Ayer mismo un hacker conocido como Hackmanac se atribuyó un ataque a la web de PcComponentes en el que, según él, consiguió extraer datos de más de 16 millones de usuarios. Hoy la propia tienda ha querido esclarecer los hechos, confirme qué ha ocurrido exactamente y anunciar a los usuarios que se han visto afectados. Según este ciberdelincuente, habría accedido a datos personales tan comprometedores como DNI, nombre completo, correos electrónicos, direcciones físicas de los usuarios y mucho más.
¿Qué hay de cierto en esto? Según PcComponentespoco. Tras estudiar la web a fondo, desde la dirección de la tienda aseguran que sus bases de datos y sistemas de seguridad no han sido comprometidosy que, por lo tanto, nadie ha podido tener acceso a los datos de todos los usuarios de la plataforma.
Por otro lado, desde PcComponentes sí confirman un ataque de relleno de credencialesuna técnica utilizada por muchos hackers con fines muy diversos. ¿Cómo funciona este sistema? No se considera como una brecha de seguridad, pues este ataque basa su eficacia en los datos de los usuarios que han sido filtrados previamente.
El hacker adquiere una base de datos comprometida llena de direcciones de correo y contraseñas, y gracias a un bot oh guion intenta iniciar sesión millas de veces en diferentes servicios como Amazon, Netflix o, en este caso, PcComponentes. Si la base es lo suficientemente grande y los usuarios comparten contraseñas en diferentes servicios, es posible iniciar sesión, realizar cambios en la cuenta y descargar los datos personales.
Por lo tanto, el hacker no ha tenido que romper las barreras de seguridad de PcComponentessimplemente probar millas de correos y contraseñas aleatorias adquiridas gracias a una filtración anterior. ¿El resultado? Según la tienda, sí hay usuarios afectados, pero en ningún caso la cifra se acerca a los 16 millones que el propio autor relata.
¿Qué datos se han filtrado de tu cuenta de PcComponentes?
PcComponentes no ha confirmado cuántos usuarios se han visto afectados, pero ya tiene en marcha una serie de avisos para esas cuentas en las que Hackmanac sí ha podido entrar para descargar sus datos personales.
Así mismo, PcComponentes ha querido aclarar que este hacker no ha podido tener acceso a contraseñas ni datos bancarios. “Las contraseñas de clientes nunca se almacenan en nuestra base de datos”. Advierten desde la dirección de la tienda.
Los datos bancarios no se han visto confirmados en ningún caso dado que PcComponentes no los almacena. PcComponentes solo conserva un código de seguridad (token) que sirve para identificar el pago, pero que no permite ver la tarjeta ni realizar cargos por sí solo.
PcComponentes en su comunicado
PcComponentes, además, lo ha confirmado qué datos se han visto expuestos en las cuentas donde se haya podido iniciar sesión: nombre, apellidos, DNI (si se ha introducido), dirección, IP, correo electrónico y teléfono. Nada más.
¿Qué va a pasar a partir de ahora? Bueno, desde la dirección de la empresa han tomado la decisión de cerrar todas las sesiones activas en la webademás de implementar nuevos CAPTCHA y la obligatoriedad de utilizar un factor de doble autenticación. Por lo tanto, aunque tu cuenta no se haya visto afectada, la próxima vez que visites la web tendrás que iniciar sesión bajo estas nuevas medidas.
Como extra, PcComponentes contactará con los usuarios afectados, instándoles a que cambien sus métodos de inicio de sesión en el resto de servicios online que utilizan. Recuerda que no ha sido un ataque a la tienda lo que ha confirmado tu contraseña, sino una filtración anterior que podría ser utilizada para entrar en otra web, tienda o servicio.
