En ocasiones navegar por sitios legítimos también puede poner en riesgo a los usuarios. Acorde a especialistas en ciberseguridad, al visitar el sitio oficial de la plataforma de comercio electrónico eBay (ebay.com), se ejecuta un script que realiza un escaneo de puerto local en el dispositivo del usuario con el fin detectar soporte y aplicaciones para el acceso remoto.
Muchos de los puertos en las computadoras están relacionados con herramientas de soporte y acceso remoto, como Ammy Admin, Windows Remote Desktop,TeamViewer, VNC, entre otros. Después de realizar una serie de pruebas en el sitio comprometido, los especialistas determinaron que ebay.com realiza un escaneo de 14 puertos locales diferentes en las computadoras de los usuarios.
Al parecer, esta tarea de escaneo es realizada mediante un script check.js presente en en eBay.com; este script intenta establecer conexión a los siguientes puertos:
Los catorce puertos diferentes que se escanean y sus programas asociados y la cadena de referencia de eBay están listados a continuación.
Los especialistas de BleepingComputer señalan que no ha sido posible identificar el programa objetivo en el puerto 63333. No obstante, se ha confirmado que el script realiza la actividad de escaneo empleando WebSockets para conectarse a 127.0.0.0, que representa la computadora local en el puerto especificado.
Los investigadores que reportaron inicialmente el escaneo de puertos aseguran que esta actividad no se presenta cuando se navega en el sitio de eBay desde un sistema Linux, por otra parte, al usar sistemas Windows se produce el escaneo tal como se reporta. Esto también pudo ser deducido al analizar las herramientas buscadas, que forman parte de la suite de acceso remoto de Windows.
Al respecto, eBay publicó un comunicado de unas cuantas líneas: “La privacidad y los datos de nuestros clientes siguen siendo una prioridad. Estamos comprometidos a crear una experiencia en nuestros sitios y servicios que sea segura y confiable”.
Jack Rhysider, investigador de DarkNetDiaries, menciona que esta tarea se realiza con fines de marketing, registro de rastros digitales e incluso como método de protección contra fraude electrónico. Debido a que el escaneo de puertos solo busca programas de acceso remoto de Windows, lo más probable es que se haga para verificar si hay computadoras comprometidas que se utilizan para realizar compras fraudulentas en eBay, agrega el experto.
Hace algunos años, la comunidad de la ciberseguridad reportó cientos de casos en los que las computadoras de algunos usuarios de TeamViewer se vieron comprometidas a través de esta herramienta con el propósito de realizar compras fraudulentas en eBay; muchos de los usuarios de la plataforma de comercio emplean cookies para acceder a sus sesiones de forma automática, por lo que los hackers pudieron controlar de forma remota sus cuentas.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.