Dentro del mercado de teléfonos móviles inteligentes, la empresa china OnePlus ha obtenido bastante reconocimiento debido a la innovación tecnológica en sus dispositivos y los precios competitivos, mucho más asequibles que los de sus competidores. Adicionalmente, uno de los elementos clave que permitió su masificación en el mercado internacional fue el uso de un canal de comercio electrónico para potenciar sus ventas.

Sin embargo, el 11 de enero del 2018 varios usuarios empezaron a notificar la existencia de transacciones fraudulentas realizadas con las mismas tarjetas de pago que emplearon para comprar un teléfono en el sitio web de OnePlus. Poco después – y debido al impacto mediatico de estas acusaciones – OnePlus reconoció publicamente que su sitio web había sido comprometido y que cerca de 40.000 clientes (cuyas compras fueron realizadas entre noviembre de 2017 y enero de 2018) podrían estar afectados.

¿Cuál era la arquitectura de la plataforma afectada?

De acuerdo con lo informado por el propio fabricante, las características de su plataforma de comercio electrónico eran las siguientes:

  • Sitio web basado en Magento. Sin embargo, desde 2014 se empezó a agregar código personalizado (desarrollos propios). Se desconoce si los componentes de Magento estaban actualizados.
  • La captura de datos de tarjetas se realizaba en un formulario ubicado en el propio sitio web de OnePlus a través de un canal HTTPS.
  • Una vez capturados los datos, éstos eran enviados a CyberSource, un proveedor de servicios de pago (“Payment Service provider” – PSP) certificado como PCI DSS Nivel 1.
  • Se permitían pagos con PayPal y pagos con un clic (“One-Click Payment” – OCP).

Formulario de captura de datos de tarjetas de pago en el sitio web de OnePlus

¿Qué sucedió?

De acuerdo con las investigaciones preliminares de la empresa finlandesa Fidus, los problemas que pudieron causar el compromiso de los datos de tarjetas de los clientes de OnePlus fueron los siguientes:

  • Según las primeras investigaciones, OnePlus no cumplía con PCI DSS.
  • A pesar de que tanto Magento como el PSP (Cybersource) ofrecían módulos de integración específicos para la captura de datos de tarjetas de pago, OnePlus optó por emplear un formulario propio ubicado en sus servidores web.
  • Debido a la potencial ausencia de actualizaciones de los módulos de Magento, el atacante pudo instalar código malicioso en el servidor de comercio electrónico de OnePlus, que se encargaba de capturar de forma no autorizada los datos de tarjetas de pago insertados por los clientes. Este malware no afectaba los pagos con PayPal ni con pagos en un clic.

Localización potencial del código malicioso en la plataforma de correo electrónico de OnePlus

  • OnePlus ya ha aceptado la existencia de un script malicioso en su infraestructura y actualmente está llevando a cabo una investigación al respecto.

Apartado de la nota de prensa de OnePlus indicando la existencia de código malicioso en su servidor web

  • Como resultado de este incidente, OnePlus debe asumir los constes derivados de la investigación forense, el pago de multas, los gastos de abogados por las demandas de los clientes, la pérdida de imagen, la disminución de sus ventas por el canal de comercio electrónico y la aplicación de controles de seguridad para evitar que este incidente vuelva a suceder.

¿Cómo se podría haber evitado este incidente?

Analizando la arquitectura de la aplicación y el escenario de captura de datos del sitio web de OnePlus, la filtración de datos de tarjetas de pago de sus clientes se podría haber evitado si se hubieran realizado las siguientes acciones:

Flujo de datos de tarjetas de pago cubierto por el SAQ A-EP de PCI DSS

Conclusión

Este incidente es un claro ejemplo de negligencia. OnePlus como fabricante conocía la necesidad de la implementación de controles de seguridad para proteger los datos de tarjetas de pago de sus clientes y optó por minimizar costes para optimizar ganancias, desconociendo que la seguridad no es un gasto, es una inversión.  Lamentablemente, el ahorro que pudieron obtener al no implementar los controles de seguridad lo han tenido que pagar con la pérdida de reputación, clientes y gastos derivados de este incidente.

Si tienes un sitio de comercio electrónico o estás pensando en implementar uno, no olvides leer nuestro artículo “¿Quieres poner en marcha o tienes una tienda online? Sigue estos consejos para cumplir con PCI DSS“, en donde describimos los pasos a seguir para minimizar el riesgo de captura no autorizada de datos de tarjetas de pago.