Estas conocidas webs escanean los puertos del ordenador de los visitantes
Hace unos días, saltó a noticia de que eBay.com estaba escaneando los puertos de los ordenadores de los visitantes que accedían a su sitio web.
Este escaneo de puertos era realizado por un script de protección contra fraude llamado ThreatMetrix, que se usa para detectar equipos que potencialmente puedan haber sido comprometidos para realizar compras fraudulentas.
Una característica de este sistema de protección es que, cuando un usuario se conecta, utiliza WebSockets para escanear sin permiso 14 puertos TCP diferentes en el ordenador del visitante.
Los puertos que analiza corresponden a programas de acceso remoto que se utilizan normalmente para fines legítimos, pero que también pueden ser utilizados para tomar control de un ordenador de forma remota. Esta es la lista de puertos:
| Programa | Puerto |
|---|---|
| Desconocido | 63333 |
| VNC | 5900 |
| VNC | 5901 |
| VNC | 5902 |
| VNC | 5903 |
| Remote Desktop Protocol | 3389 |
| Aeroadmin | 5950 |
| Ammyy Admin | 5931 |
| TeamViewer | 5939 |
| TeamViewer | 6039 |
| TeamViewer | 5944 |
| TeamViewer | 6040 |
| Anyplace Control | 5279 |
| AnyDesk | 7070 |
Aunque es habitual que los sitios de comercio electrónico utilicen métodos para detectar el fraude, muchos usuarios creen que es demasiado intrusivo escanear el ordenador de un visitante en busca de programas sin permiso.
Para analizar qué otros sitios web pueden estar usando este script, BleepingComputer se puso en contacto con DomainTools, una compañía de seguridad especializada en amenazas web y DNS.
Cuando los sitios web cargan los scripts antifraude de ThreatMetrix, cargan el script a través de un nombre de host llamado online-metrix.net. Por ejemplo, el sitio de eBay carga el script de ThreatMetrix desde src.ebay-us.com, un registro DNS CNAME para h-ebay.online-metrix.net.
DomainTools ha proporcionado a BleepingComputer una lista de 387 nombres de host únicos de online-metrix.net con nombres similares.
Usando esta lista, BleepingComputer visitó los sitios web de muchas compañías y comprobó si estaban escaneando los puertos de los ordenadores al ser visitadas.
Aunque ninguno de los sitios web es tan como eBay en términos de visitantes, : Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree y WePay.
No todos los sitios web inician el escaneo de la misma forma. Por ejemplo, Citibank, Ameriprise y TIAA-CREF escanean inmediatamente los puertos del visitante cuando accede a la página principal del sitio. TD Bank, Chick-fil-A, Lendup, Equifax IQ connect, Sky, GumTree y WePay sólo escanean los puertos de los visitantes que intentan iniciar sesión.
Otros sitios web también parecen estar utilizando el script de ThreatMetrix, aunque no se ha detectado ningún escaneo de puertos en las páginas visitadas por Bleepingcomputer. En esta lista están Netflix, Target, Walmart, ESPN, Lloyd Bank, HSN, Telecharge, Ticketmaster, TripAdvisor, PaySafeCard, y posiblemente incluso Microsoft.
Si consideras que estos escaneos de puertos son intrusivos y un riesgo para la privacidad, puedes utilizar el complemento uBlock Origin en Firefox para bloquearlos. En Microsoft Edge o Google Chrome, no bloquea los escaneos ya que la extensión no tiene los permisos adecuados para desbloquear los registros DNS CNAME.
No es la primera vez que una empresa de tecnología o que usa cierta herramientas de tecnología, abusan con la buena fe del usuario común.
Es cierto que tienen que tomar acciones para protección, pero es necesario un control para evitar el mal uso o abuso.