:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/JWALEYOZX5DARHUSFFDOAYTN5M.jpeg)
PayPal dio a conocer que entre el pasado 6 y el 8 de diciembre de 2022 fue víctima de un incidente de seguridad que expuso la información personal de más de 35 mil usuarios de la empresa de pagos en línea.
El hackeo a dichas cuentas fue el resultado de un ataque de terceros no autorizados, quienes accedieron a las cuentas de clientes utilizando sus credenciales de inicio de sesión.
“No hay evidencia de que las credenciales hayan sido obtenidas de los sistemas de PayPal, con lo cual las credenciales deben haber sido obtenidas de brechas de seguridad pasadas y lograron acceder mediante algún tipo de ataque de fuerza bruta”, señaló la empresa.
Hasta ahora, PayPal dice no tener evidencia de que los datos de los usuarios hayan sido utilizados indebidamente como consecuencia del incidente. Según se detalla en el comunicado, durante esos dos días los atacantes tuvieron acceso a datos como nombre, dirección, número de seguro social, número de identificación tributaria o fecha de nacimiento.
Sin embargo, la empresa de ciberseguridad ESET, afirma que PayPal no señaló que el acceso a las cuentas de esas 35 mil personas también permite obtener el historial de transacciones, así como algunos datos de las tarjetas vinculadas.
“El riesgo de que hayan tenido acceso a esta información está relacionado con la posibilidad de ser blanco de ataques de phishing o de robo de identidad. Los atacantes pueden comercializar estos datos o pueden incluso utilizarlos ellos mismos para realizar fraude.”, alertó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/S5RLHDULKBDTNEKSHUXLSDFTFE.jpeg)
ESET detalló que se trató de un ataque que se conoce como credential stuffing, que es cuando cibercriminales de manera automatizada prueban con direcciones de correos y contraseñas que fueron filtradas en brechas pasadas hasta dar con alguna cuenta que siga utilizando esas mismas claves
Actualmente, PayPal tiene 12 años operando en México, lo que le ha permitido sumar a su lista alrededor de 250 mil comercios y más de 6 millones de usuarios activos; sin embargo, hasta ahora la firma de origen estadounidense no ha dejado en claro si algunos de los usuarios afectados están en México.
Sin embargo, la firma de seguridad ESET no descarta que algunos de los usuarios de México o de los países de América Latina hayan tenido afectaciones por el hackeo a más de 35 mil cuentas.
“Desde ESET recomendamos que más allá de cambiar la contraseña por una que sea extensa y segura para mayor tranquilidad, los usuarios activen la autenticación en dos pasos para que la seguridad de la cuenta no recaiga exclusivamente en la contraseña”, pidió la firma de ciberseguridad a los usuarios de PayPal.