Pie de foto,

Muchas de las cuentas hackeadas tenían un 100% de fiabilidad y habían vendido cientos de productos.

El equipo de tecnología de la BBC identificó más de 100 páginas de productos dentro de eBay que fueron hackeadas para engañar a los compradores y robarles sus datos personales.

Los hackers «secuestraron» las cuentas de usuarios inocentes para hacer páginas de producto falsas, en las que ofrecían una variedad de productos, desde teléfonos inteligentes y televisiones hasta ropa y muebles de jardín.

Muchas de esas cuentas tenían un 100% de fiabilidad y habían vendido cientos de productos.

Cuando los usuarios hacían clic en una página de producto secuestrada eran redirigidos a otra de aspecto oficial, sofisticado, donde se le pedía a las víctimas que volvieran a iniciar sesión e ingresaran los datos bancarios.

Según el periodista Leo Kelion, del equipo de tecnología de la BBC, este fraude electrónico afectó fundamentalmente a usuarios y páginas de producto británicos, pero eso no significa que no pueda haber hackeos similares que tengan por objetivo a usuarios fuera del Reino Unido.

Varios analistas líderes de seguridad le pidieron a eBay que tome medidas inmediatas para garantizar la seguridad de los usuarios, mientras persiste el problema, que fue identificado por primera vez hace meses o incluso un año según algunos expertos.

¿En qué consiste el fraude?

Pie de foto,

Los usuarios se encontraron con esta página falsa que les demandaba datos personales.

La vulnerabilidad está en la posibilidad de incluir contenido con Javascript y Flash en las páginas de producto.

Con frecuencia los vendedores utilizan este método para hacer sus páginas más atractivas, incluyendo animación y otras características que llaman la atención del usuario.

Pero el uso de Javascript y Flash, según reconoció la propia eBay, aumenta significativamente la probabilidad de que se pueda incluir código malicioso dentro de las páginas de producto, mediante una técnica de hackeo conocida en inglés como cross-site scripting o XSS.

Como resultado, los usuarios que hacen clic en una página de producto de eBay que parece legítima son automáticamente redirigidos a una página maliciosa diseñada para robar la información, incluidos datos bancarios.

«Muchos de nuestros vendedores utilizan contenido activo como Javascript o Flash para hacer más rentables sus páginas de producto», dijo eBay un comunicado.

«Actualmente no está en nuestros planes retirar la opción de incluir contenido activo en eBay. Sin embargo, seguiremos revisando todo el contenido y las características del sitio dentro del contexto de los beneficios que le aportan a nuestros clientes y de la seguridad general del sitio».

Varios analistas criticaron esta posición, argumentando que eBay debería desabilitar las funciones de contenido activo mientras no puedan controlar los riesgos.

¿Cuándo sospechar?

Pie de foto,

«Los secuestros de cuentas normalmente ocurren a porque el usuario revela su nombre o contraseña», dice eBay.

La BBC habló con un usuario cuya cuenta fue hackeada con XSS.

Russell Dearlove, de York, en Inglaterra, contó que su cuenta había mostrado un «comportamiento extraño».

Dijo que había quedado temporalmente bloqueado de su cuenta y que algún desconocido había incluido nuevas páginas de producto.

«Recibí varios mensajes en mi correo que decían «Enhorabuena, has vendido tu iPad», cuando yo no tenía ningún iPad que vender», le dijo a la BBC.

«Le escribí a eBay para decir que algo no iba bien. No recibí ninguna respuesta pero sí un balance que decía que le debía unos US$57», según Dearlove por los productos vendidos.

En respuesta al caso de Dearlove eBay dijo que «los secuestros de cuentas normalmente ocurren a consecuencia de que el usuario revela su nombre de usuario o contraseña».

Desafortunadamente es una práctica habitual de los criminales el explotar marcas conocidas y de confianza como eBay para atraer consumidores y después llevarlos a páginas falsas o a situaciones fraudulentas».

Según el periodista Leo Kelion, es difícil a nivel individual tomar medidas concretas para evitar este tipo de fraude, ya que se trata en este caso de un problema de programación que eBay debe solucionar para garantizar la seguridad de sus usuarios.

No obstante, recomienda sospechar cuando la dirección de la página de producto cambia y ya no es de eBay y cuando el usuario tiene que volver a ingresar sus datos personales o datos bancarios.

Lo más vendido de tecnología informática

Bestseller No. 1
HP 15s-eq1075ns - Ordenador portátil de 15.6" FullHD (Athlon 3050U, 8GB de RAM, 256GB SSD, Amd Radeon Integrated Graphics, Sin sistema operativo ) Plata - teclado QWERTY Español
  • Pantalla de 15.6" FullHD
  • Procesador Athlon 3050U
  • 8GB de memoria RAM
  • Almacenamiento de 256GB SSD
  • Tarjeta gráfica Integrada Amd Radeon Integrated Graphics
Bestseller No. 2
Law & Order: Special Victims Unit - Season 13
  • Amazon Prime Video (Video on Demand)
  • Mariska Hargitay, Kelli Giddish, Danny Pino (Actors)
Bestseller No. 3
Law & Order: Special Victims Unit - Season 11
  • Amazon Prime Video (Video on Demand)
  • Mariska Hargitay, Christopher Meloni, Richard Belzer (Actors)
Bestseller No. 4
Law & Order: Special Victims Unit - Season 12
  • Amazon Prime Video (Video on Demand)
  • Christopher Meloni, Mariska Hargitay, Richard Belzer (Actors)
Bestseller No. 5
Law & Order: Criminal Intent
  • Amazon Prime Video (Video on Demand)
  • Vincent D'Onofrio, Kathryn Erbe, Jamey Sheridan (Actors)

Fuente original