El pasado 7 de marzo las plataformas conjuntas Mercado Libre y Mercado Pago comunicaron que sufrieron un “acceso no autorizado” a su sistema. El ataque logró no solo hacerse con los datos de 300 mil cuentas de la plataforma, sino que además pudo obtener parte del “código fuente” del sistema.
Sin embargo, la fintech aclaró: “No hemos encontrado ninguna evidencia de que nuestros sistemas […] se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios […] o de tarjetas de pago”. En el mismo comunicado oficial advierten que activaron todos los protocolos de seguridad y que están en proceso de realizar un análisis exhaustivo del caso. Hasta el día de hoy no hubo otra comunicación oficial.
El ataque fue adjudicado al grupo hacker denominado “LAPSUS$”, debido a una encuesta que publicó en su canal de Telegram (una app de mensajería similar a WhatsApp). Allí se podía elegir cuál sería la próxima filtración del grupo; y una de las opciones era el código fuente de Mercado Libre y Mercado Pago. Nota al Pie contactó al Licenciado en Sistemas, programador y conferencista, Maximiliano Firtman, para entender más del tema.
Recomendaciones para usuaries de estas plataformas
“Los 300 mil afectados deberían haber sido notificados por Mercado Libre”, explicó Firtman. En cuanto a los posibles riesgos para quienes tengan una cuenta activa en esta plataforma, dijo no creer que exista un riesgo mayor al habitual. La principal recomendación de les especialistas siempre es activar la “verificación de doble factor”.
Se trata de un segundo control que realiza la aplicación para verificar que se trata de un “acceso autorizado”. En el caso de Mercado Pago/Mercado Libre, para activarlo hay que dirigirse a la opción de “Mi Cuenta/Mi Perfil”; luego entrar en “Seguridad” y por último a “Verificación en dos pasos”. También es muy importante estar alerta ante posibles estafadores que buscan capitalizar la noticia. Es decir, personas que se comunican simulando ser parte de la empresa y fingiendo tareas administrativas o de seguridad logran obtener claves y accesos a las cuentas.
Con respecto a este ataque en particular, el especialista que contactó este medio mencionó que “no hay dato alguno sobre qué tipo de ataque infligieron. Por información pública Mercado Libre alojaba su código fuente en la nube, eso agrega muchas posibilidades de la fuente del hackeo”. Además, agregó que “también pudo haber sido alguien interno a la empresa, por dinero. Este tipo de grupos delictivos promueven que empleados internos aporten información o claves y, una vez cometido el ilícito, obtienen una retribución económica”.
El grupo de ciberdelincuentes hace alarde de que habría accedido a 24 mil repositorios de código fuente. Una cantidad muy grande, incluso para empresas de la talla de Mercado Libre. Pero, ¿qué es el código fuente? El licenciado en sistemas consultado explicó que “son como los planos de una casa; con los planos uno tiene más información para poder entrar, pero no significa que pueda entrar efectivamente”.
De todas maneras, de confirmarse que este grupo tiene en su poder esos repositorios significa que poseen información incalculablemente valiosa y potencialmente muy dañina para la empresa del argentino Marcos Galperin.
El caso de Ualá, otra billetera virtual con problemas de seguridad recientes
La semana pasada varies usuaries de otra empresa del rubro, la app de pagos “Ualá” denunciaron el vaciamiento de sus cuentas. Concretamente se reportaron 68 casos, pero las quejas llegaron de parte de cientos de damnificades. “La única coincidencia en ambos casos es la falta de transparencia, claridad e información que las empresas han dado y siguen dando a usuarios, prensa y opinión pública”, expresó el también director de la IT Master Academy. Luego, los detalles son muy distintos.
En el caso de Ualá, por lo poco que se sabe, se trató de un acceso a las cuentas de usuaries directamente, no a la plataforma como en el caso de Mercado Pago. Una vez dentro de la cuenta, vaciaron todo el dinero transfiriéndolo a otras personas que luego lo extrajeron en efectivo. Dichas cuentas están identificadas, pero pueden ser identidades suplantadas. “Para hacer todos estos trámites hoy no se necesita acceso físico a nada, ni a una tarjeta, ni a presentarse en un lugar físicamente con un operador humano del otro lado”, explicó Firtman.
Pierpaolo Barbieri, el CEO de Ualá tuvo un intercambio vía Twitter con usuaries. Allí reconoció que las claves vulneradas pertenecen a personas que usan la misma contraseña en varios sitios. Si un atacante logra hacerse con una base de datos de usuarios y contraseñas hackeadas, suelen probar si las mismas claves funcionan en cuentas diferentes. En este sentido, el experto aconsejó usar claves complejas intercambiando letras, números y símbolos y no repetir la misma contraseña en diferentes servicios.
El programador y docente agregó que “la mayor crítica de la comunidad es que Ualá no tenía los suficientes controles para detectar situaciones como estas. Tampoco contaba con un sistema de doble factor de autenticación, como mencionamos antes. Aunque al parecer, luego del incidente, lo incorporaron a la plataforma”.
Sin ningún tipo de información sobre las razones, Ualá dio de baja la versión web de la app, lo que hace sospechar que la página era la entrada más vulnerable para este tipo de operaciones, según el especialista.
“LAPSUS$”, el grupo hacker que se atribuye el ataque
Días atrás apareció una encuesta en su canal de difusión de Telegram, en donde permitían al público votar la próxima documentación que sería filtrada de manera pública. Las opciones eran tres: código fuente de “Vodafone” operador de telefonía móvil, fija, internet y tv digital de Reino Unido; código fuente de “Impresa”, un conglomerado de medios de comunicación de Portugal; y el código fuente de Mercado Libre y Mercado Pago.
Este grupo delictivo hizo grandes ataques a corporaciones multinacionales como la coreana Samsung, al lograr obtener el código fuente responsable de autenticación biométrica y desbloqueo de celulares (huella dactilar), entre otra documentación. También hackearon al fabricante de tarjetas gráficas estadounidense Nvidia, por nombrar solo algunos de sus más célebres ataques. No parecen manejarse con la lógica imperante de pedir dinero por el “rescate” de la información robada. En el caso de Nvidia pidieron una modificación en la tarjeta gráfica que les permitiera trabajar mejor con criptomonedas.
Si bien no hay mucha información disponible de estos ciberdelincuentes cuyos primeros movimientos fueron a mediados de 2020, se sospecha que podrían ser de nacionalidad brasilera. La encuesta donde ofrecen el código fuente de Mercado Libre y Mercado Pago finalizó este 13 de marzo con la corporación en segundo lugar, debajo de Vodafone. De todas maneras esto no garantiza que decidan liberar la documentación más adelante o les incluya en una nueva votación.