Si has cancelado tu cuenta de Netflix pero, al cabo de un tiempo, recibes un cargo en el banco con una nueva suscripción, acabas de ser víctima de un hackeo. Los hackers están reactivando cuentas canceladas de Netflix sin el permiso de sus dueños.
Los ciberdelincuentes son expertos en aprovecharse de los fallos de seguridad de las compañías, y de la negligencia y la dejadez de los usuarios. Cuando se juntan las dos cosas, es el escenario perfecto para disfrutar de Netflix por la cara...
Según cuenta la BBC, en una noticia que nos llega a través de TICbeat, hace unas semanas usuarios de Netflix denunciaron en Twitter que habían recibido cargos en el banco de cuentas de Netflix que habían cancelado meses antes. Además Netflix se negaba a reembolsar el cargo:
Super disappointed with my @netflix customer service experience. Our account was hacked, supposed to have been deactivated, was reactivated by hacker, and continued to use our credit card. We were told to file chargeback and @netflix would not offer refund.



¿Qué es lo que ha pasado? Resulta que, cuando cancelas una cuenta, Netflix guarda tus datos bancarios (o Paypal) durante 10 meses, por si te arrepientes, para que puedas reiniciar tu suscripción rápidamente sin tener que volver a meter todos tus datos.
De alguna manera los hackers se apropian de contraseñas de cuentas canceladas, bien con un malware, o phishing, o porque era una cuenta compartida. Es uno de los peligros de compartir cuenta de Netflix con desconocidos o amigos poco fiables.
Con la contraseña en su poder, los ciberdelincuentes ha podido reactivar la cuenta caducada de Netflix sin tener que reintroducir los datos. Pero la cuestión es, ¿por qué el dueño no se ha dado cuenta de esta reactivación? ¿Por qué Netflix se niega a devolver el dinero tras la reactivación?
En primer lugar, hay una negligencia del usuario. Cuando alguien reactiva una cuenta cancelada en un dispositivo desconocido por Netflix (el de los hackers), el usuario original de la cuenta recibe un aviso en su email o móvil. Si el cobro es por PayPal, también recibe otro aviso inmediato.
Netflix argumenta que es responsabilidad del usuario atender los avisos de seguridad. Si no hace caso asume que la reactivación la ha llevado a cabo el dueño de la cuenta en un dispositivo nuevo. No tiene forma de saber si la cuenta la ha reactivado el dueño, u otra persona.
Sin embargo, la seguridad de Netflix en este aspecto es mejorable. En primer lugar, hay que cuestionar que guarde los datos de pago de los usuarios diez meses después de la cancelación.
Además este problema se podría evitar de forma muy sencilla, simplemente enviando un SMS con un código de comprobación al móvil del dueño de la cuenta, durante una reactivación de cuenta cancelada. De estar forma los hackers no podrían entrar en la cuenta cancelada, salvo que hayan robado físicamente también el móvil.