿Tampoco guardaste el serial del Authenticator?
No.

Tómatelo con calma, entonces ¿Has insistido a Blizzard?
Blizzard pasa tres kilos. Además, con esa EULA que cambia cada dos semanas seguramente pondrán algo como que si se rompe el iPhone tendrás que pagarnos multa *risas*

Hombre, en mi experiencia previa como administrador, ser desconfiado es la mejor manera de asegurar algo, así que supongo que, como mínimo, te tocará responder a doce mil preguntas.
Eso fue otra cosa. Me preguntaron el serial y no sabía a cuál se referían. Les digo: ¿El del trial? ¿El de TBC? ¿El de WotLK? ¿Cuál? ¡Y me respondían sólo “tu serial”! Uno se queda diciendo “pues vale”, con esa actitud.

Guardarse el serial del Authenticator es la madre del cordero, pues.
Hmm. Lo mejor fue “¿Cuál es tu respuesta a la pregunta secreta?” Que me dejó diciéndole “Pregúntame la pregunta ¿no?”. Sé que debe ser una de estas tres cosas: Donde nací, mi primera mascota o el apellido de soltera de mi madre. Así que, llamando, quizá pueda ir probando, no sé. Quizá me venga bien desintoxicarme, que desde TBC, son muchas horas al día, durante muchos días.

Lo malo de esto es que dejo de entrar justo cuando me dan el puesto de MT en mi guild. El día que me den mi cuenta ¡me tendré que mudar de reino por vergüenza!

Como hemos visto, Blizzard adopta una postura conservadora para evitar que cualquiera pueda reventar una contraseña o una cuenta que no sea la suya. Es común cuando nos enfrentamos con empresas más o menos grandes y con pegada en Internet esta clase de situaciones en las que se da por sentado qué datos pedimos. Quizá sería necesaria más claridad en el trato. No todo el mundo debe dar por sentado de qué se habla –aumentando la probabilidad de suplantación de identidad con ambigüedades–, y acotar mejor la comunicación entre empresa y cliente es útil para llegar a una resolución que satisfaga ambas partes.

Por otro lado, siempre, siempre, siempre guardad los datos de seriales y pruebas de validación de todo aquello que compréis porque en el momento menos pensado lo necesitaréis. Recordad: ¡Murphy sabe fastidiarnos con eso!

No hombre ¿no hay modo de comunicarse con tus oficiales?
Sí, el Ventrilo.

Entonces avisarles, será lo mejor para evitar problemas y acusaciones más adelante.

De hecho, esto es algo que deberíamos hacer en primera instancia, inmediatamente antes o después de hablar con Blizzard. Tener sobre aviso a nuestra hermandad nos ahorrará varios problemas: que nuestros oficiales y líderes piensen que hemos tirado la toalla de mal modo, que nadie sepa de ti y quede tu puesto en cuarentena innecesariamente, que no puedan adaptarse rápidamente a la nueva situación.

Tal vez interese:

1. Entrevista a un timador
2. Varios resumenes de "azules", aviso de seguridad en IE7 y ¡4 nuevos fanart!
3. Seguridad bancaria