En España está siendo cada vez más habitual ver entidades o empresas hackeadas por diversos motivos. No faltan ejemplos, que van desde Endesa recientemente hasta el CSIC en 2024.
La cuenta Hackmanac, que se dedica a rastrear ataques cibernéticos de todo tipo, ha anunciado un supuesto hackeo a la web de comercio tecnológica PcComponentes, que no ha sido aún verificado.
Según esta cuenta, un actor de amenazas conocido como daghetiaw asegura haber atacado la web. Además, ha publicado un conjunto de datos con información de 16,3 millones de personas incluyendo datos sensibles.
PcComponentes habría sido hackeada
Tal y como relata Hackmanac, el atacante habría publicado este conjunto de datos a la venta en un foro de hacking. En su publicación, daghetiaw especifica los datos robados y publica una muestra de ellos.
En caso de ser verídica, se habrían obtenido números de pedidos, facturas, direcciones, datos de contacto, números NIF, metadatos de tarjetas de crédito, información relacionadas con compras e incluso direcciones IP.
No se especifica la forma en la que este atacante, de posible origen ruso, habría atacado a la compañía murciana. En el foro, la muestra publicada para su venta incluye datos de 500.000 personas.
En caso de ser real, el suceso supondría uno de los mayores varapalos al sector del comercio electrónico en España, debido a la magnitud del hackeo y sobre todo, la naturaleza de los datos sustraídos.
La tecnológica española Pandora FMS, de la mano de su CEO Sancho Lerena, explica que el problema no es la cantidad de datos filtrados, sino los propios datos en sí.
Lerena aclara que esta información permitiría "construir una identidad falsa con total apariencia legítima". Remarca además que cuando se filtran esta clase de datos, la cuestión no es hablar de un ataque.
Captura de pantalla de la publicación.
"Hablamos de una pérdida total de soberanía digital", aclara el CEO, que añade que este "no es un error puntual, sino un síntoma de cómo se diseña y opera en España".
"España no puede permitirse que su mayor eCommerce tecnológico gestione datos sensibles sin blindajes adecuados", apostilla Lerena, que lanza una puya al modelo de trabajo de muchas compañías españolas y europeas.
A su juicio, estas firmas trabajan "sin visión de largo plazo, sin planes de contingencia y sin supervisión real". A esto debemos sumarle una serie de riesgos asociados no poco problemáticos.
El CEO de Pandora asegura que este ataque podría aumentar enormemente las estafas de suplantación de identidad y fraude financiero, con la posibilidad de que se produzca una explosión en ataques de phishing.
PcComponentes.
Ataques, dice Pandora, con información verificada además. Esta situación abre la posibilidad a que se den fraudes por suplantación de productor y servicios sin consentimiento.
PcComponentes niega el ataque
Poco después de la publicación de esta y otras piezas relacionadas, PcComponentes ha salido a la palestra y ha negado que se haya producido una brecha de seguridad.
Tras "una investigación por parte de nuestros expertos en seguridad", la murciana niega que haya habido un acceso ilegítimo ni a sus bases de datos ni a sus sistemas internos.
¿Qué ha pasado? Desde PcComponentes aseguran haber detectado un procedimiento de credential stuffing, harto conocido en materia de ciberseguridad.
Monta tu ordenador a la carta y recibe asesoramiento de los expertos de PcComponentes
"Un tercero ha usado direcciones de email y contraseñas obtenidas a partir de filtraciones de seguridad ocurridas en bases de datos comprometidas, ajenas a PcComponentes", dice la empresa.
Usando estas bases de datos, los atacantes "prueban de forma automática y masiva esas combinaciones de acceso en múltiples plataformas", buscando a los usuarios que reutilizan normalmente sus contraseñas.
Estos ataques pueden permitir accesos no autorizados a las cuentas de los usuarios que realizan estas prácticas, totalmente desaconsejadas a la hora de proteger nuestros datos.
Entre los puntos clave que menciona PcComponentes, se destaca que no se han visto comprometido datos bancarios, ya que la web no los almacena; solo conserva un código de seguridad en forma de token para identificar pagos.
PcComponentes.
Fuera del sistema de pagos de PcComponentes, estos identificadores no tienen valor alguno, y no permiten ver datos de tarjetas o realizar cargos indebidos.
Por otro lado, niegan que la cifra de 16,3 millones de clientes sea verdadera, ya que "el número de cuentas activas en PcComponentes es marcadamente inferior [...] Únicamente algunos clientes se han visto afectados", añade el comunicado.
Lo mismo ocurre con las contraseñas. Estas nunca se almacenan en la base de datos de PcComponentes. Se convierten en un hash irreversible, por lo que ni siquiera la empresa puede verlas.
Por último, aclaran que solo se han visto afectados datos relacionados con los nombres, apellidos, DNIs, direcciones IP, teléfonos y direcciones de correo electrónico.
Caja de PcComponentes.
PcComponentes también ha añadido una serie de medidas correctivas para prevenir accesos no autorizados. En primer lugar, han implantado un sistema CAPTCHA en el proceso de inicio de sesión.
Junto a esta medida, han activado de forma obligatoria un segundo factor de autenticación en dos pasos enviando un código de verificación al correo electrónico del usuario.
Por último, todas las sesiones activas han sido invalidadas de forma forzosa. Todos los usuarios deberán iniciar sesión nuevamente bajo estas nuevas medidas de seguridad.