Los peligrosos mails de los clubes privados de compras

Ha estado muy atinado Juan Luis en su post sobre los fallos de seguridad que tienen las newsletteres de BuyVIp y otros clubes privados de compras.

Si estáis apuntados a alguno de ellos (BuyVip, privalia, Ofertix, Vente-Privée… ) estaréis acostumbrados a recibir muchísimos correos en los que anuncian las ofertas que tienen disponibles para ese día o esa semana. En estos correos vienen enlaces para entrar a las webs y pinchando en ellos entras identificado, como por arte de magia, sin haber dado tu usuario y contraseña; conseguir esto es técnicamente sencillo (la dirección en la que pinchas lleva incluida una clave que te identifica) pero si en otros sitios no se hace es por algo, por los problemas de seguridad que supone.

Imagina que entusiasmado por la oferta que te proponen reenvías el correo a una amiga, esa amiga pincha y listo, ya está identificada en BuyVip con TU usuario y por tanto con acceso a tus datos personales (nombre, dirección, edad…) y también a la lista de pedidos (¿recuerdas aquella prenda que compraste para regalarle por su cumpleaños?, pues dejó de ser sorpresa, ¿y aquella vez que decidiste comprarte un juguete erótico para dar una sorpresa a tu pareja? pues tu amiga sí que se ha llevado una sorpresa).

Y el peligro no es solo ese; el correo electrónico, tal y como lo usamos la mayoría, es un sistema de comunicación poco seguro, el contenido de los mails viaja de servidor en servidor con su contenido “en claro”, sin cifrar. Cualquiera con acceso a esos servidores, o un “juanker” que instale un sniffer podrá leer esos correos y por tanto acceder a nuestras cuentas en estas webs de compras.

He podido comprobar que este mal comportamiento lo tienen, al menos, BuyVip, VipVenta y Ofertix. En el lado “correcto” Privalia, al menos en los correos que tengo guardados, sí te obliga a introducir usuario y contraseña.

El motivo de que utilicen este sistema de identificación es la búsqueda de la compra compulsiva, no quieren que se se te pasen las ganas de comprar en lo que recuerdas e introduces tu usuario y contraseñas (cada click de más que fuerzas a un cliente es una nueva oportunidad de que no llegue a terminar la compra), pero si de verdad queremos que el comercio electrónico ocupe el lugar que por comodidad que le corresponde, la seguridad debe ser una prioridad.

Esta misma semana se ha sabido que otra web de compras, que opera en Latino América, Geelbe, ha sido atacada, aparentemente por falta de rigor de sus administradores, y han robado las cuentas de correo y contraseñas de todos los usuarios, algo peligrosísimo si no llevamos una buena política de contraseñas para Internet.

Confiemos en que cambien de método de identificación, yo mientras tanto, he desactivado la recepción de emails en todas ellas, si me entran ganas de comprar algo ya iré a la web a identificarme. Y sobretodo, no reenviéis correos que os manden desde estas webs.

Foto original de blackheartking.com (xtyler)
Anuncios

11 comentarios en “Los peligrosos mails de los clubes privados de compras

  1. Pingback: Bitacoras.com
  2. Privalia también te pasa identificado; Vente-Privee no, al menos yo tengo que autentificarme para comprar. Pero vamos, el problema como casi siempre lo veo sobre todo en el lado usuario.

    • @chamaruco, En los que yo tengo de Privalia no he entrado autentificado (borrando antes las cookies). En este caso el problema sí está en el lado del usuario pero también en el medio, el correo electrónico no se puede considerar un medio de transmisión seguro, por ahí no deberían viajar contraseñas ni sesiones autenticadas.

    • @chamaruco, me autocorrijo, hoy me ha llegado una nueva newsletter de Privalia y en esta sí que vienen correos con URLs que te hacen entrar autenticado incluso borrando cookies.

  3. Pingback: Tweets that mention http://www.dondado.es/2010/03/los-peligrosos-mails-de-los-clubes-privados-de-compras/ -- Topsy.com
  4. Pingback: de la red – 26/03/2010 « Tecnologías y su contexto
  5. Muy interesante tu entrada, Dondado. Yo no soy usuaria de ninguno pero ya he recibido varias invitaciones. Las personas que utilizan estos nuevos sistemas de compra están contentas…yo no me he animado en primer lugar porque no me fío demasiado aun de este tipo de páginas…incluso sigo teniendo cierto temor a la hora de efectuar pagos con la tarjeta de crédito, realizar reservas, etc.

    Un saludo desde Compostela.

    • Yo si los utilizo y la verdad es que no tengo queja de ellos. En cuanto a la seguridad de la tarjeta y demás no debes preocuparte, ese dato no lo guardan, con cada compra que haces te vuelven a pedir el número de tarjeta y los pagos se hacen siguiendo todos los procedimientos de seguridad habituales.

  6. Aqui teneis una recopilación de utlets por si alguien se quiere registrar:

    http://padrino.host56.com

    Yo la verdad es que no veo problema porque no reenvio los emails. De todas formas tampoco se ven tantos datos, los amigos a los que les podría reenviar un email conocen los datos mios que aparecen.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s