PayPal ha notificado a 35000 usuarios de su plataforma que sus cuentas han sido vulneradas entre el 6 y el 8 de diciembre. Lo interesante aquí es que la culpa de este hackeo no se le puede atribuir a PayPal, ya que la plataforma no ha registrado ninguna incidencia en sus sistemas de seguridad en los últimos meses. Los hackers lograron acceder a las cuentas de los usuarios afectados a través de un ataque conocido como «relleno de credenciales».
Este ataque consiste en reutilizar los datos de inicio de sesión previamente filtrados o robados de otras plataformas para acceder a sus cuentas de PayPal. Todos los usuarios que no tenían activada la verificación en dos pasos o que no utilizaban una contraseña única para PayPal, fueron los afectados por este ataque.
35000 cuentas de PayPal fueron hackeadas por las malas prácticas de los usuarios
Según el reporte de Bleeping Computer, durante los dos días en los que los atacantes tuvieron acceso a las cuentas de PayPal de los afectados, pudieron obtener la siguiente información:
- Nombres y apellidos completos
- Fechas de nacimiento
- Direcciones postales
- Números de la seguridad social
- Números de identificación fiscal individuales de los titulares de las cuentas
- Los historiales de transacciones
- Los detalles de las tarjetas de crédito o débito conectadas
- Los datos de facturación de PayPal
Curiosamente, los atacantes no realizaron ninguna transacción no autorizada a pesar de que PayPal demoró 2 días en detener la intrusión y restablecer la contraseña de los usuarios afectados. Suponemos que no intentaron robar dinero para no hacer saltar las alarmas tan pronto.
Sea como sea, vale la pena volver a matizar que PayPal no fue hackeado. La vulnerabilidad que aprovecharon los atacantes fue el descuido de los usuarios que usaban en PayPal la misma contraseña que para el resto de sus cuentas y no habían configurado la autenticación en dos pasos.
PayPal también tiene algo de culpa
Ahora bien, esto no desembaraza de toda la culpa a PayPal. El director de operaciones de la firma especializada en ciberseguridad «Veridium» comentó lo siguiente al respecto:
«Como proveedores de confianza, PayPal y otros deben poner el listón más alto. Los vendedores deben implementar:
– Procesos para supervisar e identificar comportamientos anómalos, como el gran número de fallos de inicio de sesión de un ataque de relleno de credenciales. Ya existen múltiples herramientas y servicios que pueden hacerlo. Es inaceptable que PayPal tarde varios días en descubrirlo.
– Animar activamente a los clientes a utilizar la autenticación de dos factores, y no sólo ofrecerla como opción.
– Eliminar activamente las contraseñas de sus sistemas de cara al usuario acelerando la adopción de Fido Passkey».
En palabras más simples, PayPal debió detectar el comportamiento extraño en la cuenta y avisar a los usuarios el mismo día que se produjo el inicio de sesión no autorizado. Además, la plataforma debe recomendar mucho más (o incluso obligar) a los usuarios la activación de la autentificación en dos pasos en sus cuentas para que esto no ocurra de nuevo.
Si quieres poner en práctica tú mismo las medidas de seguridad necesarias para evitar hackeos en tu cuenta de PayPal, echa un ojo a este tutorial de cómo crear una contraseña segura que puedas recordar fácilmente.