PcComponentes desmiente haber sufrido una brecha de seguridad y apunta a spoofing de credenciales

Después de varias informaciones que hablaban de que PcComponentes había sufrido un hackeo y un robo masivo de datos de clientes, la compañía ha publicado un comunicado en el que niega haber sufrido una brecha de seguridad, y apunta a un ataque de spoofing de credenciales como posible origen de la filtración de información de sus clientes.

Después de una investigación realizada por los expertos en ciberseguridad de la compañía, en PcComponentes han detectado un ataque que implica que un tercero ha empleado direcciones de email y contraseñas conseguidas a partir de filtraciones de seguridad que se han dado en bases de datos comprometidas y que son ajenas a la empresa.

El atacante, a partir de estas bases de datos, que desde PcComponentes recuerdan que suelen publicarse en foros de Internet, habría probado de forma automática y masica las combinaciones de acceso comprometidas en distintas plataformas. En ciertos casos, sobre todo en el caso de que un usuario reutilice la misma contraseña y nombre de usuario en varias cuentas, los atacantes (uno en este caso, identificado como daghetiaw) consiguen acceso no autorizado a cuentas, así como información en las plataformas en las que las credenciales de acceso funcionen.

La compañía asegura que no ha habido un acceso ilegítimo a sus bases de datos ni a sus sistemas internos. Destaca además que «la cifra de 16 millones de clientes supuestamente afectados es falsa, ya que el número de cuentas activas en PcComponentes es marcadamente ingferior. Asimismo, el acceso ilegítimo no ha sido masivo, es decir, únicamente algunos clientes se han visto afectados«.

Además, responsables de la empresa confirman que los datos bancarios no se han visto comprometidos, ya que PcComponentes no los almacena, a diferencia de lo asegurado por el propio atacante. Según apuntan en el comunicado, en PcComponentes solo conservan un token que sirve para identificar el pago, pero no permite ver la tarjeta ni efectuar cargos por sí solo.

Reiteran también que dicho código no tiene valor fuera del sistema de pago y no puede usarse de forma fraudulenta. Por eso dejan claro que no hay riesgo de robo de datos bancarios. Asimismo, recuerdan que las contraseñas de clientes no se almacenan en la base de datos de la compañía, porque se transforman en un código secreto y cifrado, que es irreversible. Esto significa que nadie puede ver las contraseñas. La información de los clientes afectados por el incidente que ha obtenido el atacante son: nombre, apellidos, DNI si el cliente lo ha introducido, dirección, IP, correo electrónico y teléfono.

Debido al ataque, en PcComponentes han tomado diversas medidas para reducir al mínimo el impacto del ataque. En primer lugar, han implantado un captcha en el proceso de inicio de sesión para bloquear intentos automatizados que puedan llevar a cabo bots o scripts. Además, han activado obligatoriamente un segundo factor de autenticación, a través del envío de un código de verificación al email del usuario para permitirle accceder a la cuenta.

También han invalidado todas las sesiones que estaban activas, lo que hace que los usaurios tengan que iniciar de nuevo sesión con las medidas de seguridad mencionadas. Por otra parte, como es habitual en estos casos, han confirmado que enviarán mensajes personalizados a los clientes que puedan haberse visto afectados por el ataque para explicarles la situación, así como las medidas puestas en marcha y las acciones recomendadas.