Una trama de pagos por reseñas falsas en Amazon que implica a 200.000 usuarios, expuesta tras la filtración de una base de datos

Una trama de pagos por reseñas falsas en Amazon que implica a 200.000 usuarios, expuesta tras la filtración de una base de datos
Sin comentarios

Safety Detectives, una compañía de ciberseguridad, ha descubierto una interesante base de datos Elasticsearch de acceso abierto que exponía una estafa organizada para publicar reseñas falsas en Amazon a cambio de descuentos o productos gratis.

Se cree que esta base de datos, con un peso total de 7 GB, quedó expuesta cuando nadie reclamó el servidor ElasticSearch donde se aloja, posiblemente de origen chino. Por ahora, se desconoce quién la creó (si bien podría tratarse de un tercero que ponía en contacto a proveedores y usuarios). Y, además, menos de una semana después de ser descubierta el 1 de marzo, el servidor dejó de estar disponible en abierto.

Así funcionan esta clase de estafas

Sin embargo, los datos que contiene son oro puro para quien busca comprender el funcionamiento interno de esta clase de tramas: contenía más de 13 millones de mensajes directos entre proveedores de Amazon y aproximadamente 200.000 usuarios dispuestos a realizar las reseñas falsas. En dichos mensajes, los proveedores muestran sus direcciones de correo electrónico y números de teléfono (vinculados a cuentas de WhatsApp y Telegram).

La información encontrada muestra cómo los proveedores envían a los creadores de reseñas listados de aquellos productos para los que les gustaría obtener críticas puntuadas con cinco estrellas, junto con detalles como número de palabras mínimo o recomendaciones sobre el número de días a esperar entre la compra y la publicación de la reseña para no llamar la atención de los moderadores de Amazon.

Dichos usuarios (a quienes, según desvelan los mensajes, los proveedores han presentado este proceso como un negocio perfectamente legal) compran el artículo a través de Amazon, dejan la reseña con la puntuación convenida y a continuación envían al proveedor un mensaje con un enlace a su perfil de Amazon… y los datos de su PayPal (dirección de e-mail incluida).

Así, una vez la compañía ha verificado la publicación de la reseña, abona a través de la pasarela de pagos el dinero pagado en primera instancia por el usuario. De esta forma, la reseña parece legítima y los usuarios terminan obteniendo un producto gratis.

Amazon afirma contar con herramientas de 'machine learning' que analizan semanalmente más de 10 millones de reseñas detectando potenciales incumplimientos de sus términos de uso.

¿Qué consecuencias podría tener que esta trama haya salido a la luz?

Los numerosos datos expuestos en los mensajes podrían permitir ahora a Amazon tomar medidas contra proveedores y usuarios por vulnerar sus términos de servicio… por no hablar de que las autoridades nacionales podrían castigar la violación de las leyes de protección del consumidor allí donde éstas existan: en los Estados Unidos, por ejemplo, esta clase de tácticas puede suponer una sanción a las compañías de más de 10 millones de dólares.

En el caso de Amazon, esto permite al gigante del e-commerce retener el dinero de las transacciones pendientes de los proveedores afectados, desvelar públicamente su identidad (con el efecto reputacional que eso tendría) y hasta anular con efecto inmediato sus cuentas de vendedores en la plataforma.

Aunque no hay confirmación oficial de la relación entre ambos hechos, la marca popular marca de gadgets Aukey ha sido recientemente deshabilitada como vendedor en la plataforma de Amazon, y ambas compañías han mantenido el secreto sobre los motivos de dicho hecho, según se hacen eco nuestros compañeros de Xataka.

Por otro lado, las reseñas fraudulentas podrían ser (y seguramente sean) borradas, y la puntuación otorgada en las mismas dejará de tenerse en cuenta a la hora de generar la puntuación media de cada producto. Aunque también podrían tomarse medidas contra los propios usuarios, la política de Amazon se dirige ante todo a actuar contra los proveedores que se aprovechan de su plataforma.

Por supuesto, si en algún momento llega a conocerse la identidad del propietario del servidor donde se alojaba la base de datos, también podría enfrentar sanciones de las autoridades de protección de datos de todos los países cuyos ciudadanos o empresas tuvieran presencia entre los datos filtrados.

Vía | Safety Detectives

Imagen | Basada en original de Ajay Juresh vía Flickr

Temas
Inicio