Miles de usuarios de PayPal están recibiendo notificaciones de que su cuenta ha sido vulnerada y sus datos personales expuestos por un ataque de ‘credential stuffing’ o de reutilización de credenciales.
El credential stuffing o reutilización/relleno de credenciales es un tipo de ciberataque en el que las credenciales de cuentas hackeadas o las credenciales procedentes de filtraciones en otros servicios web se utilizan para acceder de forma no autorizada a las cuentas de los usuarios aprovechando la costumbre de los usuarios de reutilizar contraseñas.
No te vayas a pensar que prueban manualmente, se realiza de forma automatizada con bots que ejecutan listas de credenciales para “rellenar” los portales de inicio de sesión de diversos servicios.
Cerca de 35.000 usuarios de PayPal afectados
PayPal explica que el ataque de “credential stuffing” se produjo entre el 6 y el 8 de diciembre de 2022 y la compañía lo detectó y mitigó en su momento, pero también inició una investigación interna para averiguar cómo se obtuvo el acceso a estas cuentas.
Para finales del mes de diciembre, la compañía finalizó su investigación interna determinando que terceros no autorizados habían iniciado sesión en las cuentas, pero las credenciales que habían usado eran validas.
Según el informe de PayPal, 34.942 de sus usuarios se han visto afectados por el incidente. Durante los dos días, los ciberdelincuentes tuvieron acceso a los nombres completos, fechas de nacimiento, direcciones postales, números de la seguridad social y números de identificación fiscal de los titulares de las cuentas, los historiales de transacciones, los detalles de las tarjetas de crédito o débito conectadas y los datos de facturación. Es decir, toda la información que contiene un perfil del PayPal bien completo.
PayPal afirma haber tomado las medidas oportunas para limitar el acceso de los terceros no autorizados a la plataforma y restablecer las contraseñas de las cuentas cuya violación se ha confirmado.
Además, la notificación afirma que los atacantes no han intentado ni han conseguido realizar ninguna transacción desde las cuentas PayPal violadas.
“No tenemos información que sugiera que se haya hecho un uso indebido de su información personal como resultado de este incidente, o que haya transacciones no autorizadas en su cuenta”, se puede leer en el comunicado de PayPal a los usuarios afectados. “Hemos restablecido las contraseñas de las cuentas PayPal afectadas y hemos implementado controles de seguridad mejorados que requerirán que establezca una nueva contraseña la próxima vez que inicie sesión en su cuenta” – PayPal
La empresa recomienda encarecidamente a los destinatarios de los avisos que cambien las contraseñas del resto de servicios y que procedan a activar la autenticación en dos factores (2FA) en su cuenta de PayPal.
Fundador y director de DerechodelaRed.
