cuentas cruzadas limbo gdpr

Estaba el otro día escuchando a Eduo y a Alex Barredo en el podcast Hacía Falta (ES) que tienen juntos, y hubo un tema que me pareció especialmente interesante (solo uno G.G).

Al parecer, Eduo estuvo varios meses con problemas para acceder a su cuenta de Electronic Arts.

El tema es que había creado su cuenta hace siglos, cuando aún sacaban, supongo, juegos de Star Wars para Mac, y con esto del cierre de Google Stadia y el auge de servicios en la nube como GeForce Now o XCloud, se encontró con la necesidad de recuperar el acceso a su cuenta para poder reclamar el acceso a sus juegos fuera de la plataforma.

Vamos, a todos en más de una ocasión nos ha ocurrido últimamente de que para jugar (y que se guarde en la nube el juego de turno) ya no solo necesitamos cuenta en el servicio donde estamos jugando, sino también en la plataforma cloud de la empresa que está detrás del título.

Bandai lo hace, Capcom lo hace,… y EA también lo hace.

Hasta aquí todo normal.

Sin embargo, al intentar meter las credenciales de acceso, la plataforma le devolvía un bonito «La cuenta no está disponible».

Y si intentaba recuperar contraseña, el servicio le alertaba que le habían enviado un email para resetear su contraseña a un «correo» de error de EA.

Vamos, que su cuenta se había quedado en un limbo.

El problema de las bases de datos cruzadas

Para colmo, tampoco podía crear una nueva cuenta con ese correo, porque según el sistema, ese correo estaba asociado a una cuenta.

Por supuesto, todos los canales de soporte de la compañía le re-dirigían a los mismos enlaces y formularios, entrando en un bucle:

  • Para recuperar su cuenta, debía resetear la contraseña.
  • Pero no podía resetear la contraseña porque parecía que el sistema de reseteo de contraseña no tenía ya acceso a esa cuenta antigua.
  • Tampoco podía identificarse con ella, aún sabiendo el usuario y la contraseña, porque la cuenta estaba deshabilitada.
  • Y tampoco podía crearse una nueva si no era con otro correo, ya que el sistema de creación de cuentas sí identifica que ese email había sido usado para crear una cuenta.

Los de soporte no podían tampoco ayudarle. Como bien comentaba Eduo, la mayoría de estos perfiles de soporte no tienen realmente ni los conocimientos ni las herramientas para dar solución a problemas como este, pidiéndole una y otra vez que hiciera los pasos anteriormente citados, y que ya habían demostrado ser inútiles.

La GDPR al rescate

¿Qué se le ocurrió al bueno de Eduo? Pues mandarles un mail al correo de cumplimiento de la ley de protección de datos personales de Europa. De la GDPR, vaya, en el que les amenazaba con demandarlos por estar almacenando datos personales suyos y no dándole la opción de eliminarlos y/o modificarlos.

Pues oye, dicho y hecho.

Al poco ya se había puesto en contacto el encargado de tratamiento de datos personales de EA Europa para revisar su caso. Unos cuantos emails pidiéndole por escrito (como prueba) que él era quien decía ser (quién si no iba a estar escribiendo con el mismo email…), y misterio resuelto.

Ya podía acceder a su cuenta antigua.

A esto hemos llegado

La historia no es más que una anécdota de lo absurdo que a veces llega a volverse el acceso cruzado a bases de datos en grandes compañías como puede ser EA.

Conformen van cambiando y actualizando sus plataformas, hay partes de las mismas que se quedan obsoletas, y no es raro que se generen conflictos con variables a las que deben seguir teniendo acceso clientes antiguos.

Lo peor de todo es que algo falla cuando el equipo de soporte, que en teoría tiene que ser el encargado de poder solventar estos problemas, no tiene ni la capacidad ni los conocimientos para hacerlo, y al cliente no le queda otra que «demandar» a la empresa escudándose en los aspectos legales del uso de sus datos personales.

Estaba escuchando a Eduo relatarlo, y no podía hacer otra cosa que recordar la que tuve que vivir con varios ingenieros de nivel dos de Google para intentar recuperar el acceso a una cuenta de Youtube de un cliente, y que ya conté por estos lares.

Básicamente, ellos no podían hacer nada al haberse quedado su cuenta personal en un limbo informático. Y lo que me dijeron, literalmente, es que no me iba a quedar otra que hackear el sistema de logging para poder acceder.

Los propios ingenieros de Google recomendándome hackear su sistema para recuperar acceso a una cuenta de un cliente.

No es broma, tenemos hasta el correo con un PDF firmado que nos hicieron desde la compañía para que pudiéramos con él hacer un ataque de ingeniería social a la empresa de telecomunicaciones, y desde ahí, poder acceder al número de teléfono asociado a la cuenta en cuestión.

Y algo mismo estoy viviendo estos días con otra cuenta, esta vez de Google Ads. Al parecer, yo, como administrador de la cuenta, no puedo auto-expulsarme de cuentas de ex-clientes que ya tienen otros administradores, teniendo que ver sí o sí en mi perfil cómo estas cuentas no están siendo gestionadas por los nuevos gestores, afectándome a la optimización global de mi cuenta.

Los únicos que pueden echarme son los actuales gestores. Pero es que no quieren o no saben (tengo tres, y dos de ellos ya me reconocieron que no saben cómo hacerlo) hacerlo.

¿En qué cabeza cabe que el propietario de una cuenta no pueda decidir si quiere o no seguir teniendo acceso a cuentas de terceros? Pues eso mismo me está pasando, y para alguien tan metodológico como un servidor, es un problemón diario.

Así que lo mismo les mando una querella por mala praxis en el uso de mis datos personales, que están actualmente asociados a cuentas de ex-clientes a los que ya no debería poder acceder.

Lo mismo así ya pueden quitarme el acceso…

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.