LAPSUS$, el grupo de piratas informáticos que atacó a NVIDIA y Samsung, también hackeó a Mercado Libre, la compañía de comercio electrónico más importante de América Latina. Accedieron a los datos de 300 mil usuarios.
Mercado Libre ha sido hackeado por LAPSUS$, el grupo latinoamericano que fue noticia por hacer lo mismo con NVIDIA y Samsung en días recientes. En el caso de estas dos últimas compañías, también han filtrado y hecho público parte de los datos robados. Según confirmó la compañía argentina en un comunicado, los datos de 300 mil usuarios han sido comprometidos durante el ataque.
«Recientemente hemos detectado que parte del código fuente de Mercado Libre ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo», dice el comunicado que dio a conocer la empresa por WhatsApp poco después de las 18.00 del lunes (hora de Argentina), y que compartieron distintos periodistas en Twitter.
En el citado anuncio, Mercado Libre reconoce que los datos de 300 mil usuarios han sido accedidos por los hackers. Sin embargo, la empresa indica que se trata de un número mínimo si se considera que tiene casi 140 millones de usuarios activos únicos. «Hasta el momento […] no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago», indicaron.
Detecte las últimas vulnerabilidades con Burp Scanner: el escáner dinámico de vulnerabilidades web en el que confían más de 15,000 organizaciones.
Si bien la información sigue siendo escasa, LAPSUS$ dice tener en su poder el código fuente de Mercado Libre (o un fragmento, al menos) y planea hacerlo público. Lo más llamativo es que esto se conoció por una encuesta que hicieron los propios hackers en su canal de Telegram; allí les consultaron a sus seguidores cuál debía ser la próxima filtración, siendo Mercado Libre y Mercado Pago una de las opciones.
A pesar de la confirmación del hackeo, todavía resta mucho por conocer en relación a cómo ha ocurrido y cuáles son los próximos pasos a tomar. Vale mencionar que Mercado Libre y Mercado Pago cuentan con el sistema de doble factor de autenticación. El mismo se puede activar desde ambas aplicaciones en Mi Cuenta/Mi Perfil > Seguridad > Verificación en dos pasos; se puede utilizar un código por mensaje de texto o Google Authenticator.
Sigue siendo llamativa la demora de Mercado Libre hasta que confirmó esta situación, tomando en cuenta que los primeros tuits relacionados a la (por entonces supuesta) filtración aparecieron el domingo por la noche. Y si bien las primeras informaciones relacionadas al hackeo pasaron casi desapercibidas en la prensa argentina, con el correr de las horas se registraba una creciente expectativa en las redes sociales en torno a una comunicación oficial.
Al momento de actualizar este artículo, sigue sin haber mención al suceso en las redes sociales de Mercado Libre y Mercado Pago. Sin embargo, el mismo comunicado que se divulgó a periodistas —pero en inglés— ya aparece en la web de la Comisión de Bolsa y Valores de Estados Unidos (SEC).
Pocas horas después de la amenaza y ante la viralización en las redes sociales, Mercado Libre confirmó el ataque.
Lapsus$ fue noticia pocos días atrás por otro ataque informático, en esa ocasión contra Nvidia, el principal desarrollador a nivel mundial de circuitos integrados y procesadores de tecnología gráfica. Nvidia fue víctima de un cibertaque que comprometió información confidencial de la compañía. Lapsus$ se responsabilizó del hecho y dijo que pudo extraer 1 terabyte de datos.
“No tenemos evidencia de que se esté implementando ransomware en el entorno de Nvidia o que esté relacionado con el conflicto entre Rusia y Ucrania. Sin embargo, somos conscientes de que el actor de amenazas tomó las credenciales de los empleados y cierta información patentada de NVIDIA de nuestros sistemas y comenzó a filtrarla en línea”, señaló la compañía.
El ransomware, un modalidad de ciberdelito seguida por Lapsus$ y otras bandas de hackers, consiste en secuestrar los datos por medio de un software malicioso (malware) que cifra archivos impidiendo que el usuario pueda tener acceso al contenido. De ese modo, los datos quedan secuestrados, encriptado e inaccesible para la víctima hasta el pago de un rescate, en general a través de criptomonedas.
El episodio obligó a Mercado Libre, empresa que cotiza en la Bolsa de Nueva York e integra el Nasdaq, el índice de las compañías tecnológicas, a informar a sus inversores. Por ello envió una nota a la Security and Exchange Commision (SEC), el organismo que regula el mercado de capitales, similar a la Comisión Nacional de Valores en la Argentina. Ese envío es conocido como “formulario 8 K”, a través del cual la empresa informa aquellos hechos sobre su actividad que puedan resultar de relevancia tanto para sus accionistas como par el resto del mercado y sus organismo reguladores.
A nivel del mercado argentino, el hackeo a Mercado Libre llega en un momento en que se desarrolla un intenso debate entre bancos y fintech por la seguridad de las operaciones en las que interactúan. Las normas indican que las transferencias entre cuentas bancarias y virtuales (como las de Mercado Pago) deben hacerse en igualdad de condiciones. Pese a ello, muchos bancos líderes ponen topes a esas transferencias de dinero.
El argumento de los bancos para justificar los límites en el giro de dinero hacia las fintech es que los sistemas de seguridad de éstas no son lo suficientemente sólidos y que con los topes a las transferencias se redujeron los ilícitos. También explican que no siempre las billeteras digitales tienen un segundo “factor de autenticación”, es decir, dos maneras de identificarse. La primera es ingresando usuario y clave; la segunda clave puede ser un token, un mensaje de texto, Google Authenticator o apoyar la huella digital, entre otras vías.
NORTH NETWORKS es Distribuidor de BURP SUITE para América Latina, compra la mejor tecnología en detección de vulnerabilidades y pen-testing del mundo, no exponga la seguridad de su compañía.
Si te ha gustado, ¡compártelo con tus amigos!
