Hackeo a Mercado Libre: cómo activar la verificación de dos pasos para evitar robos

Unas 300 mil cuentas de Mercado Libre y Mercado Pago fueron hackeadas presuntamente por un grupo de ciberdelincuentes, que en las últimas horas se atribuyó el ataque. La propia empresa fundada por Marcos Galperin reconoció este lunes que a partir de logueos no autorizados se accedió a los datos de estos usuarios. En ese contexto, las personas que tienen cuentas digitales pueden activar una capa de seguridad extra a la que ya existe en todas las billeteras digitales y que está fijada por el nombre de usuario y la contraseña. Se trata de la verificación en dos pasos, un mecanismo que sirve para sumar una segunda barrera, evitar ataques de ciberdelincuentes y no sufrir posibles estafas.

“Recientemente hemos detectado que parte del código fuente de Mercado Libre ha sido objeto de un acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo”, afirmó la compañía en un comunicado.

El ataque se lo adjudicó el grupo Lapsus$, quien se encargó de viralizar la acción, y expertos del sector aseguran que su intención es “cobrar un rescate” por los datos robados. Pero además existe temor por la seguridad de la plataforma ya que los delincuentes cuentan con información que les puede permitir continuar realizando nuevos ataques y estafas sobre los usuarios.

Este grupo de hackers extorsiona mediante ransomware, como se denomina al secuestro de datos, y ya atacó a otras compañías de envergadura. Además, había publicado una encuesta en la que había propuesto el hackeo de 24 mil repositores de Mercado Libre y Mercado Pago.

Lapsus$ fue noticia pocos días atrás por otro ataque informático, en esa ocasión contra Nvidia, el principal desarrollador a nivel mundial de circuitos integrados y procesadores de tecnología gráfica. Nvidia fue víctima de un cibertaque que comprometió información confidencial de la compañía. Lapsus$ se responsabilizó del hecho y dijo que pudo extraer 1 terabyte de datos.

En tanto, Mercado Libre precisó en un comunicado: “Aunque se accedió a los datos de aproximadamente 300.000 usuarios (de casi 140 millones de usuarios activos únicos), hasta el momento -y según nuestro análisis inicial- no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago”. Por otro lado, aseguró que se tomaron “medidas estrictas para evitar nuevos incidentes”.

El ataque cibernético también fue confirmado a la SEC (la Comisión de Valores) de Estados Unidos, mientras que los títulos de la compañía en Nueva York sufrieron una fuerte baja el lunes de 9,3 por ciento.

Qué es la verificación en dos pasos y cómo activarla

Según Pablo Lima, Sales Director para Cono Sur de la empresa de seguridad VU, el segundo factor de autenticación “es una capa de seguridad que se agrega a las credenciales básicas como usuario y contraseña”.

En ese sentido, destacó que “la asociación de estos mecanismos eleva los niveles de seguridad, permitiendo limitar en un 100% los casos de phishing. Este paso extra que protege nuestros datos se puede activar en las redes sociales, servicios bancarios, mensajería instantánea, entre otros”.

La compañía líder en soluciones de tecnología para servicios financieros Fiserv destacó la importancia de proteger los datos personales, ya que año a año los robos de identidad con tarjetas de crédito y débito crecen. Además, con opciones cada vez más desarrolladas como smartphones, transferencias online o contactless, también se van sumando nuevas modalidades de fraude que las empresas deben contemplar.

Según la firma de seguridad, es importante incorporar protocolos de autenticación más autorización. Asimismo, hizo hincapié en la utilización de herramientas y soluciones preventivas de fraude, como controles de los montos dudosos, patrones sospechosos, uso de tarjetas extranjeras para pagos de servicios locales, y pruebas de tarjetas.

En ese sentido, desde Mercado Libre aconsejan fortalecer la seguridad de las cuentas con la verificación en dos pasos que puede ser a través de la recepción en el teléfono celular de códigos de seguridad mediante mensajes de texto, WhatsApp o incluso a través de una llamada. La opción está habilitada, pero no es obligatoria, como sucede en con algunos bancos y otras plataformas. También existe la posibilidad de autenticar la identidad del usuario utilizando la herramienta “Google Authenticator”, que permite generar códigos de verificación temporales con la app de Google.

De esa manera, la empresa le pide al usuario que active un método de verificación que le será requerido, por ejemplo, cuando ingrese a su cuenta desde un dispositivo desconocido o retire dinero.

En tanto, la empresa informó que el método que los usuarios utilizan para desbloquear la pantalla de sus teléfonos también sirve para proteger la app de Mercado Pago o Mercado Libre. En ese sentido, detalló que si el usuario cuenta con un dispositivo Android deberá activar su “Huella digital, PIN o Patrón”, mientras que si el dispositivo es iOS, tendrá que activar “Touch ID y código” o “Face ID y código”.

Esto permite llevar el control de la cuenta y ver los dispositivos donde los usuarios tienen una sesión activa. De esta manera, si se desconoce alguno, es posible eliminarlo para proteger el dinero y los datos.

El hackeo a Mercado Libre llega en un momento en que se desarrolla un intenso debate entre bancos y fintech por la seguridad de las operaciones en las que interactúan, tal como informó Infobae la semana pasada. Las normas indican que las transferencias entre cuentas bancarias y virtuales deben hacerse en igualdad de condiciones. Pese a ello, muchos bancos líderes ponen topes a esas transferencias de dinero.

El argumento de los bancos para justificar los límites en el giro de dinero hacia las fintech es que los sistemas de seguridad de éstas no son lo suficientemente sólidos y que con los topes a las transferencias se redujeron los ilícitos. También explican que no siempre las billeteras digitales tienen un segundo factor de autenticación.

SEGUIR LEYENDO: