Internet

Tras el test de velocidad falso, Española de Telefonía expone credenciales de administración públicamente

Hombre preocupado por ciberseguridad frente a laptop con candado roto y red de internet comprometida.

🤖 ¡Rebajas! ¡Robot aspirador Lefant M5 Pro desploma su precio un 72%! [ Saber más ]

La operadora Española de Telefonía vuelve a protagonizar una nueva polémica relacionada con su página web. Tras las acusaciones recientes sobre un test de velocidad falso en su página web, ahora la compañía habría dejado accesible públicamente un fichero de configuración .env que contenía credenciales de administración y parámetros internos de su web.

El hallazgo fue compartido por Marcos BL en X, donde mostró una captura del archivo accesible desde el dominio de la compañía. En ese fichero aparecían variables de entorno asociadas al panel de administración, incluyendo un usuario administrador y el hash de una contraseña.

La situación resulta especialmente delicada porque los archivos .env suelen contener información sensible de una aplicación web. Normalmente se utilizan para guardar claves, credenciales, rutas internas, configuraciones de servicios y otros datos que nunca deberían quedar expuestos al público.

 

Un fichero `.env` accesible desde la web

Según la captura compartida en redes, el archivo incluía una sección denominada “Credenciales del Administrador”, donde aparecía un usuario con permisos de administración y un hash de contraseña.

Aunque el archivo no mostraba la contraseña directamente en texto plano, el hash habría sido identificado como correspondiente a una clave extremadamente débil: admin123.

Este detalle agrava el incidente. El uso de contraseñas simples y predecibles en cuentas administrativas supone un riesgo importante, especialmente si además la información necesaria para identificar el usuario y el hash queda publicada en Internet.

El fichero ya ha sido retirado de la página web.

 

 

Qué es un archivo `.env` y por qué no debe ser público

Un archivo .env es un fichero de configuración muy utilizado en desarrollos web modernos. Su función es almacenar variables de entorno que la aplicación necesita para funcionar.

En muchos proyectos, este tipo de archivo puede incluir datos como claves de API, contraseñas de bases de datos, usuarios administrativos, rutas internas, tokens de servicios externos o configuraciones privadas.

Precisamente por eso, nunca debería estar servido públicamente por el servidor web. Si un atacante puede consultar ese archivo desde el navegador, podría obtener información suficiente para comprometer la aplicación, acceder a paneles internos o conocer detalles de la infraestructura.

En este caso concreto, la exposición resulta llamativa porque afectaría a una operadora de telecomunicaciones, un sector en el que la seguridad y la confianza deberían ser especialmente críticas.

 

La contraseña habría sido “admin123”

Uno de los puntos más preocupantes del hallazgo es que el hash de la contraseña administrativa habría sido descifrado y correspondería a admin123.

Se trata de una contraseña muy débil, fácilmente predecible y habitual en ejemplos, pruebas internas o configuraciones temporales. Su uso en un entorno real, especialmente asociado a un usuario administrador, supone una mala práctica de seguridad.

Aunque el hash estaba generado con bcrypt, un algoritmo robusto para almacenar contraseñas, la fortaleza del sistema depende también de la complejidad de la clave original. Si la contraseña es demasiado simple, el hash no evita que pueda ser descubierta mediante ataques de diccionario.

En otras palabras: no basta con usar un buen algoritmo de hash si la contraseña elegida es trivial.

 

La polémica llega tras el supuesto test de velocidad falso

Este nuevo incidente no llega en el mejor momento para Española de Telefonía. La compañía ya había sido señalada recientemente por el funcionamiento de su test de velocidad online, que aparentemente no realizaba una medición real de la conexión del usuario.

El supuesto test generaba resultados aleatorios mediante código JavaScript, en lugar de medir realmente la velocidad de subida, bajada o latencia de la conexión. El análisis apuntaba a que la herramienta podía mostrar cifras distintas en cada ejecución e incluso funcionar sin tráfico de red real, lo que ponía en duda su utilidad como prueba técnica.

La operadora, que ha ganado notoriedad por su estrategia de marketing y por contar con la imagen pública de Bertín Osborne, ofrecía ese test como parte de un proceso orientado a recomendar tarifas de fibra. Según la información publicada, los resultados aleatorios podían inducir al usuario a pensar que su conexión era peor de lo que realmente era.

 

Un problema de seguridad y de confianza

La exposición de credenciales administrativas no es solo un fallo técnico. También es un problema de confianza.

Cuando una empresa que ofrece servicios de telecomunicaciones deja accesible un archivo de configuración sensible, transmite una imagen preocupante sobre sus controles internos, sus procesos de despliegue y su revisión de seguridad.

El hecho de que la contraseña asociada al administrador fuera presuntamente tan débil aumenta todavía más las dudas. En un entorno profesional, las cuentas administrativas deberían estar protegidas con contraseñas largas, únicas, aleatorias y, preferiblemente, con autenticación multifactor.

Además, este tipo de incidentes obliga a actuar con rapidez. No basta con retirar el archivo expuesto: también es necesario rotar credenciales, revisar accesos, comprobar registros, invalidar sesiones activas y analizar si alguien pudo acceder al sistema durante el tiempo en el que el fichero estuvo disponible.

 

Una cadena de errores demasiado visible

El caso de Española de Telefonía empieza a acumular demasiados episodios polémicos en muy poco tiempo.

Primero fue el supuesto test de velocidad que no medía realmente la conexión. Ahora, la exposición de un archivo .env con credenciales administrativas y una contraseña débil.

Ambos casos tienen un punto en común: afectan directamente a la percepción de fiabilidad técnica de la compañía. Y para una operadora de telecomunicaciones, esa percepción es fundamental.

Los usuarios no solo contratan una tarifa de fibra o móvil por el precio. También confían en que la empresa que gestiona su conexión, sus datos y su atención técnica tenga unos mínimos de seriedad, seguridad y transparencia.

🤖 ¡Rebajas! ¡Robot aspirador Lefant M5 Pro desploma su precio un 72%! [ Saber más ]

¿Cuál es tu reacción?
Sorprendido
0%
Feliz
0%
Indiferente
0%
Triste
0%
Enfadado
0%
Aburrido
0%
Incrédulo
0%
¡Buen trabajo!
0%
✏️ Ver comentarios
Sobre el Autor
Luis A.
Luis es el creador y editor jefe de Teknófilo. Se aficionó a la tecnología con un Commodore 64 e hizo sus pinitos programando gracias a los míticos libros de 🛒 'BASIC para niños' con 11 años. Con el paso de los años, la afición a los ordenadores se ha extendido a cualquier cacharrito que tenga una pantalla y CPU.
Comentarios
Deja un comentario

Deja un comentario