Sábado, 04 de Febrero de 2023 00:31

Ciberataque: conocé el método credential stuffing con el que vulneraron a PayPal

Ciberataque: conocé el método credential stuffing con el que vulneraron a PayPal
La compañía sufrió un ataque de seguridad bajo el nombre de credential stuffing, donde casi 35.000 cuentas se vieron envueltas. Los detalles
Por iProUP
24.01.2023 11.45hs Innovación

PayPal, el servicio que te permite pagar, enviar dinero y aceptar pagos sin tener que introducir tus datos financieros, informó a través de un comunicado que sufrió un incidente de seguridad que afectó a gran cantidad de usuarios. 

Desde la compañía, explicaron que entre el 6 y el 8 de diciembre de 2022 terceros no autorizados ingresaron a cuentas de clientes utilizando sus credenciales de inicio de sesión.

A su vez, informaron que las credenciales se obtuvieron de brechas de seguridad pasadas, mediante algún tipo de ataque de fuerza bruta.

Según detallaron en el comunicado, los atacantes tuvieron acceso a datos como nombre, dirección, número de seguro social, número de identificación tributaria o fecha de nacimiento.

Por otro lado, es importante destacar que el acceso a las cuentas de PayPal también permiten obtener el historial de transacciones y obtener algunos datos de las tarjetas vinculadas.

"El riesgo de que hayan tenido acceso a esta información está relacionado con la posibilidad de ser blanco de ataques de phishing o de robo de identidad", comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

PayPal sufrió un ataque de terceros no autorizados.
PayPal sufrió un ataque de terceros no autorizados.

Y agregó: "Los atacantes pueden comercializar estos datos o pueden incluso utilizarlos ellos mismos para realizar fraude".

PayPal bajo un ataque de seguridad

La compañía tomó la decisión de resetear las contraseñas de las cuentas afectadas en el incidente.

Gracias a esto, obligó a las personas a tener que establecer una nueva contraseña la próxima vez que inicien sesión. 

Desde BleepingComputer, confirmaron que casi 35.000 cuentas se vieron involucradas en este ataque, mejor conocido como credential stuffing.

A través de este método, los cibercriminales de manera automatizada prueban con direcciones de correos y contraseñas que fueron filtradas en brechas pasadas hasta dar con alguna cuenta que siga utilizando esas mismas claves.

ESET, la compañía de software especializada en ciberseguridad, recomendó que además de cambiar la contraseña por una extensa y segura, se deberá activar la autenticación en dos pasos para que la seguridad de la cuenta no recaiga exclusivamente en la contraseña.

Los cibercriminales utilizaron el método credential stuffing donde prueban con direcciones de correos y contraseñas hasta dar con alguna.

Ciberdelincuencia: cuáles son los distintos tipos de estafa

Según el Observatorio de Cibercrimen y Evidencia Digital en Investigaciones Criminales de la Universidad Austral (OCEDIC), el Pshishing está entre los delitos más recurrentes.

Es una técnica para obtener información a través de correos electrónicos falsos en los que roban contraseñas y datos personales.

Los e-mails redireccionan a una página de internet ilegítima con formularios y preguntas para recolectar información. Como variantes, está el Vishing, mediante un llamado telefónico, y el Smishing, vía SMS.

Otra estrategia para usurpar la identidad es la ingeniería social. Los ciberdelincuentes suelen hacerse pasar por conocidos de las víctimas o por alguna entidad para robar información confidencial.

Otra maniobra para robar información personal es usar recibos bancarios falsos, para lo que los estafadores mandan a los usuarios un comprobante que replica instituciones financieras.

Por último, una forma muy común para los ataques cibernéticos se presenta a partir de las compras por internet.

En comercios aparentemente confiables, se ofrecen descuentos para la compra mediante transferencia bancaria. Una vez que estos sitios logran captar varios clientes, desaparecen de la web.

Temas relacionados
Innovación en tu mail
Suscribite a nuestro newsletter y recibí diariamente las últimas noticias en economía digital, start ups, fintech, innovación corporativa y blockchain.
Lo más leído