La seguridad en eBay tiene un problema más serio de lo que muchos creen. El equipo de tecnología de la BBC identificó más de 100 páginas de productos dentro de la plataforma que fueron secuestradas por hackers para engañar a compradores desprevenidos. Lo más astuto del ataque es que estos criminales no crearon tiendas nuevas: tomaron control de cuentas de vendedores legítimos, muchas con calificación perfecta y cientos de ventas previas. Así ganaban la confianza de los usuarios.

La mecánica del fraude es ingeniosa pero aterradora. Cuando haces clic en una de estas páginas comprometidas, te redirigen automáticamente a un sitio que parece oficial y profesional. Allí te piden que inicies sesión de nuevo e ingreses tus datos bancarios. Parece legítimo porque todo está disfrazado bajo la apariencia de eBay. Usuarios reportaron recibir notificaciones de ventas de productos que nunca listaron, mientras les apareció una deuda en sus cuentas.

La culpa la tiene una decisión discutible de eBay: permite que los vendedores incluyan código Javascript y Flash en sus páginas de producto para hacerlas más atractivas con animaciones y contenido interactivo. El problema es que esto abre la puerta a una técnica de hackeo llamada cross-site scripting o XSS, que permite inyectar código malicioso dentro de esas páginas. Los expertos en seguridad pidieron inmediatamente a eBay que desactivara estas funciones mientras controlaban los riesgos.

Pero la plataforma no quiso ceder. En un comunicado, eBay argumentó que "muchos de nuestros vendedores utilizan contenido activo como Javascript o Flash para hacer más rentables sus páginas de producto" y que "actualmente no está en nuestros planes retirar la opción de incluir contenido activo en eBay". Dicho de otra forma: la comodidad de los vendedores prima sobre tu seguridad.

Los analistas de seguridad no quedaron conformes con esa respuesta. Señalaron que eBay debería simplemente desactivar estas funciones hasta que pudiera garantizar que el sitio es seguro. Mientras tanto, la vulnerabilidad persiste y afecta principalmente a usuarios británicos, aunque nada garantiza que no ocurra en otras regiones.

¿Qué puedes hacer tú? Según el periodista Leo Kelion de la BBC, es difícil protegerte a nivel personal porque el problema está en la programación de eBay. Sin embargo, puedes estar atento a señales de alerta: desconfía si la dirección de la página cambia y deja de ser eBay, o si de repente te pide que reinicies sesión o ingreses datos bancarios cuando ya estabas conectado. Si tu cuenta es hackeada, eBay asegura que normalmente ocurre porque el usuario comparte su contraseña, pero la realidad es más compleja: también pueden atacarte sin tu culpa.