Lisandro Pardo
La seguridad en la Web atraviesa uno de sus momentos más críticos. La cantidad de ciberataques no sólo se está incrementando, sino que también tienen cada vez más éxito. Ayer fue el turno de eBay. La compañía comenzará a solicitar en las próximas horas el cambio de contraseñas a sus usuarios, debido a que una de sus bases de datos fue comprometida recientemente.
A pesar de que he realizado varias compras en eBay sin inconvenientes, siempre he limitado la cantidad de información financiera vinculada a mi cuenta. La razón principal para ello se mantiene intacta: La paranoia funciona. Los proveedores de servicios pueden darme todas las garantías que tengan a su alcance, pero siempre habrá una fisura en la seguridad, y alguien frente a un teclado, listo para aprovecharla. Las últimas novedades provenientes de eBay llegan a través de un comunicado oficial, en el que la compañía reporta un ciberataque sobre su infraestructura. El material comprometido está compuesto por una base de datos con contraseñas cifradas, nombres de clientes, direcciones de correo electrónico, números de teléfono, direcciones físicas, y fechas de nacimiento.
La primera vez que se detectó actividad inusual fue hace dos semanas. Varias credenciales pertenecientes a empleados de eBay resultaron vulneradas, permitiendo a los atacantes el acceso a la red corporativa, y a la base de datos antes mencionada, identificada luego de una larga auditoría de seguridad. La investigación concluyó que la base de datos quedó expuesta entre fines de febrero y principios de marzo, pero en todo este tiempo, eBay no registró ningún incremento drástico en la actividad fraudulenta. La base de datos no contiene información financiera, y en el caso de PayPal, los detalles de los usuarios están almacenados en una red cifrada diferente.
Además de cambiar la contraseña, cada usuario deberá estar atento a un posible incremento de spam disfrazado como mensajes oficiales de eBay. Las direcciones de correo son parte de los datos liberados, y es probable que el phishing sea una de las tácticas a usar por los responsables del ciberataque. Esto también deja en evidencia la obligación que tienen las compañías de imponer medidas más estrictas de seguridad entre sus empleados. Después de lo que fue la brecha en la cadena Target, atribuida al robo de las credenciales de un vendedor, y que causó la caída de un CIO y un CEO, ninguna empresa puede tomarse esto a la ligera. Después de todo, la confianza de sus clientes está en juego.
