Paypal-Idimad-360-Agencia-de-Marketing-en-Salamanca
Comparte esta publicación

Siempre hemos visto alardear a PayPal sobre su elevada seguridad y que podemos estar realmente tranquilos realizando compras a través de dicho servicio. Pero ¿realmente es tan seguro como dice ser? Alba Mansilla, la estudiante de último curso de grado en ingeniería informática que está en nuestras oficinas, nos descubre ciertas vulnerabilidades de este servicio que os van a sorprender.

La última semana se destaparon agujeros de seguridad en Uber y ésta le ha tocado a PayPal.

Si te confundes al introducir tu e-mail cuando te registras en PayPal, aunque solo sea en un carácter, di ciao a tu dinero.

Cuando creas una cuenta en PayPal a partir de una cuenta ya existente y que obviamente no es la tuya, este servicio te pide que introduzcas dos veces la contraseña que se le adjudicará a dicha cuenta, pero el e-mail solo debes meterlo una vez. A continuación, te pediría los datos personales, lo rellenas y ¡ya estás registrado! Con una cuenta de un desconocido.

El verdadero dueño de esta cuenta de e-mail podría robarnos nuestra cuenta de PayPal simplemente dándole al botón “recuperar contraseña”. Éste restauraría la antigua contraseña por una nueva que se enviaría a su cuenta de correo ¡y ya están nuestros ahorros en el bolsillo de otro!

¿Pero y si hubiese metido el número de teléfono correcto en PayPal?

Pues aunque no te lo creas estás en las mismas. Ya que hay una opción de no recuerdo mi dirección e-mail, en la cual te pide tres cuentas de correo que te suenen, con las que hayas podido registrarte en dicho servicio y las comprueba; pero no te envían un mensaje a tu teléfono con un código OTP y ahí está el error.

Al seleccionar las opciones no recuerdo mi dirección e-mail  y no sé ninguna de las anteriores, podrías pensar que el famoso SMS con un código OTP te va a llegar a tu móvil, pero NO, el sistema te vuelve a pedir tres posibles direcciones de correo con las que te hayas podido registrar.

El fallo de no comprobar la cuenta de correo no solo se da a la hora de registrarte, también ocurre cuando se configura el envío de notificaciones. Además, en este caso, dichas notificaciones podrían contener datos bancarios, personales, etcétera.

En definitiva, lo normal sería que la compañía comprobase que la persona que se registra es el verdadero dueño de la cuenta de correo con la que se registra, para evitar problemas de este tipo ¿No creéis?

Gracias Alba Mansilla por este magnífico post y por descubrirnos estas vulnerabilidades en PayPal. Ya nada será lo mismo.

Podéis saber más de Alba en sus perfiles sociales de LinkedIn y Twitter.