Mercadolibre, Uala: dos grandes tecnológicas bajo ataque

Esta semana fueron noticia fallas graves de seguridad y ciberataques a dos grandes empresas tecnológicas. El robo del código fuente y de 300 mil usuarios de MercadoLibre y MercadoPago, y millones de pesos en pérdidas para clientes de Uala. ¿Puede pasar con otras empresas de servicios? Las claves están en el trabajo de los informáticos.

MercadoLibre: ataque informático robó el código fuente, miles de repositorios e información de 300 mil cuentas

MercadoLibre, la plataforma líder en ecommerce en América Latina, sufrió un ataque informático, el robo de información de usuarios y códigos de su sistema, según informaron medios locales y posteriormente confirmó la propia empresa.

El grupo de hackers Lapsus$ fue quien se adjudicó el hecho. La misma organización que ya atacó a Samsung y Nvidia y filtró más de 190 GB de datos de códigos, clientes y empleados de las tecnológicas. El fin de semana anterior a la publicación del ciberataque a ML, el grupo ofreció en una encuesta a sus seguidores en su canal de Telegram, preguntando a cerca de los datos de que empresas querían ver publicados: Vodafone, Impresa o MercadoLibre.

A muchos medios y analistas le sorprendió la inclusión de un jugador regional entre los posibles atacados. Pero más allá de la escala regional indiscutible de MercadoLibre, muchos abonan a la teoría de que Lapsus$ es una organización cibercriminal latinoamericana de impacto global. Acaso otro unicornio sudamericano.

El caso del ciberataque a MercadoLibre que tomó estado público ésta semana se trata del mayor ataque a la empresa de origen argentino por parte de ciberdelincuentes. Según la información los hackers accedieron no sólo al código fuente y cerca de 24 mil repositorios.

300 mil usuarios (de los 140 millones de usuarios únicos) tanto de MercadoLibre como de MercadoPago tienen en serio riesgo sus datos y cuentas, y son blancos fáciles de posibles estafas. Sea por hackers a través de prácticas como el phishing, o bien de malandras menos sofisticados que pueden salir a la pesca de desprevenidos ante la divulgación de la noticia. «Las implicancias son profundas y podrían derivar en una catarata de intentos de hackeo/estafas», según escribió el periodista Federico Ini en su cuenta de Twitter.

Si bien desde la empresa explicaron que aún «no hay evidencia de que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago», especialistas en seguridad informática recomendaron a los usuarios de ML realizar cambios de contraseña y establecer la verificación de dos pasos.

Uala, cuentas vaciadas y "consultas al MP"

Fue a comienzos de marzo que usuarios de la fintech Ualá vieron sus cuentas vaciadas. Clientes que utilizan la billetera digital o realizan inversiones a través de la plataforma encontraron sus cuentas con $0 y transferencias no autorizadas.

Aunque desde la empresa confirmaron el robo a las cuentas de los usuarios, en un comunicado oficial trataron al tema como un caso de «fraude», descartaron una vulnerabilidad del sistema y sugirieron mejorar la «educación financiera» de los usuarios.

Si bien desde la empresa no dieron más declaraciones, su CEO, Pierpaolo Barbieri, sí contestó a varios usuarios a través de su cuenta de Twitter. Incluso allí deslizó que podría tratatarse de un caso de phishing.

En un primer momento, usuarios damnificados radicaron denuncias en fiscalías, pero el tema comenzó a escalar cuando el caso se instaló en el terreno de las redes sociales. Éstos, comunicaron su situación en Twitter donde rápidamente Ualá llegó a la lista de trending topic en Argentina. El mismo CEO de la empresa, Pierpaolo Barbieri, respondió twitts y mensajes de clientes. Pero el dinero sigue sin reintegrarse a los usuarios.

En Twitter, la conversación en el foro entre la comunidad informática descartó que se trate de casos de phishing, ni falta de educación financiera de los usuarios -todos más que familiarizados con éstas plataformas y aplicaciones-, sino en fallas en la seguridad informática en el desarrollo mismo de los sistemas de Ualá.

El factor trabajo

Las falencias en medidas preventivas de seguridad en éstas plataformas financieras, sea desde billeteras electrónicas, sitios y aplicaciones de homebanking hasta los bancos digitales, se repiten y multiplican, pero muchas se ocultan. Sobre todo por los problemas profundos que que existen desde la concepción y desarrollo de los productos, pero sobre todo por las formas y condiciones en que los informáticos empleados en ellas tienen que trabajar.

Que una consultora comience un proyecto nuevo con un determinado equipo de trabajo, y que éste equipo cambie casi por completo en la etapa de desarrollo debido a la altísima rotación de personal en nuestra actividad. Ésto abre un flanco de debilidad en cualquier producto. Lo mismo sucede con soporte y seguridad.

Y porque de muestra sólo falta un botón, la aplicación de Ualá siquiera contaba con verificación o autenticación en dos pasos.

Tags:

Abrir chat
¡Hola! ¿Como estás? Hacenos tu consulta para afiliarte, salarios, y beneficios por Whatsapp de lunes a viernes de 9 a 18!