Filtran una red masiva de reseñas falsas en Amazon

Llevas años escuchando que las reseñas online de productos y experiencias son un timo, ¿cuánto de verdad hay en ello? Según las últimas revelaciones, puede que más de la que quisiéramos.

Safety Detectives, una empresa dedicada a la ciberseguridad, afirma haber descubierto “una base de datos abierta de ElasticSearch que expone una estafa organizada de reseñas falsas que afecta a Amazon”.

En su artículo del blog relatan que “el servidor contenía un tesoro de mensajes directos entre los proveedores de Amazon y los clientes dispuestos a proporcionar reseñas falsas a cambio de productos gratuitos”. En total, aseguran, encontraron 13.124.962 de estos registros, o 7 GB de datos que podrían implicar a más de 200.000 personas “en actividades poco éticas”.

“Si bien no está claro quién es el propietario de la base de datos, la infracción demuestra el funcionamiento interno de un problema frecuente que afecta a la industria minorista online”, subrayan desde la empresa de software.

Safety Detectives explica que la información que se encuentra en el servidor ElasticSearch abierto describe “un procedimiento común mediante el cual los proveedores de Amazon obtienen ‘reseñas falsas’ para sus productos”.

La técnica es sencilla: los proveedores de Amazon envían a los revisores una lista de artículos para los que les gustaría una revisión de 5 estrellas y estos compran los productos, dejando una reseña de máxima puntuación unos días después de recibir su paquete. En algunas ocasiones incluso se envían instrucciones a los revisores para que las revisiones sean más creíbles -por ejemplo, de extensión de la reseña-.

Según informa la compañía que lo ha descubierto, los problemas vienen, sobre todo, después, ya que cuando los supuestos clientes escriben la supuesta reseña envían un mensaje al proveedor que contiene un enlace a su perfil de Amazon y sus detalles de PayPal.

El proveedor de Amazon confirma que se ha hecho la reseña y el ‘feliz comprador’ recibe un reembolso a través de PayPal, quedándose gratis con el producto o productos que hubiera adquirido. Incluso, advierten desde Safety Detectives, “en algunos casos, puede haber un pago adicional, según la escala de los servicios prestados por la persona que publica reseñas falsas”.

El uso de PayPal para el reembolso, en vez de hacerlo directamente a través de Amazon, responde a un intento de no levantar sospechas entre los moderadores de Amazon y que la revisión de 5 estrellas parezca legítima.

El servidor ElasticSearch no reclamado “se dejó abierto sin protección con contraseña ni cifrado”, de manera que los datos personales de las personas que proporcionan reseñas falsas, así como de los proveedores de Amazon, se podían encontrar en mensajes filtrados en la base de datos.

Se pudo acceder a direcciones de correo electrónico -había más de 200.000 cuentas solo de Gmail-, números de teléfono de WhatsApp y Telegram e incluso datos de contacto de los proveedores de Amazon -que proporcionan a los revisores para seguir manteniendo la comunicación fuera de la plataforma-.

También quedaron expuestos datos personales identificables relacionados con los revisores, como 75.000 enlaces a cuentas de Amazon, direcciones de email de acceso a sus cuentas de PayPal y nombres de usuario -que a menudo contienen nombres y apellidos de la persona-.

Desde Safety Detectives señalan que el servidor parecía estar ubicado en China y se cree que la filtración afectó a ciudadanos de Europa y Estados Unidos como mínimo. “En realidad, la filtración podría haber afectado a personas de todos los rincones del mundo”, comentan.

El equipo de ciberseguridad de SafetyDetectives descubrió la infracción el 1 de marzo de 2021: “Supervisamos el estado del servidor ElasticSearch abierto durante los días siguientes, y el 6 de marzo de 2021 se protegió la base de datos no reclamada, lo que lo hizo inaccesible para terceros”.

En ese tiempo la compañía no pudo identificar al propietario del servidor y, como resultado, no pudo “notificar a la empresa en cuestión sobre este problema de seguridad”. “Dada la extensión de los registros y proveedores incluidos en la base de datos, es posible que el servidor no sea propiedad de los proveedores de Amazon que ejecutan la estafa”, añaden.

El servidor podría ser “propiedad de un tercero que se ponga en contacto con posibles revisores en nombre de los proveedores” o “propiedad de una gran empresa con varias subsidiarias, lo que explicaría la presencia de múltiples proveedores”.

Entre las empresas pilladas está Aukey, una marca de accesorios para móviles y otros dispositivos que principalmente vende a través de la plataforma de Bezos.

Si bien no hay confirmación oficial, algunos de estos vendedores populares han sido deshabilitados recientemente en la tienda de Amazon. Podría haber sido decisión de las propias empresas, aunque todo parece indicar que se debe a la filtración de las reseñas falsas.

En 20Bits nos hemos puesto en contacto con la compañía de Jeff Bezos, desde la que nos han indicado que en su política prohíben el pago por reseñas y trabajan para detectar las que puedan suceder.

“Queremos que los clientes de Amazon compren con confianza sabiendo que las reseñas que leen son auténticas y relevantes. Tenemos políticas claras tanto para las personas que escriben las reseñas de producto como para nuestros colaboradores comerciales; dichas políticas prohíben la alteración de las funciones de nuestra comunidad”, destacan.

Asimismo aseguran que “toman acciones” contra aquellos que violan sus políticas, las cuales pueden implicar “la suspensión o eliminación de sus cuentas o el inicio de acciones legales”.

Indican que el objetivo es que los clientes “vean reseñas auténticas y relevantes para que puedan tomar decisiones de compra mejor informadas”. Para hacer esto, utilizan “herramientas de machine learning” y cuentan con un equipo de investigadores que analiza semanalmente más de 10 millones de reseñas “para detener las que no cumplan los requisitos antes de que se publiquen”.

Además, subrayan, monitorizan todas las revisiones existentes “en busca de señales de comportamientos inadecuados” y toman medidas “rápidamente” si encuentran un problema. “También trabajamos de manera proactiva con las distintas redes sociales para denunciar a aquellos actores que están generando reseñas engañosas fuera de nuestra tienda”, añaden.

La compañía concluye alentando a los clientes “preocupados” por la autenticidad de las reseñas a que utilicen la función ‘Informar de un abuso’, disponible en cada una de estas reseñas, para que Amazon pueda investigar y “tomar las medidas adecuadas”.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Zircon - This is a contributing Drupal Theme
Design by WeebPal.