Según leemos en la página web de información telefónica The Next Web, la marca de móviles asiática OnePlus ha puesto en peligro a todos sus clientes a través de la gestión de compra online de sus productos, tanto accesorios como terminales móviles. Todo ha surgido de un hilo en el foro de Reddit, en el que clientes de la marca han detectado movimientos sospechosos en sus cuentas bancarias. Tras ello, la empresa de ciberseguridad Fidus se puso manos a la obra, investigando si esos casos fraudulentos tenían relación con las transacciones comerciales de los usuarios y OnePlus.
Los clientes de OnePlus, en peligro de estafa
Y dicho y hecho: Fidus descubrió que una vulnerabilidad, aprovechada por los ciberdelincuentes, pudiendo así haber copiado todos los datos de las tarjetas de crédito que los usuarios usaban para comprar sus terminales y accesorios. Los usuarios en Reddit, bastante numerosos, han ido denunciando en el foro movimientos sospechosos en sus movimientos bancarios, produciéndose al año de haber realizado alguna transacción comercial en la página de OnePlus.
La empresa Fidus asegura, tras estudiar el caso detenidamente, que el sitio de OnePlus no ha sido, en ningún momento, víctima de hackeo o robo de datos. Todo tiene que ver, más bien, con la pasarela de pagos que usa OnePlus para realizar las ventas de sus equipos. La parte más débil de la operación es la que tiene relación con la plataforma de comercio electrónico de Magento. No es la primera vez que Magento sufre este tipo de ataques maliciosos, según informa la propia Fidus.
La cibercompañía ha declarado en un post de Reddit lo siguiente, explicando cómo ha sucedido el robo de los datos:
«Fuimos hasta la pasarela de pagos de OnePlus para ver lo que estaba ocurriendo. Nos dimos cuenta que la página misma que solicita los datos bancarios está alojada ON-SITE, es decir, que todos los datos que incluímos en la página, por un momento, están disponibles en la propia página de OnePlus, fuera de la plataforma segura, por lo que dichos datos se encuentran susceptibles de ser copiados y utilizados fraudulentamente»
Continúan diciendo que aunque los datos de pago se estén enviando, en realidad, a un tercero, obviando a OnePlus, existe un resquicio por el el que un código malicioso puede filtrarse y robar estos datos, desviándolos antes de que se encripten y sean completamente seguros del todo.
Cuidado con tus movimientos bancarios
La polémica, no obstante, está servida: un moderador del sitio Reddit ha asegurado que los datos vertidos por Fidus no son veraces, argumentando que las rutas de ataque sugeridos por Fidus no son consistentes con respecto a las pruebas que se tienen de los hechos. De momento, la compañía OnePlus no ha declarado nada al respecto, por lo que los medios nos quedamos a la espera que se subsane esta peligrosa situacion.
Si has comprado un terminal o accesorio OnePlus en un plazo de un año, te aconsejamos que mires detenidamente los movimientos de tu cuenta bancaria desde que comenzó el mes de enero. Asimismo, llama tu oficina bancaria y asegurate de que todo está en orden: infórmales del problema que está afrontando OnePlus, para ver qué podéis hacer con vuestra tarjeta: quizás haya un mecanismo de defensa ante posibles fraudes y no lo tengas activado en la tuya.
