Publicada enElectrónica e Informática Noticias de Ecommerce PcComponentes seguridad

Crónica de un supuesto hackeo masivo: qué ocurrió realmente en PcComponentes

na imagen de proporciones 16/9 en la que aparezca este logo de pccomponentes (adjunto) en la pantalla de un ordenador. El ordenador está situado en una sala relativamente poco iluminada

Si sigues la cuenta de Twitter de Hackmanac habitualmente, habrás comprobado que las brechas de ciberseguridad están a la orden del día. Tanto si afectan a empresas como a organismos oficiales (ojo, Ayuntamiento de Beniel) de todo el mundo, desde @H4ckmanac suelen aportar información actualizada sobre el tema. Y hoy, la empresa que se ha visto mencionada por esta cuenta no es una cualquiera: es uno de los principales eCommerce de España. La cuenta hablaba de una brecha de seguridad en PcComponentes.

 

 

Y parecía gigantesca.

Qué sabemos sobre la posible brecha de seguridad en PcComponentes

Vale, vamos en orden cronológico, que será la forma más sencilla de contarlo.

Según la información publicada, un usuario identificado bajo el alias “daghetiaw” afirmaba haber vulnerado con éxito los sistemas de PcComponentes. La información, que fue detectada originalmente en el foro especializado BreachForums, apuntaba a una brecha de seguridad de proporciones considerables que podría afectar a la práctica totalidad de la base de datos histórica de la compañía.

El atacante aseguraba poseer un conjunto de datos que incluye registros de más de 16,3 millones de individuos.

Quién es Daghetiaw

El autor ostenta el rango de “God” en la comunidad del cibercrimen, donde este “reconocimiento” no se compra, sino que se gana filtrando bases de datos reales y masivas anteriormente. Además, su fecha de ingreso es noviembre de 2023 y tiene una reputación positiva (270). Es decir: es un actor establecido y no un perfil creado recientemente para difundir noticias falsas.

Así que esto otorgaba una credibilidad muy alta a la publicación.

Para respaldar sus afirmaciones, el usuario ha publicado una muestra gratuita de 500.000 líneas de datos, lo que permite a los analistas verificar de forma preliminar la autenticidad de la información filtrada. Entre los campos de datos presuntamente robados se mencionaban números de NIF (DNI), direcciones postales, detalles de contacto y facturas completas. Además, la filtración incluiría metadatos de tarjetas de crédito y tickets de soporte de Zendesk, que podrían contener conversaciones privadas y detalles sensibles sobre incidencias de los clientes.

La reacción (y la aclaración) de PcComponentes

Sin embargo, a mediodía del miércoles, PcComponentes emitió un extenso comunicado oficial que cambió por completo la narrativa del incidente. Tras una investigación forense liderada por sus expertos en seguridad, la compañía desmintió categóricamente haber sufrido un acceso ilegítimo a sus bases de datos o sistemas internos. Lo que Hackmanac había detectado y el atacante proclamaba como un “hackeo masivo” era, en realidad, un fenómeno conocido como credential stuffing.

¿Cre-den-tial… stuffing?

Sinceramente, hasta que leí el comunicado de la compañía murciana jamás había oído hablar del concepto de “credential stuffing”. Así que, no te lo voy a negar, he recurrido a ChatGPT para que me (nos) lo aclare. Te dejo con la IA de Sam Altman:

El credential stuffing es un tipo de ataque cibernético en el que los delincuentes utilizan combinaciones de nombre de usuario y contraseña obtenidas de brechas de seguridad anteriores para intentar acceder a cuentas en otros servicios en línea. Este tipo de ataque se basa en el hecho de que muchas personas reutilizan las mismas credenciales (usuario y contraseña) en múltiples sitios web o aplicaciones.

Los atacantes suelen utilizar bots para automatizar el proceso de prueba de estas credenciales en una gran cantidad de sitios web, con el objetivo de acceder a cuentas de usuarios. Este ataque se vuelve más efectivo cuando las personas utilizan contraseñas débiles o no cambian sus credenciales tras sufrir una brecha de seguridad.

Para prevenir el credential stuffing, es recomendable usar contraseñas únicas y fuertes para cada cuenta, habilitar la autenticación de dos factores (2FA) y monitorear las cuentas para detectar accesos no autorizados.

Vale, y una vez aclarado esto, ¿qué más ha explicado PcComponentes sobre este presunto incidente de seguridad?

“Únicamente algunos clientes se han visto afectados”

El comunicado de PcComponentes explica que “tras una investigación por parte de nuestros expertos en seguridad, no tenemos constancia de que PcComponentes haya sufrido una brecha de seguridad en sus sistemas. Lo que hemos detectado es un fenómeno conocido en ciberseguridad como credential stuffing”.Además, la empresa destaca que “no se ha producido un acceso ilegítimo a nuestras bases de datos ni a nuestros sistemas internos”.

Sobre la escandalosa cifra de 16 millones de clientes afectados, PcComponentes es todavía más rotunda: “es falsa, ya que el número de cuentas activas en PcComponentes es marcadamente inferior. Asimismo, el acceso ilegítimo no ha sido masivo, es decir, únicamente algunos clientes se han visto afectados. Los datos bancarios no se han visto comprometidos en ningún caso dado que PcComponentes no los almacena. PcComponentes solo conserva un código de seguridad (token) que sirve para identificar el pago, pero que no permite ver la tarjeta ni realizar cargos por sí solo. Ese código no tiene valor fuera del sistema de pago y no puede usarse de forma fraudulenta. Por este motivo, no existe riesgo de robo de datos bancarios. Tus datos financieros están protegidos en todo momento.

Las contraseñas de clientes nunca se almacenan en nuestra base de datos. En su lugar, se convierte en un código secreto y cifrado (‘hash’). Este código es irreversible, lo que significa que ni nosotros ni nadie más puede ver tu contraseña original. Las categorías de datos afectados son: nombre, apellidos, DNI (en los supuestos en los que el cliente lo haya introducido), dirección, IP, correo electrónico y teléfono“.

Y aquí está la clave del incidente: en un ataque de credential stuffing, un bot puede probar millones de combinaciones de usuario y contraseña y “acertar” en cientos de miles si la base de credenciales de origen (filtrada previamente en otros servicios) es lo suficientemente grande. Para el atacante, el resultado puede parecer un botín masivo; para la empresa, al no haberse producido un acceso a su base de datos central ni a sus sistemas internos, el impacto se limita exclusivamente a las cuentas individuales de aquellos usuarios que reutilizaban contraseñas.

De este modo, pueden existir grandes volúmenes de datos personales expuestos sin que haya habido una brecha de seguridad propiamente dicha: el atacante no habría robado la base de datos corporativa, sino que habría accedido cuenta por cuenta utilizando credenciales reales y recopilado la información que cada perfil mostraba legítimamente. Aunque la muestra publicada incluía cientos de miles de registros, esto no implica necesariamente un acceso a sistemas internos, sino que puede corresponder a la agregación de datos visibles desde cuentas individuales comprometidas.

Qué hacer en caso de haber sido afectado

Vale, pero… ¿y qué sucede con los clientes afectados?¿Qué deberían hacer?

pantalla de acceso para clientes de pccomponentes
Pantalla de acceso para clientes de PcComponentes

Para atajar el problema y proteger a su comunidad de futuros intentos de credential stuffing, la minorista tecnológica ha implementado medidas correctivas de cumplimiento obligatorio. Entre ellas destaca la activación del segundo factor de autenticación (2FA), que requiere un código enviado al correo electrónico para cada inicio de sesión, y la implantación de sistemas CAPTCHA para bloquear el acceso de programas automatizados. Además, la compañía procedió a la invalidación de todas las sesiones activas, forzando a los usuarios a reconfirmar su identidad bajo estos nuevos protocolos de seguridad.

A pesar de que los sistemas centrales están intactos, la filtración de datos personales de los clientes cuyas cuentas fueron vulneradas individualmente (nombre, DNI, teléfono, dirección e historial de pedidos) abre la puerta a un riesgo secundario: el phishing dirigido. PcComponentes ha advertido de que los estafadores podrían utilizar la información de compras pasadas para enviar correos o SMS fraudulentos que resulten creíbles para el usuario. Por ello, la empresa enviará comunicaciones personalizadas a los clientes afectados para informarles de forma transparente sobre qué datos específicos han podido ser visualizados

Ante este escenario, parece recomendable que todos los clientes de PcComponentes realicen un cambio de contraseña, tanto en la plataforma como en cualquier otro servicio donde se utilice la misma clave. Además, cualquier correo, llamada o SMS que solicite códigos o datos bancarios debe ser tratado como una estafa potencial. También es aconsejable vigilar de cerca los movimientos bancarios para detectar cualquier cargo no autorizado derivado del uso de los metadatos de pago expuestos (que no permiten operar con una tarjeta real).

Por último, la empresa recuerda que “si necesitas cambiar algún dato sobre tu pedido, hazlo directamente a través de la página web oficial de PcComponentes. Toda la información sobre pedidos y devoluciones está disponible en el Área de Cliente de la web www.pccomponentes.com”.

Como ves, finalmente no se trató de una brecha masiva en los sistemas de PcComponentes, pero sí un incidente relevante para los usuarios cuyas cuentas se vieron comprometidas.

Ah, y un último consejo antes de terminar: por favor, no utilices la misma contraseña en todos tus servicios online 😉

Imagen: ChatGPT

[…]

La entrada Crónica de un supuesto hackeo masivo: qué ocurrió realmente en PcComponentes se publicó primero en Marketing4eCommerce.