PcComponentes niega haber sufrido una brecha de seguridad, pero deberías cambiar tu contraseña

Tiempos convulsos para el mundo de la ciberseguridad en España, donde recientemente se han producido hackeos a grandes compañías con millones de clientes como la energética Endesa y la aerolínea Iberia, en los que se han visto comprometidos datos personales sensibles.

La última compañía en resultar afectada ha sido la plataforma de comercio electrónico española PcComponentes, uno de los sitios más populares para comprar tecnología y electrodomésticos en nuestro país, como acaba de darse a conocer.

La compañía de ciberseguridad Hackmanac ha informado este martes a través de su cuenta en X (la antigua Twitter) de una filtración de datos de clientes de PcComponentes que ha aparecido en foros de la Dark Web frecuentados por los cibercriminales.

Este miércoles la compañía española ha reaccionado con un comunicado en el que asegura que no tiene constancia de que sus sistemas hayan tenido ninguna brecha de seguridad. Aunque ha tomado medidas de protección, niega buena parte de lo que aseguraba el autor.

La (supuesta) filtración

El responsable de los hechos es un hacker con el alias daghetiaw que asegura haber tenido acceso a las bases de datos de PcComponentes. 

Anteriormente, este mismo actor ha hackeado a otras empresas como MediaMarkt en Suiza y la guía de restaurantes japonesa Guranavi, propiedad de Rakuten. No obstante, esta es la filtración con mayor cantidad de datos implicados.

La información en cuestión contiene los datos de 16,3 millones de cuentas de cliente de PcComponentes de acuerdo con el propio el hacker, las que se utilizan en la plataforma de ecommerce con sede en Murcia.

Esta filtración contiene según su autor datos personales de alta sensibilidad, como números de DNI, pedidos, facturas, direcciones postales, datos de contacto, tickets de Zendesk, metadatos de tarjetas de crédito, direcciones IP e información de compras.

De momento, solo se ha publicado una muestra con los datos de 500.000 cuentas de clientes de PcComponentes, pero la base de datos completa de los 16 millones de afectados se encuentra a la venta en foros de la internet oscura, por lo que podría utilizarse para ataques de phishing y otras amenazas en el futuro.

PcComponentes niega el hackeo

La plataforma murciana ha realizado una investigación de los sucedido y ha determinado que no hay constancia de que los sistemas hayan sufrido una brecha de seguridad.

PcComponentes niega que se haya producido una filtración de carácter masivo, aunque sí que reconoce que "algunos clientes se han visto afectados" por un problema de seguridad derivado del uso de la misma contraseña en servicios de terceros que sí han sido hackeados y que aparecen en bases de datos en foros de la Dark Web.

La compañía ha negado la cifra de 16 millones de cuentas afectadas, que sostiene que "es falsa, ya que el número de cuentas activas en PcComponentes es marcadamente inferior".

También rechaza, como afirmaba el hacker y recogía Hackmanac, que se hayan visto comprometidos datos bancarios de los clientes del comercio online, dado que no los almacena, sino solamente tokens que no ponen en riesgo el robo. Tampoco las contraseñas se guardan, sino solo en forma de códigos hash cifrados.

Los datos que sí han quedado expuestos en los casos de los usuarios víctimas del ataques de credential stuffing procedente de servicios de terceros son: nombre, apellidos, DNI (en los supuestos en los que el cliente lo haya introducido), dirección, IP, correo electrónico y teléfono.

La plataforma asegura que notificará mediante comunicaciones personalizadas a los clientes afectados por este caso.

Aún así, cambia tu contraseña

Pese a negar la gravedad que según el hacker podía tener la base de datos filtrada, PcComponentes ha tomado medidas para reforzar sus controles de seguridad para prevenir casos similares.

Por ello, ha incorporado mecanismos como la autenticación de doble factor y el Captcha para el inicio de sesión, con el objetivo de bloquear intentos automatizados realizados mediante bots o scripts. También se han invalidado las sesiones activas para que los nuevos métodos pasen a ser obligatorios para todos.

PcComponentes también ha recordado la importancia de no repetir contraseñas en varios servicios, aconsejando en su lugar gestores de contraseñas. También reitera la importancia de solo gestionar los pedidos en la web de la tienda y no caer en estafas de phishing que pudieran realizarse por mensaje, teléfono o mail.