El pasado 18 de enero, PayPal emitió un comunicado informando a sus usuarios que sufrió un incidente de seguridad que logró afectar a una considerable cantidad de cuentas de la plataforma.

Para ese momento, la marca indicó que entre el 6 y el 8 de diciembre de 2022 personas no autorizadas lograron acceder a cuentas de clientes empleando sus contraseñas de inicio de sesión.

Esta situación evidencia que los cibercriminales continuamente están refinando sus tácticas para poder infiltrarse en diferentes sistemas y así acceder a la información de los usuarios, en este caso de las personas que guardan su dinero en la plataforma de pagos online.

Generalmente, los ciberdelincuentes emplean técnicas de ingeniería social para engañar a las personas y así obtener los usuarios y claves de acceso de forma rápida y efectiva. Usualmente esta táctica se aplica mediante el envío de correos o mensajes fraudulentos en donde se suplanta la identidad de una marca reconocida y se notifica un supuesto problema con la cuenta de la víctima o se ofrece un regalo especial.

Cibercriminales ejecutan diferentes modalidades de ataque para robar claves de acceso de diferentes plataformas digitales. | Foto: Getty Images

Quienes caen en la trampa acceden a un sitio web falso en donde se le solicita al usuario ingresar sus datos personales, incluso la clave de acceso, para así corregir el problema o poder obtener el aparente premio.

No obstante, el ataque a PayPal se habría ejecutado de otra manera, pues los cribercriminales lograron método para infiltrarse en las cuentas de los usuarios al ejecutar un método que les permitió conocer las contraseñas de sus víctimas.

Según la compañía que ofrece el servicio de pagos online, hasta el momento no existe evidencia de que las claves de acceso hayan sido obtenidas desde los propios sistemas de la plataforma, por lo tanto, la empresa estima que las contraseñas fueron obtenidas mediante brechas de seguridad pasadas al emplear un ataque de ‘fuerza bruta’.

Se cree que los criminares operaron bajo una modalidad llamada ‘credential stuffing’, que consiste en usar un sistema automatizado para ensayar diferentes direcciones de correos y contraseñas que fueron filtradas anteriormente, hasta acercar en alguna cuenta que aún esté usando esas mismas claves.

PayPal fue hackeada por cibercriminales que intentan robar datos de los usuarios. | Foto: Oficial de PayPal

De igual manera, PayPal afirmó que hasta el momento no hay pruebas de que los datos de los usuarios hayan sido de que los datos de los usuarios hayan sido empleados de forma indebida. En su comunicado la empresa indicó que por un periodo de dos días los cibercriminales que ejecutaron el ataque lograron acceder a los nombres, direcciones, código de identificación tributaria y fechas de nacimiento.

Pero es clave recalcar que al lograr acceder a las cuentas de PayPal los atacantes también podrían haber accedido al historial de transacciones de los usuarios, junto a datos de las tarjetas de crédito vinculadas a la plataforma y al dinero que está almacenado en el perfil.

De acuerdo con un informe de página web de TheStreet, la plataforma se puso en contacto con cerca de 35.000 usuarios que fueron víctimas del ataque, por lo tanto, se estima que los cibercriminales lograron acceder a una robusta cantidad de datos personales que eventualmente pueden ser vendidos en el mercado negro o empleados para ejecutar futuras estafas.

Plataforma de pagos de PayPal. | Foto: Oficial de PayPal

Investigadores de Eset, empresa especializada en ciberseguridad, aseguran que el hecho de que cibercriminales hayan tenido acceso a esa información hace que las víctimas estén en riesgo de convertirse en el objetivo de ataques de phishing o de robo de identidad.

Cómo evitar ser víctima de estos ciberataques

Actualmente PayPal cuenta con un sistema de verificación de dos pasos, el cual genera una capa extra de protección al momento de iniciar sesión en la plataforma, gracias a este recurso es posible impedir que los cibercriminales invadan una cuenta, pese a que conocen la clave de acceso.

Para activar este recurso es necesario ejecutar las siguientes acciones:

  • Acceder a PayPal desde su sitio web oficial o la app
  • Ingresar al menú de Configuración y seleccionar la opción ‘Centro de seguridad’
  • Elegir la función ‘Verificación en dos pasos’ y seleccionar si la opción funcionará mediante un mensaje SMS, el sistema de autenticación de Google o Microsoft o una llave de seguridad que usa tecnología NFC (Comunicación de Campo Cercano).
  • Una vez elegida una opción el sistema aplicará la medida de verificación que el usuario seleccionó

De igual manera, es recomendable emplear una contraseña robusta que sea difícil de adivinar, lo ideal es que sea una clave que cuente con números, algunos caracteres especiales, letras en mayúscula y minúscula, además, es deseable que la clave tenga una extensión de al menos 12 caracteres.

Una contraseña robusta debe tener números, letras y caracteres especiales. | Foto: Captura de pantalla de roboform

En caso de que sea algo complicado crear y recordar cada password, es clave recalcar que actualmente el navegador Google Chrome cuenta con un servicio para generar contraseñas seguras y también posee un llavero digital que permite almacenar todas las claves que el usuario utiliza para acceder a los diferentes servicios digitales que día a día utiliza.