PcComponentes emite un comunicado y tranquiliza a sus clientes, pero advierte: cambia tu contraseña

Hace unas horas se hizo viral en redes sociales que, presumiblemente, PcComponentes había sido víctima de un ciberataque. No obstante, la compañía ha querido emitir un comunicado explicando con todo tipo de detalles que ha pasado, en qué nos afecta y qué medidas debemos tomar.

El comunicado de PcComponentes aclara que no han sufrido una brecha de seguridad

Para ponernos en contexto, la pasada noche apareció la información de que más de 16 millones de personas se habían visto afectadas por un ciberataque producido contra PcComponentes. Al parecer, datos como DNI, correos o cuentas bancarias de los usuarios habrían caído en manos de un grupo de hackers que atacó a una de las tiendas de tecnología más importantes del país.

Sin embargo, PcComponentes ha desmentido esta información a través de un comunicado. Según la tienda, no existe constancia alguna de que PcComponentes haya sufrido una brecha de seguridad en sus sistemas. Explican que lo ocurrido realmente ha sido un fenómeno conocido como credential stuffing. 

Este fenómeno ocurre cuando un tercero utiliza direcciones de emails y contraseñas obtenidas a partir de filtraciones de seguridad ocurridas en base de datos comprometidas, ajenas a la web correspondiente. Para poneros un ejemplo claro, es lo que ocurre cuando se accede a los datos de Google, y se tiene acceso a las credenciales que guardamos para entrar en diferentes webs o plataformas. De ahí la importancia de rechazar los mensajes de «recordar contraseña» de los navegadores.

Los 5 puntos clave del comunicado

PcComponentes ha querido resumir todo en 5 puntos clave que os dejamos a continuación:

1. «No se ha producido un acceso ilegítimo a la base de datos ni a los sistemas internos de PcComponentes.
2. La cifra de 16 millones de clientes supuestamente afectados es falsa, ya que el número de cuentas activas en PcComponentes es marcadamente inferior. Asimismo, el acceso ilegítimo no ha sido masivo, es decir, únicamente algunos clientes se han visto afectados.
3. Los datos bancarios no se han visto comprometidos en ningún caso dado que PcComponentes no los almacena. PcComponentes solo conserva un código de seguridad (token) que sirve para identificar el pago, pero que no permite ver la tarjeta ni realizar cargos por sí solo. Ese código no tiene valor fuera del sistema de pago y no puede usarse de forma fraudulenta. Por este motivo, no existe riesgo de robo de datos bancarios. Tus datos financieros están protegidos en todo momento.
4. Las contraseñas de clientes nunca se almacenan en la base de datos de PcComponentes. En su lugar, se convierte en un código secreto y cifrado (‘hash’). Este código es irreversible, lo que significa que ni nosotros ni nadie más puede ver tu contraseña original.
5. Las categorías de datos afectados son: nombre, apellidos, DNI (en los supuestos en los que el cliente lo haya introducido), dirección, IP, correo electrónico y teléfono.»

Ante esta situación, el minorista ha tomado la decisión de aplicar una serie de medidas para minimizar el impacto de este problema. Entre ellas, se implantado un CAPTHCHA en el proceso de inicio de sesión, para evitar bloqueos perpetrados por bots o scripts. Además, se deberá activar de manera obligatoria un segundo factor de autenticación (2FA). Y por último, se han invalidado todas las sesiones activas actuales, para que tengamos que volver a loguearnos.

¿Qué puedo hacer para evitar el credential stuffing?

Aunque esto es algo general, en PcComponentes ofrecen 4 consejos que pueden servirnos de ayuda para evitar caer en incidencias como la que ha afectado a algunas de sus cuentas activas. Entre ellas, se destaca lo siguiente:

• Utilizar contraseñas única para cada servicio. Si reutilizamos la misma contraseña para todos los sites de internet, nos exponemos a un gran riesgo de sufrir este problema. Una solución es utilizar un gestor de contraseñas.
• Asegurarnos de tener una contraseña segura. Para ello, esta debe incluir mayúsculas y minúsculas, números y símbolos especiales, además de tener una buena longitud.
• Cambiar datos directamente a través de PcComponentes. Si necesitamos modificar algún aspecto de un pedido, nos recomiendan hacerlo directamente a través de la web oficial.
• Evitar el phishing. No hagáis clic en enlaces sospechosos, ni siquiera si provienen de números que a priori podrían parecer reales. Estas prácticas cada vez están más depuradas y solo tienen como intención hackear nuestros dispositivos.

Quizás te pueda interesar una configuración de PC entusiasta.

Hoy en día, todo el mundo es vulnerable a sufrir un ataque de este tipo. Por esa razón, los consejos anteriores deberían de ser innegociables para todo el mundo.