Según un aviso de incidente de seguridad de PayPal fechado el 18 de enero, los atacantes obtuvieron acceso no autorizado a las cuentas de miles de usuarios entre el 6 y el 8 de diciembre de 2022. El número total de cuentas a las que accedieron los actores de la amenaza mediante un ataque de relleno de credenciales asciende a 34.942.
¿Qué es un ataque de relleno de credenciales?
Un ataque de relleno de credenciales se produce cuando un actor de amenaza utiliza un proceso automatizado para intentar iniciar sesión en un servicio con credenciales que han sido reutilizadas entre cuentas y posteriormente violadas en una de ellas. Por ello, los expertos en seguridad se esfuerzan en desaconsejar este tipo de reutilización de contraseñas.
La notificación oficial, que se ha enviado a todos los titulares de cuentas afectados, afirma que la confirmación de los ataques se produjo el 20 de diciembre. Continúa diciendo que PayPal no tiene «ninguna información que sugiera que se haya hecho un uso indebido de su información personal como resultado de este incidente, o que haya transacciones no autorizadas en su cuenta». El acceso a las cuentas afectadas fue «eliminado para terceros no autorizados» el 8 de diciembre.
¿Qué acceso obtuvieron los atacantes a las cuentas PayPal afectadas?
Aunque PayPal no tiene constancia de que se hayan realizado transacciones no autorizadas, los atacantes, según afirman, sí tuvieron potencialmente acceso a datos personales, como «nombre, dirección, número de la Seguridad Social, número de identificación fiscal individual y/o fecha de nacimiento.»
PayPal ofrece a los clientes afectados dos años de acceso gratuito a los servicios de control de identidad proporcionados por Equifax.
Los clientes que no hayan recibido el aviso de incidente de seguridad de PayPal no se habrán visto afectados por este ataque concertado de relleno de credenciales. Sin embargo, si estás utilizando credenciales de inicio de sesión que también utiliza en otros sitios, se te aconseja que cambies a contraseñas únicas y seguras en todos esos servicios. Un gestor de contraseñas, como 1Password o Bitwarden, puede ayudarte a hacerlo de forma relativamente sencilla.
No reutilices contraseñas, utiliza la autenticación de doble factor
Timothy Morris, asesor jefe de seguridad de Tanium, aconseja además a los usuarios que activen la autenticación de dos factores cuando esté disponible: » Una AMF sólida incluye la trifecta de algo que sabes (id/contraseña/secreto), tienes (token, clave) y eres (biometría). Al Dr. Ilia Kolochenko, fundador de ImmuniWeb y miembro de la Red de Expertos en Protección de Datos de Europol, le sorprende «por qué la autenticación MFA no se aplica por defecto en un servicio tan sensible como PayPal».
«Las brechas de alto perfil deben servir como una llamada de atención para que las organizaciones grandes y pequeñas implementen una arquitectura de confianza cero, habiliten MFA y utilicen contraseñas fuertes y únicas», dice Craig Lurey, director de tecnología y cofundador de Keeper Security.
Por su parte, Jasson Casey, director de tecnología de Beyond Identity, va más allá y sostiene que «no se puede tener una seguridad eficaz si se siguen utilizando contraseñas». Aunque acepta que PayPal está haciendo aparentemente lo mejor que puede por los clientes implicados en este incidente de seguridad al recomendar cambios de contraseña, Casey insiste en que «las contraseñas -ya sean únicas o complejas- son fundamentalmente defectuosas.» En su lugar, dice Casey, las organizaciones deberían pasar a credenciales resistentes al phishing, como los planos estándar de la Alianza FIDO. «La pregunta es», concluye Casey, «¿cuántos ataques más basados en credenciales serán necesarios antes de que veamos un cambio real?».
