La empresa alhameña PcComponentes ha aclarado que no ha sufrido una vulneración directa de su infraestructura, sino que ha sido objeto de un ataque de relleno de credenciales, una técnica que utiliza combinaciones de usuarios y contraseñas procedentes de filtraciones previas de otros servicios previos a la compañía.
Según ha informado la compañía, no se ha producido un acceso ilegítimo a sus bases de datos así como a los sistemas internos al tiempo que ha desmentido que se haya producido una afectación masiva de 16 millones de usuarios, ya que el número de cuentas activas es marcadamente inferior. Solo algunos clientes, confirma la empresa, se han visto afectados.
«Tras una investigación por parte de nuestros expertos en seguridad, no tenemos constancia de que PcComponentes haya sufrido una brecha de seguridad en su sistema», señalan desde empresa. En este sentido añaden que «lo que hemos detectado es un fenómeno conocido en ciberseguridad como credential stuffing. Esto significa que un tercero ha utilizado direcciones de email y contraseñas obtenidas a partir de filtraciones de seguridad ocurridas en bases de datos comprometidas ajenas a PcCompontes«.
«A partir de estas bases de datos que suelen publicarse en foros de internet, los atacantes prueban de forma automática y masiva esas combinaciones de acceso en múltiples plataformas. Cuando un usuario reutiliza la misma contraseña en distintas plataformas, este tipo de ataques puede permitir el acceso no autorizado a su cuenta y la obtención de cierta información en las plataformas en las que tenga cuenta previa», aclaran.
La compañía aclara además que los datos que podrían haberse visto expuestos se limitan a información personal y de contacto, mientras que ningún dato bancario ni financiero se ha visto comprometido en ningún momento. «Las contraseñas de nuestros clientes nunca se almacenan en nuestra base de datos ya que en su lugar se convierten en un código secreto y cifrado (hash). Este código es irreversible lo que significa que ni nosotros ni nadie más puede ver tu contraseña original», reiteran.
Tras detectar el incidente, la compañía reforzó sus protocolos de seguridad con la implantación de medidas adicionales, entre ellas la activación de sistemas CAPTCHA así como la obligatoriedad de la autentificación en dos factores (2FA) e invalidación de todas las sesiones activas a fin de prevenir futuros accesos no autorizados y proteger las cuentas de sus usuarios.
Por último, la empresa ha reiterado su compromiso con la seguridad y la protección de los datos personales al tiempo que ha recordado la importancia de utilizar contraseñas únicas robustas en cada servicio digital. También recuerdan evitar el phishing, es decir, hacer clic en enlaces de seguimiento de pedidos así como de recogida que lleguen por correo electrónico o mediante mensaje de texto.