ARTEMIO ESTRELLA

El día de hoy un amigo me comentó que al realizar una consulta de saldo en el portal de la tienda departamental Liverpool, se percató de que el portal es inseguro para realizar transacciones en línea.

Antes de publicar cualquier cosa, corroboré yo mismo la falla del portal. Yo hago uso de Internet Explorer versión 6 y mi amigo usa la versión 7. En la versión 7 del explorador es más facil apreciar la falla; en la versión 6 la falla se encuentra “oculta” y solo puede ser apreciada en el Historial del explorador, tal vez por eso ha pasado desapercibida para la mayoría de usuarios.

Aparentemente las transacciones en línea en el portal de Liverpool son seguras, pues este cuenta con su debido candado de seguridad de 128 bits y está certificado como se muestra en la siguiente imagen:

Pero no está allí el problema. Los candados de seguridad en los navegadores (Internet Explorer, Firefox, Opera, etcétera) encriptan la información que viaja de nuestras computadoras hacía los portales de Internet (cuando se usa el protocolo HTTPS) y el portal de Liverpool así lo hace.

El problema real radica en algo muy simple: cuando se accesa al módulo de Servicios del portal, al proporcionar el Número de Cuenta y el NIP, el sistema envía vía URL el número de cuenta y el nip sin encriptar. Esto deja al descubierto nuestra identidad ante cualquier persona que haga uso de nuestro equipo (si se comparte la computadora con otras personas), spyware (software malicioso para robo de identidades) o simplemente dicha URL quedará registrada en todo servidor por el cual viaje (por ejemplo los servidores proxy)

Esta característica (de ninguna manera deseada) del portal de Liverpool es facil de percibir. Si tienes cuenta de Liverpool y has usado el módulo de Servicios en línea, podrás accesar dicho servicio directamente usando el Historial de Internet Explorer:

Dando click a la liga de Liverpool en Línea podremos accesar a nuestra cuenta (sin necesidad de teclear nuestro número de cuenta y nip), dejando ver la URL utilizada para ello:

Por cuestiones obvias no puse mi número de cuenta y nip (¡Liverpool se encarga de ello!). Incluso si no tienes cuenta en Liverpool, puedes usar un número de cuenta y nip falso para intentar accesar, solo para que veas qué URL queda guardada en el Historial de Internet Explorer. En un video se puede ilustrar cómo recrear la falla (el video está algo borroso, pero muestra los pasos para ubicar dónde se muestra la información):

Antes de que yo escribiese este artículo, mi amigo ya había dado aviso vía email al equipo de soporte de la tienda y amablemente le respondieron, pero no resolvieron el problema. Al parecer ni ellos mismos entienden la problemática.

Me extraña que un detalle de este tipo se le escape al equipo de informática de la tienda, pues es un agujero de seguridad demasiado obvio. Para alguien que trabaja en el área de Tecnología de Información (como es el caso de mi amigo y el mío) es bastante claro y realmente debe ser algo claro para cualquier usuario de Internet, pues gracias a este tipo de fallas (principalmente por ignorancia) es que hay tanto robo de identidades en la Red.

Esperemos que la tienda departamental Liverpool no tarde demasiado en corregir dicho error. Mientras tanto lo recomendado es: dejar de usar el servicio.