Un ataque de relleno de credenciales expone cerca de 35.000 cuentas de PayPal

  • Actualidad

Durante el ataque, producido entre el 6 y el 8 de diciembre, los hackers tuvieron acceso a los nombres completos de los titulares de cuentas, fechas de nacimiento, direcciones, números de seguridad social y de identificación fiscal. No se ha realizado ninguna transacción desde las cuentas afectadas.

  Recomendados....

» Cómo se protege una ciudad como Madrid. (Guillermo Obispo, IAM)  Entrevista
» Estados de la ciberseguridad en España Informe
» Claves para la confianza del ciudadano en los servicios públicos Acceder 

PayPal está enviando notificaciones a miles de usuarios cuyas cuentas se vieron afectadas por un ataque de relleno de credenciales. Se trata de un tipo de ataque en el que los hackers intentan acceder a una cuenta probando conjuntos de nombre de usuario y contraseña procedentes de brechas de datos en varios sitios web. El relleno de credenciales se dirige a usuarios que emplean la misma contraseña para varias cuentas en línea, lo que se conoce como "reciclaje de contraseñas".

PayPal explica que el ataque de relleno de credenciales ocurrió entre el 6 y el 8 de diciembre. La compañía lo detectó y mitigó en ese momento, pero también comenzó una investigación interna para averiguar cómo los atacantes tuvieron acceso a las cuentas. Esta ha confirmado que terceros no autorizados iniciaron sesión en las cuentas con credenciales válidas. La plataforma de pagos electrónicos afirma que esto no se debió a una violación en sus sistemas y no tiene evidencia de que las credenciales de usuario se obtuvieron directamente de ellos.

Según el informe de PayPal, 34.942 de sus usuarios se han visto afectados por el incidente. Durante los dos días, los hackers tuvieron acceso a los nombres completos de los titulares de cuentas, fechas de nacimiento, direcciones postales, números de seguridad social y números de identificación fiscal individuales. Los historiales de transacciones, los detalles de las tarjetas de crédito o débito conectadas y los datos de facturación de PayPal también son accesibles en las cuentas.

PayPal dice que tomó medidas oportunas para limitar el acceso de los intrusos a la plataforma y restablecer las contraseñas de las cuentas confirmadas como violadas. Además, la notificación afirma que los atacantes no han intentado o no lograron realizar ninguna transacción desde las cuentas PayPal afectadas.

"No tenemos información que sugiera que su información personal haya sido mal utilizada como resultado de este incidente, o que haya transacciones no autorizadas en su cuenta", se lee en la notificación de PayPal a los usuarios afectados. "Restablecemos las contraseñas de las cuentas PayPal afectadas e implementamos controles de seguridad mejorados que requerirán que establezca una nueva contraseña la próxima vez que inicie sesión en su cuenta". Los usuarios afectados recibirán un servicio gratuito de monitorización de identidad de dos años de Equifax.

La compañía recomienda encarecidamente que los destinatarios de los avisos cambien las contraseñas de otras cuentas online utilizando una cadena única y larga. Normalmente, una buena contraseña tiene al menos 12 caracteres e incluye caracteres alfanuméricos y símbolos.