Los peligrosos mails de los clubes privados de compras

Ha estado muy atinado Juan Luis en su post sobre los fallos de seguridad que tienen las newsletteres de BuyVIp y otros clubes privados de compras.

Si estáis apuntados a alguno de ellos (BuyVip, privalia, Ofertix, Vente-Privée… ) estaréis acostumbrados a recibir muchísimos correos en los que anuncian las ofertas que tienen disponibles para ese día o esa semana. En estos correos vienen enlaces para entrar a las webs y pinchando en ellos entras identificado, como por arte de magia, sin haber dado tu usuario y contraseña; conseguir esto es técnicamente sencillo (la dirección en la que pinchas lleva incluida una clave que te identifica) pero si en otros sitios no se hace es por algo, por los problemas de seguridad que supone.

Imagina que entusiasmado por la oferta que te proponen reenvías el correo a una amiga, esa amiga pincha y listo, ya está identificada en BuyVip con TU usuario y por tanto con acceso a tus datos personales (nombre, dirección, edad…) y también a la lista de pedidos (¿recuerdas aquella prenda que compraste para regalarle por su cumpleaños?, pues dejó de ser sorpresa, ¿y aquella vez que decidiste comprarte un juguete erótico para dar una sorpresa a tu pareja? pues tu amiga sí que se ha llevado una sorpresa).

Y el peligro no es solo ese; el correo electrónico, tal y como lo usamos la mayoría, es un sistema de comunicación poco seguro, el contenido de los mails viaja de servidor en servidor con su contenido “en claro”, sin cifrar. Cualquiera con acceso a esos servidores, o un “juanker” que instale un sniffer podrá leer esos correos y por tanto acceder a nuestras cuentas en estas webs de compras.

He podido comprobar que este mal comportamiento lo tienen, al menos, BuyVip, VipVenta y Ofertix. En el lado “correcto” Privalia, al menos en los correos que tengo guardados, sí te obliga a introducir usuario y contraseña.

El motivo de que utilicen este sistema de identificación es la búsqueda de la compra compulsiva, no quieren que se se te pasen las ganas de comprar en lo que recuerdas e introduces tu usuario y contraseñas (cada click de más que fuerzas a un cliente es una nueva oportunidad de que no llegue a terminar la compra), pero si de verdad queremos que el comercio electrónico ocupe el lugar que por comodidad que le corresponde, la seguridad debe ser una prioridad.

Esta misma semana se ha sabido que otra web de compras, que opera en Latino América, Geelbe, ha sido atacada, aparentemente por falta de rigor de sus administradores, y han robado las cuentas de correo y contraseñas de todos los usuarios, algo peligrosísimo si no llevamos una buena política de contraseñas para Internet.

Confiemos en que cambien de método de identificación, yo mientras tanto, he desactivado la recepción de emails en todas ellas, si me entran ganas de comprar algo ya iré a la web a identificarme. Y sobretodo, no reenviéis correos que os manden desde estas webs.

Foto original de blackheartking.com (xtyler)
Anuncios