El pasado 7 de marzo las plataformas conjuntas Mercado Libre y Mercado Pago comunicaron que sufrieron un โacceso no autorizadoโ a su sistema. El ataque logrรณ no solo hacerse con los datos de 300 mil cuentas de la plataforma, sino que ademรกs pudo obtener parte del โcรณdigo fuenteโ del sistema.
Sin embargo, la fintech aclarรณ: โNo hemos encontrado ninguna evidencia de que nuestros sistemas […] se hayan visto comprometidos o que se hayan obtenido contraseรฑas de usuarios […] o de tarjetas de pagoโ. En el mismo comunicado oficial advierten que activaron todos los protocolos de seguridad y que estรกn en proceso de realizar un anรกlisis exhaustivo del caso. Hasta el dรญa de hoy no hubo otra comunicaciรณn oficial.
El ataque fue adjudicado al grupo hacker denominado โLAPSUS$โ, debido a una encuesta que publicรณ en su canal de Telegram (una app de mensajerรญa similar a WhatsApp). Allรญ se podรญa elegir cuรกl serรญa la prรณxima filtraciรณn del grupo; y una de las opciones era el cรณdigo fuente de Mercado Libre y Mercado Pago. Nota al Pie contactรณ al Licenciado en Sistemas, programador y conferencista, Maximiliano Firtman, para entender mรกs del tema.
Recomendaciones para usuaries de estas plataformas
โLos 300 mil afectados deberรญan haber sido notificados por Mercado Libreโ, explicรณ Firtman. En cuanto a los posibles riesgos para quienes tengan una cuenta activa en esta plataforma, dijo no creer que exista un riesgo mayor al habitual. La principal recomendaciรณn de les especialistas siempre es activar la โverificaciรณn de doble factorโ.
Se trata de un segundo control que realiza la aplicaciรณn para verificar que se trata de un โacceso autorizadoโ. En el caso de Mercado Pago/Mercado Libre, para activarlo hay que dirigirse a la opciรณn de โMi Cuenta/Mi Perfilโ; luego entrar en โSeguridadโ y por รบltimo a โVerificaciรณn en dos pasosโ. Tambiรฉn es muy importante estar alerta ante posibles estafadores que buscan capitalizar la noticia. Es decir, personas que se comunican simulando ser parte de la empresa y fingiendo tareas administrativas o de seguridad logran obtener claves y accesos a las cuentas.
Con respecto a este ataque en particular, el especialista que contactรณ este medio mencionรณ que โno hay dato alguno sobre quรฉ tipo de ataque infligieron. Por informaciรณn pรบblica Mercado Libre alojaba su cรณdigo fuente en la nube, eso agrega muchas posibilidades de la fuente del hackeoโ. Ademรกs, agregรณ que โtambiรฉn pudo haber sido alguien interno a la empresa, por dinero. Este tipo de grupos delictivos promueven que empleados internos aporten informaciรณn o claves y, una vez cometido el ilรญcito, obtienen una retribuciรณn econรณmicaโ.
El grupo de ciberdelincuentes hace alarde de que habrรญa accedido a 24 mil repositorios de cรณdigo fuente. Una cantidad muy grande, incluso para empresas de la talla de Mercado Libre. Pero, ยฟquรฉ es el cรณdigo fuente? El licenciado en sistemas consultado explicรณ que โson como los planos de una casa; con los planos uno tiene mรกs informaciรณn para poder entrar, pero no significa que pueda entrar efectivamenteโ.
De todas maneras, de confirmarse que este grupo tiene en su poder esos repositorios significa que poseen informaciรณn incalculablemente valiosa y potencialmente muy daรฑina para la empresa del argentino Marcos Galperin.
El caso de Ualรก, otra billetera virtual con problemas de seguridad recientes
La semana pasada varies usuaries de otra empresa del rubro, la app de pagos โUalรกโ denunciaron el vaciamiento de sus cuentas. Concretamente se reportaron 68 casos, pero las quejas llegaron de parte de cientos de damnificades. โLa รบnica coincidencia en ambos casos es la falta de transparencia, claridad e informaciรณn que las empresas han dado y siguen dando a usuarios, prensa y opiniรณn pรบblicaโ, expresรณ el tambiรฉn director de la IT Master Academy. Luego, los detalles son muy distintos.
En el caso de Ualรก, por lo poco que se sabe, se tratรณ de un acceso a las cuentas de usuaries directamente, no a la plataforma como en el caso de Mercado Pago. Una vez dentro de la cuenta, vaciaron todo el dinero transfiriรฉndolo a otras personas que luego lo extrajeron en efectivo. Dichas cuentas estรกn identificadas, pero pueden ser identidades suplantadas. โPara hacer todos estos trรกmites hoy no se necesita acceso fรญsico a nada, ni a una tarjeta, ni a presentarse en un lugar fรญsicamente con un operador humano del otro ladoโ, explicรณ Firtman.
Pierpaolo Barbieri, el CEO de Ualรก tuvo un intercambio vรญa Twitter con usuaries. Allรญ reconociรณ que las claves vulneradas pertenecen a personas que usan la misma contraseรฑa en varios sitios. Si un atacante logra hacerse con una base de datos de usuarios y contraseรฑas hackeadas, suelen probar si las mismas claves funcionan en cuentas diferentes. En este sentido, el experto aconsejรณ usar claves complejas intercambiando letras, nรบmeros y sรญmbolos y no repetir la misma contraseรฑa en diferentes servicios.
El programador y docente agregรณ que โla mayor crรญtica de la comunidad es que Ualรก no tenรญa los suficientes controles para detectar situaciones como estas. Tampoco contaba con un sistema de doble factor de autenticaciรณn, como mencionamos antes. Aunque al parecer, luego del incidente, lo incorporaron a la plataformaโ.
Sin ningรบn tipo de informaciรณn sobre las razones, Ualรก dio de baja la versiรณn web de la app, lo que hace sospechar que la pรกgina era la entrada mรกs vulnerable para este tipo de operaciones, segรบn el especialista.
โLAPSUS$โ, el grupo hacker que se atribuye el ataque
Dรญas atrรกs apareciรณ una encuesta en su canal de difusiรณn de Telegram, en donde permitรญan al pรบblico votar la prรณxima documentaciรณn que serรญa filtrada de manera pรบblica. Las opciones eran tres: cรณdigo fuente de โVodafoneโ operador de telefonรญa mรณvil, fija, internet y tv digital de Reino Unido; cรณdigo fuente de โImpresaโ, un conglomerado de medios de comunicaciรณn de Portugal; y el cรณdigo fuente de Mercado Libre y Mercado Pago.
Este grupo delictivo hizo grandes ataques a corporaciones multinacionales como la coreana Samsung, al lograr obtener el cรณdigo fuente responsable de autenticaciรณn biomรฉtrica y desbloqueo de celulares (huella dactilar), entre otra documentaciรณn. Tambiรฉn hackearon al fabricante de tarjetas grรกficas estadounidense Nvidia, por nombrar solo algunos de sus mรกs cรฉlebres ataques. No parecen manejarse con la lรณgica imperante de pedir dinero por el โrescateโ de la informaciรณn robada. En el caso de Nvidia pidieron una modificaciรณn en la tarjeta grรกfica que les permitiera trabajar mejor con criptomonedas.
Si bien no hay mucha informaciรณn disponible de estos ciberdelincuentes cuyos primeros movimientos fueron a mediados de 2020, se sospecha que podrรญan ser de nacionalidad brasilera. La encuesta donde ofrecen el cรณdigo fuente de Mercado Libre y Mercado Pago finalizรณ este 13 de marzo con la corporaciรณn en segundo lugar, debajo de Vodafone. De todas maneras esto no garantiza que decidan liberar la documentaciรณn mรกs adelante o les incluya en una nueva votaciรณn.