Siempre atentos a aprovechar cualquier oportunidad para obtener rédito económico, los cibercriminales encontraron por estos días la forma de robar dinero de cuentas bancarias o de PayPal usando las tarjetas de regalo llamadas "eGift Card" de Starbucks, y su conexión con la aplicación móvil de la compañía. De esta forma, explotan el alcance masivo que tiene a nivel mundial esta cadena de cafeterías.
Las tarjetas en cuestión pueden enviarse por correo electrónico a cualquier persona, con el objetivo de otorgarle a modo de regalo una cierta cantidad de crédito que puede usar en una tienda de Starbucks. En forma paralela, existen las tarjetas individuales que cada cliente usa para comprar sus propios productos. Según se explica en Slashdot, los usuarios suelen conectarlas desde sus smartphones directamente a sus tarjetas de crédito o débito, de manera que se auto-recargue el saldo cuando se agote; esto es posible activando la opción en la aplicación móvil de Starbucks.
Pero si la seguridad de las cuentas asociadas a la aplicación es insuficiente, y estas no se encuentran debidamente protegidas -por ejemplo, si cuentan con una contraseña débil- es posible que se aproveche un agujero de seguridad.
Sucede que la app de Starbucks permite pagar en caja usando el teléfono, y recargar automáticamente las tarjetas tomando fondos de la cuenta bancaria, de la cuenta de PayPal o de la tarjeta de crédito que tenga asociada. CNN Money reporta que, aprovechando esto, los cibercriminales desvían los fondos accediendo a la cuenta online de Starbucks del cliente; una vez allí, agregan una nueva tarjeta, le transfieren los fondos y repiten el proceso cada vez que se autorecarga la tarjeta original.
Muchos fueron los clientes afectados por esta estafa. CNN cuenta el caso de Kristi Overton, que se enteró por varias notificaciones en su smartphone de que alguien había accedido a su cuenta de Starbucks, tras lo cual activó la opción de autorecarga y vació repetidamente los fondos de su tarjeta. El atacante le robó 115 dólares en unos pocos segundos, aunque Starbucks y PayPal le prometieron que le restituirán su dinero.
Slashdot cuenta también el caso de Maria Nistri, de 48 años, a quien le robaron 34,77 dólares que había cargado en su aplicación de Starbucks, y luego otros 25 dólares después de que se cargó aumtomáticamente su tarjeta porque el saldo llegó a cero. Fue entonces cuando los delincuentes cambiaron la cantidad autorizada para recarga automática a USD 75, y le robaron esa cantidad de dinero -todo en siete minutos.
Como muchos otros incidentes, este podría haberse evitado si existieran medidas más fuertes de seguridad como contraseñas fuertes y doble autenticación por parte del proveedor, que en estos casos no solicitaba ningún tipo de validación ni autorización al momento de realizar las recargas.
Bob Sullivan fue el primer periodista en reportar este incidente, y afirmó: "Este fraude es un gran problema porque los pagos móviles de Starbucks son algo de magnitud. El año pasado, Starbucks dijo que procesó 2 mil millones de dólares en transacciones de pago móviles, y aproximadamente 1 de cada 6 transacciones se llevan a cabo con la aplicación de la compañía".