En las últimas horas se han publicado informaciones que apuntan a que PcComponentes, el primer e-commerce de tecnología español, ha sufrido una importante filtración de datos de sus clientes. Esas informaciones hablan de un hacker que afirma haber robado datos personales de hasta 16,3 millones de clientes de la tienda. Entre ellos, números de DNI, direcciones, metadatos de tarjetas bancarias e incluso direcciones IP de los usuarios. El aviso del ataque fue publicado en la cuenta de la red social X de Hackmanac, que cuelga alertas de supuestos hackeos y robos masivos de información. Para dar más verosimilitud a su anuncia, el autor del ciberataque ha publicado un extracto gratuito de los datos de 500.000 usuarios.
Sin embargo, en su comunicado a sus clientes, PcComponentes tranquiliza y afirma: «Tras una investigación por parte de nuestros expertos en seguridad, no tenemos constancia de que PcComponentes haya sufrido una brecha de seguridad en sus sistemas«.
Además, dice: «La cifra de 16 millones de clientes supuestamente afectados es falsa, ya que el número de cuentas activas en PcComponentes es marcadamente inferior. Asimismo, el acceso ilegítimo no ha sido masivo, es decir, únicamente algunos clientes se han visto afectados«.
El retailer también asegura que los datos bancarios «no se han visto comprometidos en ningún caso dado que PcComponentes no los almacena«. «PcComponentes solo conserva un código de seguridad (token) que sirve para identificar el pago, pero que no permite ver la tarjeta ni realizar cargos por sí solo. Ese código no tiene valor fuera del sistema de pago y no puede usarse de forma fraudulenta».
También dice que las contraseñas de clientes «nunca se almacenan» en su base de datos. «En su lugar, se convierte en un código secreto y cifrado (‘hash’). Este código es irreversible, lo que significa que ni nosotros ni nadie más puede ver tu contraseña original», apuntan desde PcComponentes.
«Las categorías de datos afectados son: nombre, apellidos, DNI (en los supuestos en los que el cliente lo haya introducido), dirección, IP, correo electrónico y teléfono«, admite el comunicado de la tienda online.
Credential stuffing: origen del problema
PcComponentes vincula lo ocurrido con un fenómeno conocido en ciberseguridad como credential stuffing. «Esto significa que un tercero ha utilizado direcciones de email y contraseñas obtenidas a partir de filtraciones de seguridad ocurridas en bases de datos comprometidas, ajenas a PcComponentes. A partir de estas bases de datos —que suelen publicarse en foros de internet— los atacantes prueban de forma automática y masiva esas combinaciones de acceso en múltiples plataformas. Cuando un usuario reutiliza la misma contraseña en distintas plataformas, este tipo de ataques puede permitir el acceso no autorizado a su cuenta y la obtención de cierta información en las plataformas en las que tenga cuenta previa».
