Acceder

eBay ha pasado de ser uno de las grandes tiendas de Internet a ser un foco de investigaciones forenses informáticas.  Ahora tiene a los gobiernos de tres estados y al FBI investigando qué pasó, y eso le ha bajado las acciones en la bolsa.

Connecticut, Florida and Illinois said they were conducting a joint investigation of the matter. New York attorney general Eric Schneiderman requested eBay provide free credit monitoring for everyone affected, according to a person familiar with the matter.  Connecticut, Florida and Illinois said they were conducting a joint investigation of the matter. New York attorney general Eric Schneiderman requested eBay provide free credit monitoring for everyone affected, according to a person familiar with the matter.  EBay shares were down 1.3% in afternoon Nasdaq trade, compared with a 0.6% increase in the Nasdaq Composite Index.  The investigation by the three states will focus on eBay's measures for securing personal data, the circumstances that led to the breach, how many users were affected and the company's response to the breach, said Jaclyn Falkowski, a spokeswoman for Connecticut Attorney General George Jepsen. - Three states investigate eBay response to massive cyber attack

Un sitio web indica que los atacantes usaron cuentas de empleados robadas para acceder a la información.  En Febrero ya tendrían las cuentas y en Marzo termina la incursión.  ¿Y en todo ese tiempo nadie se dio cuenta?

Attack made between February and March and affects 145 million users
Hackers infiltrated the corporate network after stealing employee logins
This gave hackers access to eBay customers' name, encrypted password, email address, home address, phone Firm said there is no evidence to suggest PayPal accounts were affected
But security experts are warning hackers could still use personal details to commit identity fraud - even after the password has been changed
eBay admits it kept massive cyber attack secret because it thought customer data was safe - but will STILL not say how long it knew data of 145m users was compromised

Luego de esto una supuesta venta de bases de datos estaría teniendo lugar por una cantidad de bitcoins, aunque eBay niega que sea auténtica la base de datos (Ebay denies 'stolen database' on sale for 1.45 bitcoin is authentic).  ¿Qué factores de vulnerabilidad podrían haber favorecido que eBay sea presa de tales ataques?

Deterioro de controles por razones de recortes (eficiencia financiera)

En 2012 eBay recortó empleos (EBay's PayPal cuts 445 jobs), lo cual significa que pasa de tener más manos para trabajar las cosas a tener menos manos para atender todo lo que hay que atender, con la eficiencia como excusa.  Controlar no es eficiente, al menos no para los financieros, y cualquiera con sentido común que haya trabajado en una empresa en los últimos 50 años y haya visto un recorte, lo sabe.  Con la partida de empleados también parte el know-how, que no se trata de procedimientos para hacer las cosas, sino de ese conocimiento que viene de la experiencia, y que ningún procedimiento documenta, acerca de cómo resolver los problemas, usando como referencia experiencias anteriores. Y si la idea es recortar para contratar en modalidad de outsourcing, se tiene una persona que no entiende la necesidad de seguridad o que no entiende a los clientes y sus necesidades, y que tampoco tiene experiencia para lidiar con los problemas.  Y ya no digamos diferencias culturales que hagan difícil convertir a la empresa en un reloj suizo que funciona a la perfección.

Entonces cabría preguntarse ¿hubo en el pasado otro robo de bases de datos de eBay?  Hay una versión en particular que recuerdo, y que circuló en los entornos bancarios, que decía que sí, que cerca del año 2000 hubo un robo de datos y muchos bancos tuvieron que andar cancelando tarjetas de crédito de mucha gente y haciendo contracargos masivos, pero como sólo son versiones, no se puede confirmar. El problema de que esas versiones fueran ciertas es que un sitio que ya era vulnerable, resulta atractivo para los que quieran aprovecharse.  De seguro el FBI podrá indagar el tema de la seguridad informática en esa empresa.  Realmente si hubo o no robos anteriores, no resulta demasiado relevante, excepto claro, para el FBI.  El problema de fondo no es si hubo robo o no.  El problema básico es si los mecanismos de control interno funcionaban o no.  Cuando hay recortes, los controles suelen decaer, por lo que me inclino a pensar que pudo haber algo de esto, empujado desde altos niveles.

Deterioro de servicio por razones de recortes (eficiencia financiera)

Los recortes también suelen traer problemas de servicio, porque resolver problemas de clientes es ineficiente, los problemas de los clientes no están estandarizados, y es ridículo tratar de estandarizarlos.  Lo que sí estandarizan los financieros es que tratan de obtener más casos cerrados por menos dinero, pero como casos cerrados no equivale a problemas de clientes resueltos, entonces la reacción natural de los empleados en otros países es tratar a los clientes como si acudieran a una ventanilla de gobierno. 

  • ¿Te falta este requisito que desconocías? Te cierro el caso. 
  • No te creo (o no quiero creerte. Me estás mintiendo.  Caso cerrado.
  • No hay nada que podamos hacer sobre tu problema, caso cerrado.
  • Te fastidian como cliente y cuelgas el teléfono.

Y de esta forma hay infinidad de maneras de hacer rápida la llamada de manera fraudulenta, para mostrar una productividad sobresaliente a costa de los clientes, de modo que los empleados extranjeros empiezan a cerrar muchos casos y mostrar desempeño sobresaliente.  ¿Y la calidad de la atención en la llamada?  Controlar es financieramente ineficiente, de modo que un "root cause analysis" es improbable que suceda, además de que los supervisores extranjeros no querrán poner en mal las operaciones en su país para atraer más operaciones de la compañía a su país.  Y el cliente a la porra...

En lo personal, mi experiencia con eBay fue bastante desagradable.  Apenas creando mi cuenta, me la cancelan, como se hace con aquellas que tienen operaciones sospechosas, como si fuera yo un criminal, y apenas había comprado unos pocos artículos nada extravagantes, completamente ordinarios, y gracias a ese bloqueo de cuenta perdí varias subastas de artículos que quería comprar, y encima tuve que llamar por teléfono, porque eBay no tiene medios para comunicarse electrónicamente, y tuve que esperar como 40 minutos en llamada internacional para que un ser humano me atendiera.  Evidentemente, para mí como cliente fue un verdadero fastidio tratar con esa empresa.  Algo estaba verdaderamente mal hace apenas pocos años.  El ser humano (estadounidense) que me atendió fue muy amable y atenta (era una americana, por el acento), pero le pongo cero estrellas en servicio, por tener que pagar el exorbitante recibo de teléfono que hace ruinoso tratar con eBay, como resultado del adefesio de servicio y los errores en eBay.  No he vuelto a comprar allí desde entonces.  Y eso fue antes de que hicieran outsourcing.

¿Acaso estoy extrapolando y generalizando mi experiencia de cliente insatisfecho?  En los mismos foros de eBay se puede encontrar multiples quejas de compradores e incluso "sellers", comentarios que parece que en eBay tampoco leen, porque moderar y responder en foros tampoco es financieramente eficiente.

My EBAY account COMPLETELY DISAPPEARED! All my sales info, ratings etc... What was EBAY's answer to me? That I WAS A LIAR, that my account never EXISTED.  In fact, the sweet little Indian girl insisted over and over again that I was in fact LYING!  Does it matter that my PAYPAL Account still shows many of the transactions I had with EBAY? Hell no!  So I had to open up a brand new account with no customer feedback, which means that my sales will get lower bids and cost me money.  THANKS EBAY, You have another satisfied customer!  Uh, I'm lying about that, because hey I'm a liar according to your support person. Where can I file a complaint about EBay's customer support. - knoteboom

Those Ebay Customer Support people have some major attitude issues! I called in a nice way and tone and was treated like a I was a thief/liar/most horrible person in the world for nothing! RIDICULOUS!! - thepinkshoppingbag24

Now that eBay's sole reason for existence is GREED, eBay doesn't have any 'Customer Service' or Customer Support any more.  Now they just have an '800' number that after 20 minutes on hold, gets you a moron in the Phillipines that can't understand of speak English.  eBay doesn't want to help you with any problems, they only want your money. - oddstuff13

In 15K transaction I had on eBay for a diamond that turned out not to be what was described and seller was very deceitful after he refused to refund the item and shipping cost, I left him a negative feedback. Ebay immediately removed the negative feedback for him and in turn enabling him to continue his deceitful practice. I was careful to spot and discover seller’s deceitfulness but many more may not be such lucky. When I called eBay they cited that my history of occasional leaving feedback prompted them to do so. Of course I leave negative feedback to deceitful sellers. I don’t find money on trees. - kurdistan1125

Ebay is a joke......spend your time answering their questions and filing the paperwork........waiting for responses........signing affidavit....faxing it back....Then they dismiss your complaint of not receiving an item for one of there sellers that doesn't even espond to their requests....What  a joke.      No more of my money will ever reach Ebay....shambay again. - 125eddiem

eBays phone line will instruct you to get live help from the upper right corner of their home page. Neither the ebay.com page nor the corporate page have such a link. Poor service makes for a poor product. The menu driven customer support links don't even begin to address the myriad of possible problems a customer might have. The lack of a means to efficiently report counterfeit or fraudulent items make me suspicious that eBay is trying to avoid having to investigate these complaints so as to collect more fees, obviously at the consumers expense. Bad service makes for a bad company. The fact that these posts are here as long as they are proves this. If you do not get satisfaction, go to an outside agency. - michael.eliel

This is so true. They do not care about you as the customer, nor your purchases. They give you only 45 days to file a complaint, which as we all know is eaten up quickly in shipping times, long communication periods etc. The seller purposely drug this issue out for us, till we could no longer file a complaint and now we are SOL. - nvfostermom

Hands down the WORST customer support in the Philippines I have ever experienced  Ebay is clearly going downhill fast. What a shame. - jpsny

After spending the day with steam coming out of my ears I am so glad I found discussion. I am both a buyer and seller on Ebay and try my very best to be honest and fair but having had 3 bad experiences as a buyer I had to leave negative feedback as I had nothing neutral or positive to say. One experience consisted of a seller selling me an item as new that was second hand and when I opened a case after they refused to communiacte with me I was subjected to appalling insults, abuse, threats, foul language and someone coming round to my home to 'sort me out' so after the case being settled in my favour and Ebay agreeing the seller had violated numerous policies in their communication with me I left negative feedback which I made sure was in line with the feedback policy. I'm not one for resorting to insults, just try to be honest. However, being honest is obviously not encouraged on Ebay and I have had a message (that was gramatically incorrect!) informing me that because I have left 3 lots of negative feedback in a certain amount of time my 'behaviour' is not acceptable and if I persist my account will be subject to sanctions! Also my negative feedback has been removed! I was obviously upset and frustrated, and that's putting it mildly, so contacted customer support only for most of my questions to be ignored (something customer support seem to excel in!) and for me to be told again that I need to take note of this warning. It is bad enough that Ebay decided buyers can no longer receive anything but positive feedback but it now seems Ebay want to police absoloutely everything and if you are unlucky enough to have 3 bad buying experiences and are truthful and leave honest negative feedback you are threatened with account sanctions and the seller gets away with having their behaviour exposed and other buyers are left clueless as to what others have experienced.  After the particular buying experience I've detailed above I'm disgusted at Ebay's behaviour and am thinking of just closing my account as due to the increased fees there seems to be no point in being loyal anymore when they are so dictatorial and the customer service is a joke. I know that if I continue to complain and fight my case with customer service eventually I'll just be ignored or will just receive answers to questions I have not asked so although it is against my nature to give up I'm thinking what's the point? I would be interested to hear if anyone else has been subjected to this and if they complained and got anywhere. - kopite-69

Where can I file a complaint about EBay's customer support.

Resulta notorio cómo a menudo sale el tema del servicio en Asia entre clientes, pero notamos una sequía de reporte de problema en medios de comunicación "mainstream".  El resultado en materia de servicio no parece muy halagüeño. En customer service scoreboard encontramos que eBay tiene entre los posts de clientes un 96.98% de comentarios negativos y 3.02% de comentarios positivos. (eBay Customer Service).

¿Te has preguntado si una persona con un sueldo miserable en un país asiático no se vería tentado a ganar un poco de dinero a cambio de la llave de la fortaleza?

Recortes como fuente de vulnerabilidad ante hackers

Entonces nos preguntamos si realmente eBay estaría teniendo una situación que aprovecha las debilidades competitivas.  Es claro que una empresa que se debilita a sí misma, luego puede verse vulnerada por alguien que nota el descuido.

Los recortes hechos con la idea financiera de que "si bajo el presupùesto, los trabajadores vagos dejarán de serlo", o la idea de que "despido a una persona que sabe hacer su trabajo, y contrato a 5 o 10 que no saben nada y les capacito" trae muchos problemas porque responde a una ideología fallida que debilida controles y servicio en las empresas.  Hablé de ello en mi post La ideología fallida del recorte.

De este modo, cuando el recorte no se trata de remover proyectos no rentables, ni tampoco recortes por razones culturales y no financieras, lo que se crea es el caldo de cultivo para un ataque informático, porque los recortes no sólo desmejoran los servicios, sino los controles también.  Pensar en poner el sistema más avanzado para evitar que una persona entre a un edificio no considera el eterno problema de las llaves extraviadas, y del portador de la llave descuidado.  Y probablemente entre trabajadores de países lejanos no vean la importancia de cuidar las llaves, o incluso vean ganancia en vender las llaves a extraños.  Cada cultura es distinta.

Ya hace unos meses vimos el caso de India y el gran robo al banco, que no fue otra cosa que otro robo de datos.  ¿Será que tener outsourcing en Asia genera un factor de vulnerabilidad?  Los medios mainstream sólo nos dejan con sequía de información.  Probablemente no quieren ir en contra de la moda gerencial de moverse a esos países, y tampoco quieren sentir que esas ganancias se ganan a costa de la vulnerabilidad, y por eso no hablan de eso.  ¿Qué pasaría si hablaran?  Seguro habría gobiernos enteros diciendo que el periodista miente, que no es cierto, y sacan estadísticas adulteradas políticamente para demostrar que no es cierto, y seguramente las empresas con outsourcing le causarían sequía publicitaria al medio de comunicación.  Todo parece estar diseñado para fallar, para favorecer al hacker.

El FBI puede investigar las debilidades, pero esas debilidades no son un delito.  El outsourcing a países con gentes con vidas de mucha pobreza tampoco es delito.  Pero en el fondo la avaricia de los financieros es lo que favorece a los hackers, y la avaricia no es delito punible como para que el FBI pueda empujar una causa, pero la avaricia sí que es el caldo de cultivo para favorecer a los hackers.  ¿Cómo miro el futuro?  Los hackers buscarán empresas con perfil vulnerable para atacar:

  • Empresas dirigidas por financieros avaros que creen que los números son la realidad
  • Empresas con recortes
  • Empresas que buscar eficiencia, y no servicio y contol, y que en lugar de despedir en la alta gerencia o recortarse salarios, despiden empleados rasos.
  • Empresas con outsourcing
  • Empresas que dan mal servicio a sus clientes y que registran muchas quejas

Escándalos como el de Enron donde los controles no existían, dieron origen a la ley Sarbanes-Oxley (conocida como la ley SOX) y metodologías de precios como Vendor-specific objective evidence (VSOE).  Pero todo esto es decorativo en un ambiente de ausencia de control.  Es que los financieros creen que por tener cláusulas de confidencialidad para con sus empleados, están a salvo de escándalos por violar la ley.  Puedes ver más detalles sobre el caso Enron en mi post La falta de valores morales perjudica a los inversionistas.

Cuidarte las espaldas en tiempos de recorte

Por eso era que cuando hablaba de que en tiempos de recorte debes cuidarte las espaldas pensando en la auditoría futura, no estaba bromeando. 

  • En Enron, la remoción de controles llevó a fraudes complicadísimos.  Fue una remoción promovida desde la alta gerencia, impulsada por la avaricia corporativa.
  • En paralelo, el deterioro de controles de Andersen Consulting, promovido desde las altas esferas de la empresa, llevó a su caída.  La avaricia del financiero empujó la caída.

    In its drive to boost profits, the Chicago auditing legend diluted its lofty standards, rewarding partners who generated hefty consulting fees and forcing out its blunt bookkeepers. Andersen's leaders have portrayed the firm as the innocent victim of overzealous prosecutors and a dishonest client. But a close examination of Andersen's collapse reveals a very different story. "It came down to doing the job as quickly as possible and making the most money. They pushed the edge of the envelope--pushed it too far," said Dean Christensen, who ran Andersen's Columbus, Ohio, office for more than 15 years. "I just think it got out of control. What it ended up being is greed. Total greed."  But the new strategy also planted the seeds of the firm's downfall. Suddenly, partners who faced accounting dilemmas with clients had a lot more at stake when deciding whether to reject questionable practices uncovered in audits. The fallout from those decisions has unfolded in the headlines about shredded documents, restated earnings, shady loans and financial sleight of hand at Enron, WorldCom Inc., and Waste Management Inc., all Andersen clients beset by accounting scandals. - The fall of Andersen
     
  • En el caso del gran robo al banco en India, las fallas de control interno también, y en las empresas con recortes los mismos financieros debilitan toda clase de controles. 

La erosión de controles promovida por presiones cotidianas impulsadas desde altos niveles de la organización, en busca de mayores ganancias, generalmente lleva al desastre, tarde o temprano.  Y por eso debes cuidarte las espaldas.  No querrías que luego vengan a manchar tu nombre como empleado, ya sea hoy o en el futuro, ya sea que estés o no en la empresa.

Puede ser que hoy te presionen a brindar velocidad y a dejar pasar cosas por razones de "eficiencia" o para complacer a alguien, para no enojarle, pero en el futuro, que puede ser unos meses o unos años, cuando venga la auditoría, o peor aún, la investigación judicial, los que te presionaron no van a poner la mano al fuego por tí.  Por eso, aunque parezcas necio, debes tener todo en orden, para que si vienen los auditores, tengas todo en regla, como si trabajaras como empleado de gobierno.  Los empleados de gobierno son expertos en cuidarse las espaldas, porque los cambios de administración suelen traer también persecuciones políticas veladas, donde buscan trapos sucios para despedir y poner al amigo en su lugar.

La gente suele hacerte creer que ser honesto es ser tonto, pero te digo que la honestidad hace una diferencia en el largo plazo.  La honestidad paga, y te lo digo por propia experiencia.  Es un tema para conversar largamente.

Ya porque un compañero de trabajo sea muy simpático o muy amigo, o porque aquella chica sea muy sexy y quieras quedarle bien, no deberías acceder a hacer cosas que no harías frente a un auditor.  ¿Acaso existe una manera de reconocer a un criminal?  La realidad es que la gente es honesta hasta que quiera.  Una vez me tocó ver a una chica muy simatica, una vecina tan hermosa que hacía ver a Angelina Jolie como mujer fea, verse arrestada por participar en un fraude de tarjetas de crédito.  Los controles eran laxos, y ella no vio inconveniente en acceder en un ambiente sin controles, pero la auditoría que no le conocía a ella, posteriormente encontró un ligero desfase contable y todo llevó a ella, y ahora tenía una causa judicial donde lo robado no cubría ni el costo del abogado.

Cuida tu espalda en ambientes de recortes, para que no te pille la auditoría ni la policía con nada anómalo o irregular.  En unos meses o en varios años, en tu empresa puede pasar lo mismo que en eBay.

4
¿Te ha gustado el artículo?

Si quieres saber más y estar al día de mis reflexiones, suscríbete a mi blog y sé el primero en recibir las nuevas publicaciones en tu correo electrónico.

  1. #4
    05/06/14 12:50
    "despido a una persona que sabe hacer su trabajo, y contrato a 5 o 10 que no saben nada y les capacito"
    Casi estoy en estas. Lo digo porque desde hace un mes yo soy uno de esos 5 o 10 que entran, pero de lo único de lo que no sé nada es del entorno en que me muevo, las tecnologías las controlo. Y eso sí, no se me ha capacitado de nada y he tenido que buscarme las cosquillas por mi cuenta. El resultado es que tras un mes voy a ir al médico a ver si estoy para coger una baja por stress, depresión o lo que sea. Estoy mal. Para las cabezas pensantes, más vale fuerza que maña. Quieren arreglar esto a base de meter gente, no de atajar problemas desde la raíz. Si hubiesen comandado el Titanic, hubiese pasado esta secuencia. 1. Desde que zarpa el buque están recibiendo avisos de la tripulación de que llegando a Terranova van a encontrar zonas de icebergs, algunos muy grandes. Se dan instrucciones de que vale, que lo miren los operarios. 2. En plena zona de icebergs, la tripulación avisa de que los hay, y muy grandes, y algunos en plena ruta de navegación. Se insiste a los operarios y se les asignan más tareas. Se ordena que no se tenga en cuenta al grupo de arquitectura del buque y que las funciones las hagan los de abajo. 3. Justo antes de la colisión con el iceberg fatal, hay avisos de que vamos directos a la catástrofe. Se vuelve a cargar a los operarios con que revisen el buque. Quiten a unos cuantos, metan a otros (¿de dónde? De esos que flotan). 4. Catacrac. No pasa por ahora nada, seguimos a flote; operarios, hagan lo que puedan y rellenen papeles. 5. El buque se escora. SOS. Que venga personal del Carpathia a tapar la rendija con las manos. Seguimos hasta NY. Los operarios enferman y algunos se van. 6. Por escribir. Esto ha sido a modo de desahogo, porque lo necesito, y para que se hagan una idea de qué pasa cuando los de arriba se ponen de perfil ante los problemas y se decide que el que venga después, que arríe; hasta entonces, que paguen, que paguen.
  2. en respuesta a Ismael Vargas
    -
    Top 100
    #3
    02/06/14 23:19

    Amazon solía ser mirado de reojo entre 1997 y 2000. Jeff Bezos no se ajustaba al estereotipo de hombre con Tuxedo y retórica de pastor de iglesia.

  3. Top 100
    #2
    02/06/14 17:22

    Con tu permiso voy a subir un gráfico comparando eBay con Amazon desde 2007, ya que Amazon ha sabido adaptarse bastante bien ganando cuota de mercado, mientras que eBay ha pasado a un segundo plano parece ser. Mis amigos más "tecnológicos" ya se fijan más en Amazon que en eBay, en realidad desde hace tiempo... Son factores a tener en cuenta, quién se adapta mejor y más rápido. Un saludo y gracias por el comentario.

  4. #1
    02/06/14 16:53

    Un poco lioso este post. Hasta que no llevas un rato leyendo no sabes qué es lo que ha pasado con eBay...