35.000 cuentas de Paypal hackeadas… ¡Por culpa de los usuarios!
Una debacle ha ocurrido en PayPal al nivel de lo que ocurrió en Twitter u otras empresas en su momento. Y es que nada menos que 35.000 cuentas han sido hackeadas... Aunque realmente el término no debería ser tal. El modo de conseguir los datos de estas tiene una gran responsabilidad por parte de los usuarios, pero también, y como no puede ser de otra forma, de la compañía. La exposición ha sido realmente alta, es tremendamente preocupante y, por ello, PayPal ha tenido que salir a la palestra sobre el hackeo de tantos miles de cuentas.
El hackeo se produjo el pasado mes de diciembre, en concreto, entre el 6 y el 8 de dicho mes. Este tiempo donde la compañía ha guardado silencio más allá de comentar que tuvieron una brecha de seguridad ha servido para contabilizar los daños y el alcance del problema... Y realmente es grave.
PayPal y el hackeo de 35.000 cuentas muy expuestas
¿Cómo se ha logrado hackear tantas cuentas al mismo tiempo? ¿Y a la vez tan pocas? El número es alto, pero no corresponde tampoco a una brecha de seguridad masiva como hemos visto en otras ocasiones y empresas. Es, por decirlo de alguna manera, un número acotado bastante importante, pero no crítico a nivel mundial.
Pues mucho de lo que ha pasado recae como responsabilidad de ciberseguridad en los usuarios. Los atacantes usaron lo que se conoce como Credential Stuffing, que traduciendo el término a nuestro idioma viene referido como relleno de credenciales, o el que más se usa: reutilización de credenciales para legitimar un robo.
En otras palabras, es un tipo de ataque que se basa en las credenciales robadas de otros sitios web, que tiene la peculiaridad de que en ambos se comparte el mismo nombre de usuario o mail, y la misma contraseña. Es el típico caso del usuario que usa el mismo correo y contraseña en muchos sitios... O en todos. Desde Bleeping Computer se informa lo siguiente:
“Durante los dos días, los piratas informáticos tuvieron acceso a los nombres completos, fechas de nacimiento, direcciones postales, números de seguro social y números de identificación fiscal individuales de los titulares de las cuentas. Los historiales de transacciones, los detalles de las tarjetas de crédito o débito conectadas y los datos de facturación de PayPal también son accesibles en las cuentas de PayPal".
Como podemos ver, han podido acceder a prácticamente cualquier dato que se tenga en PayPal, porque, a fin de cuentas, el acceso era, aparentemente, legal, puesto que había usuario y contraseña válidos en todos los casos, pero claro, PayPal detuvo la intrusión en cuanto se dio cuenta, pero ya era tarde...
La empresa no fue pirateada, lo fueron sus usuarios
El problema es que el uso de la misma cuenta o mail, el uso de la misma contraseña por parte de los usuarios, es ineludiblemente culpa de ese usuario. Además, PayPal tiene verificación de dos pasos, por lo que si el usuario no quiere activarla, entonces resulta que la empresa poco puede hacer más allá de detectar que miles de cuentas están siendo simultáneamente accedidas desde una serie de ubicaciones idénticas en todos los casos.
También es cierto que en un caso de Credential Stuffing como el de este hackeo a las cuentas de PayPal, muchas veces hay muchos fallos de inicio de sesión, principalmente porque puede que muchos de esos usuarios sí que cambiaron las claves, pero de ellos 35.000 se han visto comprometidos por este hackeo a PayPal.
Este es otro ejemplo de por qué empresas como Google, Apple o Microsoft quieren terminar con las contraseñas como tal en el futuro. Los usuarios, por norma general, como personas comunes sin muchos conocimientos de seguridad en Internet, no son conscientes del peligro que corren usando las mismas contraseñas en cada servicio que se dan de alta, incluso en los bancos. Las empresas no pueden lidiar con esto de forma simple, porque al final es una decisión y responsabilidad de cada persona.
Pero sí que pueden ofrecer herramientas y servicios más avanzados que de alguna manera fuercen al usuario a identificarse de forma válida, aunque un atacante tenga la contraseña. En cualquier caso, y como dijo PayPal en su correo, cambiad la contraseña y activad la verificación de dos pasos, por si acaso...