Tecnología > ciberseguridad
Recomiendan cambiar la clave de eBay
La empresa sufrió un ataque de parte de hackers que pone en riesgo la información de sus 128 millones de usuarios
Tiempo de lectura: -'
21 de mayo de 2014 a las 13:42
El gigante estadounidense de la distribución en línea eBay anunció el miércoles haber sido víctima de piratas informáticos que entraron a su base de datos, que contenía claves y otras informaciones personales, en lo que podría constituir el mayor ataque de este tipo. Por eso, la firma solicitó a sus usuarios que cambiaran su clave de acceso para proteger sus datos.
En un comunicado, eBay señaló que la base de datos estaba comprometida entre fines de febrero y comienzos de marzo e "incluye nombres, claves encriptadas, direcciones de correo electrónico, dirección física, número de teléfono y fecha de nacimiento de los clientes".
No obstante, la empresa informó "no tener pruebas" de que los hackers hayan tenido acceso a datos financieros o vinculados a tarjetas de crédito de los usuarios.
Kari Ramirez, portavoz de eBay, aclaró que el ciberataque no afectó la información de PayPal, la unidad de finanzas y pagos de la compañía, ya que los datos de PayPal se almacenan en forma separada. "Por el momento, no podemos dar detalles sobre la cantidad específica de cuentas afectadas", dijo en un correo electrónico.
El ataque, que potencialmente afecta a los 128 millones de usuarios de eBay, podría ser el mayor contra un distribuidor minorista, meses después de que el gigante del sector, Target, revelara un ataque que podría haber afectado a más de 100 millones de usuarios.
La compañía dijo haber detectado hace unas dos semanas que "credenciales de ingreso de empleados estaban comprometidas", por lo que inició una investigación.
"Los piratas cibernéticos comprometieron una pequeña cantidad de credenciales de ingreso de empleados, permitiendo el acceso no autorizado a la red corporativa de eBay", indicó la compañía.
El comunicado agregó que la compañía "investiga exhaustivamente el asunto y aplica las mejores herramientas y prácticas de investigación forense para proteger a los clientes", en tanto trabaja con agentes de la ley y expertos en materia de seguridad.
El anuncio fue realizado en medio de la confusión sobre el ataque. La compañía publicó una declaración, luego la retiró y emitió una nota de prensa, dijo el consultor sobre seguridad Graham Cluley, con oficinas en Londres.
"El manejo del incidente por parte de eBay hasta ahora ha sido un poco desordenado, con una filtración aparentemente accidental más temprano en la jornada", publicó Cluley en su blog. Y agregó que los usuarios deben actualizar con una clave mas difícil de violar luego del ataque.
"Claramente eBay teme que las claves que existen en la base de datos atacada, aunque encriptadas, puedan ser fácilmente descifradas y caigan en manos de atacantes inescrupulosos", advirtió. "Además, aunque no haya quedado comprometida información financiera, pareciera que otra información personal identificable también ha sido expuesta", continuó.
En un estudio publicado el miércoles, la firma de seguridad Trustwave afirma que identificó 691 ataques en 24 países en 2013, en alza de 53,6% en relación a los incidentes detectados en 2012.
"En la mayoría de los casos que investigamos, el objetivo de los atacantes eran las tarjetas de crédito", señala el documento.
"Una red global en expansión permite la rápida monetización de la información robada, independientemente del lugar en que la víctima o el atacante residan. Mientras los criminales puedan ganar dinero robando información y vendiendo esa información sensible en el mercado negro, no debemos esperar que los riesgos que pesan sobre estos valiosos datos se reduzcan", advirtió.
En un comunicado, eBay señaló que la base de datos estaba comprometida entre fines de febrero y comienzos de marzo e "incluye nombres, claves encriptadas, direcciones de correo electrónico, dirección física, número de teléfono y fecha de nacimiento de los clientes".
No obstante, la empresa informó "no tener pruebas" de que los hackers hayan tenido acceso a datos financieros o vinculados a tarjetas de crédito de los usuarios.
Kari Ramirez, portavoz de eBay, aclaró que el ciberataque no afectó la información de PayPal, la unidad de finanzas y pagos de la compañía, ya que los datos de PayPal se almacenan en forma separada. "Por el momento, no podemos dar detalles sobre la cantidad específica de cuentas afectadas", dijo en un correo electrónico.
El ataque, que potencialmente afecta a los 128 millones de usuarios de eBay, podría ser el mayor contra un distribuidor minorista, meses después de que el gigante del sector, Target, revelara un ataque que podría haber afectado a más de 100 millones de usuarios.
La compañía dijo haber detectado hace unas dos semanas que "credenciales de ingreso de empleados estaban comprometidas", por lo que inició una investigación.
"Los piratas cibernéticos comprometieron una pequeña cantidad de credenciales de ingreso de empleados, permitiendo el acceso no autorizado a la red corporativa de eBay", indicó la compañía.
El comunicado agregó que la compañía "investiga exhaustivamente el asunto y aplica las mejores herramientas y prácticas de investigación forense para proteger a los clientes", en tanto trabaja con agentes de la ley y expertos en materia de seguridad.
Un problema para la empresa
El anuncio fue realizado en medio de la confusión sobre el ataque. La compañía publicó una declaración, luego la retiró y emitió una nota de prensa, dijo el consultor sobre seguridad Graham Cluley, con oficinas en Londres.
"El manejo del incidente por parte de eBay hasta ahora ha sido un poco desordenado, con una filtración aparentemente accidental más temprano en la jornada", publicó Cluley en su blog. Y agregó que los usuarios deben actualizar con una clave mas difícil de violar luego del ataque.
"Claramente eBay teme que las claves que existen en la base de datos atacada, aunque encriptadas, puedan ser fácilmente descifradas y caigan en manos de atacantes inescrupulosos", advirtió. "Además, aunque no haya quedado comprometida información financiera, pareciera que otra información personal identificable también ha sido expuesta", continuó.
Los ataques piratas
En un estudio publicado el miércoles, la firma de seguridad Trustwave afirma que identificó 691 ataques en 24 países en 2013, en alza de 53,6% en relación a los incidentes detectados en 2012.
"En la mayoría de los casos que investigamos, el objetivo de los atacantes eran las tarjetas de crédito", señala el documento.
"Una red global en expansión permite la rápida monetización de la información robada, independientemente del lugar en que la víctima o el atacante residan. Mientras los criminales puedan ganar dinero robando información y vendiendo esa información sensible en el mercado negro, no debemos esperar que los riesgos que pesan sobre estos valiosos datos se reduzcan", advirtió.
