PcComponentes se ha visto envuelta en una polémica tras la publicación de un supuesto hackeo denunciado por la cuenta especializada en ciberseguridad Hackmanac, conocida por rastrear ataques y filtraciones de datos a nivel global. Según esta fuente, un actor de amenazas identificado como daghetiaw habría comprometido la web de la compañía murciana y estaría ofreciendo a la venta un conjunto de datos que afectaría a 16,3 millones de personas.
De acuerdo con la información difundida por Hackmanac, el atacante habría publicado en un foro de hacking una base de datos supuestamente extraída de PcComponentes, incluyendo una muestra de información correspondiente a 500.000 personas. En su mensaje, el actor detalla el tipo de datos robados y afirma que estos procederían directamente de los sistemas de la empresa.
PcComponentes lo niega
Poco después de que la información comenzara a circular, PcComponentes ha negado categóricamente haber sufrido una brecha de seguridad. En un comunicado oficial, la compañía ha aseverado que «tras una investigación exhaustiva por parte de nuestros expertos en seguridad, no se ha detectado ningún acceso ilegítimo a sus bases de datos ni a sus sistemas internos«.
Según la empresa, lo ocurrido responde a un ataque de credential stuffing, una técnica ampliamente conocida en el ámbito de la ciberseguridad. Este tipo de ataques consiste en utilizar combinaciones de correos electrónicos y contraseñas obtenidas de filtraciones externas, ajenas a la compañía afectada, para probar de forma automática esos accesos en múltiples plataformas.
«Un tercero ha usado direcciones de email y contraseñas obtenidas a partir de filtraciones de seguridad ocurridas en bases de datos comprometidas, ajenas a PcComponentes«, ha explicado la empresa. Este método aprovecha la reutilización de contraseñas por parte de los usuarios, una práctica desaconsejada por los expertos en seguridad.
Qué datos se han visto afectados, según la empresa
PcComponentes ha subrayado que no se han visto comprometidos datos bancarios, ya que la compañía no almacena información de tarjetas de crédito. El sistema solo conserva tokens de seguridad que permiten identificar pagos, pero que carecen de valor fuera de su entorno y no permiten visualizar datos financieros ni realizar cargos.
De igual modo, la empresa ha desmentido la cifra de 16,3 millones de clientes afectados, asegurando que el número de cuentas activas es «marcadamente inferior» y que solo un número limitado de usuarios se ha visto afectado por accesos no autorizados a sus cuentas.
Respecto a las contraseñas, PcComponentes ha remarcado que nunca se almacenan en texto plano: «Estas se guardan mediante un hash irreversible, lo que impide que incluso la propia compañía pueda conocerlas«. Según la información facilitada, los datos potencialmente expuestos se limitarían a nombre y apellidos, DNI, direcciones IP, teléfonos y direcciones de correo electrónico de algunos usuarios.
Medidas de seguridad adicionales
No obstante, como respuesta preventiva, PcComponentes ha implantado nuevas medidas de seguridad. Entre ellas, la activación de un sistema CAPTCHA en el proceso de inicio de sesión y la obligatoriedad del doble factor de autenticación, mediante el envío de un código de verificación al correo electrónico del usuario. Además, la compañía ha invalidado todas las sesiones activas, obligando a los usuarios a iniciar sesión nuevamente bajo los nuevos protocolos de seguridad.
