Paypal emitió un comunicado oficial el pasado 18 de enero en el que alertaba que entre el 6 y el 8 de diciembre una serie de terceros no autorizados accedieron a las cuentas de 34.942 clientes y que utilizaron sus credenciales para iniciar sesión y emprender un feroz ciberataque. Éste acabó efectuándose el 20 de diciembre, dejando desprotegidos miles de datos comprometidos de usuarios.
Entre los datos robados, y de los que Paypal notificó a sus clientes mediante correo electrónico, se incluirían sus nombres, identificación fiscal, direcciones, número de Seguro Social y fechas de nacimiento, entre otras informaciones de carácter confidencial. Pero lo más alarmante es el acceso a los historiales de transacciones, detalles de las tarjetas de crédito o débito conectadas y a los datos de facturación de Paypal. Por fortuna, los atacantes no lograron efectuar transferencias económicas.
Todo hace indicar, según un informe compartido por BleepingComputer, que los hackers habrían utilizado una técnica muy rudimentaria para efectuar su práctica maliciosa, pues habrían rellenado la página de inicio de sesión con infinidad de credenciales robadas hasta que finalmente una funcionase. Las personas damnificadas son aquellas que utilizan las mismas contraseñas en diferentes servicios, poniéndolas en un riesgo constante.
Para probar miles de cuentas se valen de la ayuda de bots que hacen el trabajo de ejecutar listas de credenciales robadas y filtradas de otras páginas webs o foros. Automáticamente van probando el inicio de sesión en la cuenta de Paypal hasta que coincide la contraseña y pueden acceder. Estamos ante un ejemplo de credential stuffing, pues los cibercriminales habrían probado contraseñas filtradas en brechas pasadas hasta que dieron con alguna cuenta que utilizase las mismas claves de acceso.
¿Y ahora qué?
Esa es la pregunta que tanto el organismo ejecutivo de Paypal como los propios usuarios damnificados se hacen. Por el momento, la compañía no tiene pruebas de que los datos robados hayan sido utilizados con fines maliciosos, aunque es casi evidente que se emplearán para cometer robos de identidad, técnicas de phishing u otros métodos de ataques de ingeniería social. Lo que se desconoce es si dichos datos serán utilizados con fines comerciales, o de lo contrario, para llevar a cabo nuevos fraudes.
La estrategia de Paypal consiste en restablecer las contraseñas de los usuarios afectados y en ofrecerles controles de seguridad mejorados, de tal modo que ahora estará en manos de los clientes el hecho de configurar una nueva cuenta en su próximo inicio de sesión. También se pide a los clientes que establezcan un sistema de autenticación en dos pasos para que la seguridad no recayese exclusivamente sobre la contraseña y fuese necesario también un código enviado a través de SMS.
Lo ideal es crear contraseñas largas, compuestas de letras (mayúsculas y minúsculas), números y otros símbolos especiales. Hay herramientas como KeePass que ayudan a gestionar claves.
Así mismo, y como compensación por los daños, los usuarios de Paypal recibieron un año de servicios gratuitos de monitoreo de identidad a través de Equifax. La compañía ahora tiene por delante un futuro incierto y un trabajo laborioso de lavar su imagen y de demostrar que su seguridad y privacidad siguen siendo sus principales baluartes.