La tienda de OnePlus sufre problemas de seguridad que afectan a algunos usuarios que pagaron con tarjeta. Si compraste en su web vigila tu extracto bancario.

Actualización: OnePlus ha retirado el pago con tarjetas en su tienda online a la espera de aclarar qué ocurrió con los datos bancarios de los afectados. Actualmente solo se puede pagar con PayPal; aunque el propio servicio da la opción de abonar la compra con casi cualquier tarjeta, ya sea de crédito o de débito.

Una de las enormes ventajas de OnePlus es que vende internacionalmente sus móviles y accesorios sin que haya intermediarios que puedan engrosar el precio. El soporte no siempre es el más adecuado, pero tener la opción de comprar el móvil directamente a la marca, pese a ser un fabricante chino, es una ventaja. Al menos hasta ahora: OnePlus tiene entre manos un grave problema de seguridad.

La semana pasada algunos usuarios detectaron que en sus cuentas bancarias habían gastos que no realizaron. Dichos gastos ocurrían tras adquirir un producto a través de la tienda de OnePlus, hecho que puso en alerta a la compañía. Esta publicó un comentario en su foro tratando de aclarar las dudas: son conscientes del problema y lo están solucionando. Desconocen cómo han conseguido los datos bancarios de forma ilegal.

El robo de la tarjeta de crédito afecta a quienes pagaron directamente con tarjeta, no con PayPal

Lo primero que hay que aclarar es que el robo de datos no fue masivo ni indiscriminado: se limita a un grupo de clientes sin que OnePlus detalle cuántos son en concreto. Los usuarios afectados no solo publicaron en el foro de OnePlus quejándose de los gastos ajenos, también lo hicieron a través de plataformas como Reddit. Todos con los mismos síntomas: pago en la tienda de OnePlus con tarjeta, no con PayPal.

PayPal no estaría afectado en el robo de los datos bancarios

El error de seguridad que ha provocado el acceso de terceras personas a los datos de clientes es muy grave. OnePlus utiliza un proceso de checkout propio que se comunica con las entidades bancarias utilizando conexiones cifradas de extremo a extremo. Según asegura OnePlus, en ningún momento la compañía tiene acceso a los datos bancarios de los clientes, ni siquiera de aquellos que deciden guardar el número de tarjeta entre sus datos de usuario. Aunque la realidad no sería tan clara.

Según analiza Fidus Infosec, una empresa de seguridad online, la página de «checkout» se encuentra alojada en la web de OnePlus. Una vez introducimos los datos, estos viajan sin cifrar a la web; momento en el que, según Fidus, un atacante podría interceptarlos consiguiendo así acceso al dinero del cliente. De la web a la pasarela de pago sí irían los datos cifrados, pero podría ser demasiado tarde.

Si has comprado algún producto en la tienda de OnePlus vigila el extracto de la tarjeta

Ante un problema de seguridad tan grande que pone en compromiso la tarjeta, conviene vigilar que no existan gastos no realizados. En caso afirmativo, lo mejor es anular la tarjeta y pedir una nueva. En principio esto no afectaría a quienes hayan comprado con la cuenta de PayPal ya que este servicio necesita de una autenticación que sí es 100 % segura.

OnePlus continúa investigando el suceso para esclarecer cómo sucedió y dónde se encuentra el error de seguridad. Puedes seguir su comunicado en el foro de la empresa.