FUTURO

EXCLUSIVO: pobre manejo de datos en sitio web de Ikea Puerto Rico expone usuarios a posible robo de identidad

Picard facepalm

Me sorprende en pleno 2013 tener que escribir este tipo de historias, ya que entiendo que el asunto del manejo seguro de la información en la internet se supone deberí­a ser una práctica común y estándar en empresas de todo tipo y tamaño.

Pero como muy bien dice el refrán, “donde quiera se cuecen habas”.

El sitio de internet de Ikea Puerto Rico tiene un serio problema de manejo de datos de sus clientes que, mientras hací­a un pedido, por accidente descubrí­.

Esta empresa sueca, reciéntemente establecida en Puerto Rico, ofrece una tarjeta de descuentos llamada Ikea Family. En múltiples áreas del sitio web para Puerto Rico de Ikea se puede encontrar un enlace para conocer más detalles sobre la tarjeta y solicitarla.

Ikea-forma

Al final de la forma o solicitud a llenar, bajo la sección “dato complementario”, piden el número de Seguro Social del solicitante. Como de seguro sabes, esta información es sumamente importante, sensitiva y debe manejarse con el mayor cuidado posible, buscando mantenerla bajo las más estrictas medidas de seguridad. El acceso no autorizado a un número de Seguro Social es carte blanche para robo de identidad, fraude, etc.

Ikea forma-circulo y arrow rojo

El problema no es que pidan esa información. El problema radica en que la información que se ingresa en dicha forma es enviada a través de la internet de forma insegura y totalmente expuesta, ya que dicha página y/o forma no hace uso del sistema HTTPS (“HyperText Transfer Protocol Secure”). Este sistema o protocolo es utilizado de forma universal por bancos, instituciones financieras y sitios web que manejan datos de í­ndole personal o profesional. El enviar un número de Seguro Social por internet sin las debidas medidas de seguridad es como conducir un vehí­culo en la noche sin que este tenga luces que funcionen. El riesgo de seguridad es altí­simo.

Esto me recuerda la práctica que llevaba a cabo el sitio web del Departamento de Transportación y Obras Públicas del Gobierno de Puerto Rico que hace unos años revelamos. No quiero ni imaginarme la cantidad de personas que habrán ingresado esta información en esa solicitud. Sólo imagina números de Seguro Social viajando por el éter, perdidos en el espacio, buscando ser capturados por gente inescrupulosa…

Si tu fuiste uno de los que ingresó tu número de Seguro Social al solicitar la tarjeta Ikea Family, mi recomendación es solicitar YA una copia de tu historial de crédito (gratis en este website).

Existen tres burós o agencias de crédito (Experian, Equifax y TransUnion). Gracias a que se puede solicitar una copia del reporte de crédito por año de cada una de estas agencias, mi recomendación es que solicites una copia a uno de estos burós, y dentro de cuatro meses, del otro, y así­ sucesivamente. Otra opción es optar por contratar un servicio de monitoreo de tu expediente de crédito de forma tal que estés al tanto de cualquier actividad inusual con tu número. Lo malo del monitoreo del crédito es que este servicio puede conllevar un costo que al año puede alcanzar los cientos de dólares.

¿Por qué digo que debes solicitar ya una copia de tu expediente de crédito? Porque no hay forma de saber si el número de Seguro Social que entraste en la forma de Ikea Family llegó a su destino sin ser interceptado. Y como dice el refrán, “en guerra avisada no muere gente”, pues es mejor precaver que tener que lamentar.

LOS M&M COLOR MARRÓN

Lo que más me molesta y me causa mil cuestionamientos en mi mente es el cómo puede ser posible que NADIE en Ikea se dio cuenta de esto. Ese nivel de complacencia me preocupa grandemente, y a ti también deberí­a preocuparte. Afortunadamente, el procesamiento de órdenes en lí­nea (y manejo de información de pago) es llevado a cabo por otra empresa, Evertec, y por lo que pude comprobar, estos utilizan los mecanismos indicados para proteger el número de tarjeta que uses para pagar.

Ikea Evertec form

Es como la famosa historia del grupo de rock Van Halen y su aparentemente loco, estúpido y excéntrico requerimiento en las contrataciones de su gira de conciertos de que hubiese un tazón de dulces M&M de los cuales se hayan extraí­do sólo los de color marrón. De encontrar dulces de este color, aunque fuese uno, automáticamente quedaba cancelado el concierto y el promotor habrí­a de pagar la totalidad de los gastos.

La razón detrás de esto es que sus requerimientos técnicos de luces, sonido e infraestructura eran sumamente complejos y por experiencia, el ignorarlos habrí­a de causar serios problemas y hasta poner en riesgo la vida del grupo, el equipo de trabajo y el público asistente. Por lo tanto, el encontrar dulces M&M color marrón era garantí­a absoluta de que no habí­an puesto atención a los requerimientos técnicos, y por lo tanto, era prácticamente seguro que problemas habrí­an de surgir en la presentación.

La seguridad en el manejo de datos en internet es algo que, como mencioné al principio, debe ser una consideración estándar al diseñar sitios web. Me parece que los diseñadores del web de Ikea Puerto Rico obviaron lo que todo manual o libro sobre manejo seguro de datos en la internet dice al respecto y “dejaron en el envase todos los proverbiales dulces M&M color marrón”.

Siendo así­ las cosas, nos toca a nosotros los usuarios ser vigilantes y tener cuidado. A tales efectos, recomiendo que antes de llenar una forma en internet donde soliciten información de í­ndole privado, verifiques que el sitio web implemente HTTPS como medida de seguridad. Si no hay ni rastro de que, en efecto, se está manejando la información de forma segura, aléjate lo más que puedas.

No nos queda otra opción. Y a Ikea Puerto Rico: por favor arreglen eso YA.

Publicación o post anterior

iOS 7 beta 4 disponible para desarrolladores

Próxima entrada o post

El nuevo lente de Olloclip para el iPhone podrí­a ser hasta mejor que el original

5 comentarios

  1. 10/29/2015 | 4:29 pm a las 4:29 pm —

    Wilton:
    Gracias a Dios que yo no he solicitado esa tarjeta. Sin embargo yo tenia un cta. ya creada porque habia comprado varias veces y la penultima vez que fui me dijeron que no aparecia mi cta. cosa que me estuvo rarisimo y me abrieron otra. Hace cuatro dias fui y compre algo y claro pues estaba la ultima cta. pero la primera se hizo sal y agua.
    Gracias por la informacion,

    Cecilio Rodriguez

  2. 10/08/2014 | 4:15 pm a las 4:15 pm —

    Yo trabaje en la implementacion de esa tienda en PR y todo eso se le explico a los altos ejecutivos pero al ser procedientes de Europa que no tienen uso de un numero de seguro social no entendieron el alto riesgo de esta situacion. Personalmente lo indique en miles de ocasiones. Pero la ignorancia y terquedad de los directivos llevo este asunto a poder ya plagear la identidad de varios clientes.

  3. 09/22/2014 | 1:34 pm a las 1:34 pm —

    La web http://www.ikea.pr hace tiempo que ya tiene https://www.ikea.pr. En sus inicios no lo necesitabamos porque no ibamos a guardar información confidencia. Luego si fue necesario y lo solicitamos.

  4. 08/03/2013 | 9:31 am a las 9:31 am —

    Y si le añades la S manual al HTTP te dice que el certificado se emitió para un website diferente y ese website es el de la República Dominicana “www.ikea.com.do”

    Parece que querí­an ahorrarse par de pesos y usar el mismo SSL.

  5. Yamil
    07/30/2013 | 3:26 pm a las 3:26 pm —

    Para mi, una pagina web lo principal es mantener segura a información de los usuarios. Como darán ahora la cara para decir que su sitio web no es seguro?. Yo no me sentirí­a seguro comprando ni en la tienda hasta que resuelvan el error mas grande. Solo enviar email para que ellos tomen cartas en el asunto con prontitud.

Comenta y exprésate

This site uses Akismet to reduce spam. Learn how your comment data is processed.