PcComponentes niega haber sido hackeada. Lo que ha pasado según ella es muy distinto y mucho menos grave
En Hackmanac son frecuentes las alertas de ciberseguridad que informan de supuestos hackeos y robos masivos de datos por todo el mundo. Uno de los últimos avisos, publicado ayer, afecta a una empresa española en alza: PcComponentes. Dicha empresa ha investigado dichas alegaciones y ha emitido un comunicado aclarando las conclusiones.
Credential Stuffing. Según PcComponentes lo que se ha detectado es un fenómeno conocido en ciberseguridad como credential stuffing.
«Un tercero ha utilizado direcciones de email y contraseñas obtenidas a partir de filtraciones de seguridad ocurridas en bases de datos comprometidas, ajenas a PcComponentes. A partir de estas bases de datos —que suelen publicarse en foros de internet— los atacantes prueban de forma automática y masiva esas combinaciones de acceso en múltiples plataformas.
Cuando un usuario reutiliza la misma contraseña en distintas plataformas, este tipo de ataques puede permitir el acceso no autorizado a su cuenta y la obtención de cierta información en las plataformas en las que tenga cuenta previa»
Muy pocos afectados. La compañía afirma que no se ha producido ningún acceso ilegítimo a sus sistemas o a sus bases de datos. Además destaca que «la cifra de 16 millones de clientes supuestamente afectados es falsa, ya que el número de cuentas activas en PcComponentes es marcadamente inferior». Solo algunos clientes —que probablemente habían reutilizado contraseñas— han acabado viéndose afectados, explican los responsables de la compañía en el comunicado.
Ni datos bancarios ni contraseñas. Los afectados, si lo están, tampoco han visto muchos datos comprometidos. Los datos bancarios no se almacenan, y tampoco las contraseñas, que según indican se convierten en un hash —un código secreto y cifrado— que nadie más puede verlas. Los datos afectados son nombre, apellidos, DNI, dirección, IP, correo electrónico y teléfono.
Un CAPTCHA para iniciar sesión. A pesar de que según PcComponentes no ha habido infiltración real, la empresa ha activado un sistema de CAPTCHA para el inicio de sesión, además de la activación obligatoria de un sistema de autenticación en dos pasos (2FA) para acceder a la cuenta. Por último, se han cerrado toda slas sesiones activas para que todos los usuarios que inicien sesión lo hagan bajo estas nuevas medidas de seguridad.
Qué había pasado supuestamente. Según el tuit de Hackmanac, un ciberatacante usando el alias ‘daghetiaw’ afirmó haber logrado infiltrarse en PcComponentes. Al hacerlo consiguió los datos de 16,3 millones de clientes, en concreto el DNI/NIF, sus pedidos y facturas, la dirección, los detalles de contacto como el teléfono, los metadatos de la tarjeta de crédito (tipo, fecha de caducidad) y la dirección IP.
Una muestra gratis. El autor del ciberataque ha querido demostrar que la base de datos que ha logrado obtener es legítima, y para ello ha publicado un extracto gratuito de 500.000 usuarios.
Ya hubo problemas hace un año. Un usuario de X llamado 0xBogart, que se define en su perfil como experto en ciberseguridad, comentaba el descubrimiento indicando que hace un año reportó un fallo de seguridad a los responsables de PcComponentes. Dicho fallo exponía una base de datos con las credenciales de acceso.
Más indicios sospechosos. En El Chapuzas Informático han contactado con 0xBogart y han obtenido más datos sobre aquel incidente. Este usuario habla de hecho de que ya se sustrajo una base de datos de agosto de 2023 y que entonces «tenía 11.951.125 usuarios, tiene sentido que en 2026 tengan 16 millones». Este experto tuvo acceso durante cinco años a los servidores de PcComponentes, y solo lo perdió «cuando abandonaron su centro de datos por Amazon Web Services», indica en el texto de El Chapuzas Informático.
Lo próximo: ataques de phishing. Aunque según PcComponentes el robo masivo de datos no se ha producido, el peligro hubiera sido notable para esos usuarios afectados. Esos datos podrían ser usados para ataques de phishing mucho más convincentes: cuanta más información tienen los ciberatacantes de nosotros, más pueden «convencernos» con mensajes que parecen ser auténticos y que nos logran confundir. Lo estamos viendo por doquier: los robos de datos son un filón para los ciberdelincuentes que luego los usan por ejemplo para el envío masivo de SMS para estafar a los usuarios de esas empresas expuestas.
O de suplantación de identidad. También está el peligro de la suplantación de identidad: los datos robados permiten crear un «perfil de usuario» con el que un ciberdelincuente puede hacerse pasar por una persona para engañar a otra con técnicas de ingeniería social. Si la base de datos se ha filtrado hay poco que los clientes de PcComponentes puedan hacer porque su información ya estará expuesta. Aunque las contraseñas no se han visto afectadas según la empresa, nuestra recomendación es cambiar esa contraseña de acceso lo antes posible.
Actualización (21/01/2025, 15:20): noticia actualizada con el comunicado de PcComponentes negando que haya habido ningún robo de datos.
