Expertos desentrañan el fraude en línea
Un grupo de expertos en seguridad digital informó que los defectos de software en la forma en que los principales vendedores por Internet han implementado los sistemas de pago de PayPal, Amazon Payments y Google Checkout, les permitió comprar productos en línea sin pagar o con grandes descuentos. Los investigadores de la Universidad de Indiana y Microsoft Research dijeron que los "fallos lógicos" crearon inconsistencias entre el sitio del vendedor y el servicio de pago.
Como resultado, uno de los autores del estudio, XiaoFeng Wang, dijo que su equipo pudo adquirir artículos -como DVD y cargadores electrónicos- engañando al sistema de varias maneras. Fueron capaces de agregar descuentos a las mercancías seleccionadas, comprar gratis tras pagar un único artículo, o comprar un producto costoso por el precio de uno más barato.
En algunos casos, los investigadores consiguieron que el sitio web creyera que habían pagado íntegramente un artículo cuando, en realidad, hicieron el pago a su propia cuenta de vendedor en Amazon.
Los expertos aclararon que gran parte de las grietas de seguridad se localizaron en los sitios de terceros vendedores, no en los procesadores de pago.
En respuesta, eBay, propietaria de PayPal, señaló que el problema se debe a que "los desarrolladores no siguen las prácticas apropiadas al integrar los sistemas de pago ".
Amazon no hizo declaraciones al respecto, mientras que Google indicó que revisaría los resultados del estudio y enfatizó que Google Checkout tiene múltiples sistemas de detección de fraude.
Wang comparó los fallos lógicos con un niño caprichoso que quiere un dulce: El niño le dice a la madre que su papá le dio permiso, y luego va y le dice al padre que la mamá le dijo que podía comerse el dulce. Si los dos padres no se comunican bien, el niño se sale con la suya. "A los vendedores les conviene usar los servicios de terceros porque de esa forma no tienen que construir por su cuenta una plataforma de pago . Pero eso complica el sistema entero, lo que aumenta la probabilidad de grietas", explica Wang.
El investigador dijo que el equipo de expertos trabajó con un abogado para realizar sus estudios de una forma ética y legal, y las mercancías adquiridas fueron devueltas a los vendedores. Asimismo, el grupo reportó inmediatamente sus conclusiones a los vendedores y colaboró con ellos para solucionar los fallos.
Wang y sus colegas presentarán el estudio el mes próximo en el Simposio anual sobre Seguridad y Privacidad del Institute of Electrical and Electronics Engineers, en Oakland, California.
A dos semanas de que los investigadores difundieran su estudio, Amazon lanzó una serie de parches de software para solucionar los fallos, y pidió a las tiendas en línea que actualizaran esos parches en el lapso de 40 días.
Sin embargo, Josh Daymont, CEO de la firma especializada en seguridad de tecnologías de la información Securisea, advierte que este tipo de problemas indica "una debilidad sistémica" en este tipo de servicios. "A los vendedores les encanta usar el software como servicio, porque de esa forma no tienen que construir ellos mismos las plataformas de pago. Así que la arquitectura continuará usándose".
En opinión de Daymont, compañías como Amazon y Google tienen múltiples ocupaciones, y puede que no siempre presten atención al uso final de sus plataformas de pago. Además, la responsabilidad es de los vendedores, que deben construir sistemas seguros sobre esas plataformas.
"Lo que sucede con frecuencia es que esas compañías ya no destinan personal para trabajar en esos productos, y luego aparece un estudio como el de la Universidad de Indiana. Es un caso clásico de no considerar la seguridad hasta que ocurre un incidente", comenta Daymont.