El gigante de pagos digitales llegó a un acuerdo en el que reconoce haber incumplido las regulaciones de ciberseguridad del estado de Nueva York, situación que aprovecharon cibercriminales para robar credenciales que proporcionaron acceso a información confidencial de sus clientes.
PayPal, una de las mayores plataformas de pagos digitales del mundo, ha sido sancionada con una multa de 2 millones de dólares por el Departamento de Servicios Financieros (DFS) del estado de Nueva York. La penalización, que debe ser pagada en un plazo de 10 días, es una de las consecuencias legales de un ciberataque que ocurrió en diciembre de 2022, en el que se expuso información sensible de casi 34.942 usuarios, incluyendo nombres completos, números de seguro social, fechas de nacimiento y datos fiscales. Este caso puso en entredicho las políticas de ciberseguridad de la compañía, lo que ha llevado a reguladores a exigir medidas más estrictas para proteger a los consumidores.
El ciberataque, ocurrido entre el 6 y el 8 de diciembre de 2022, fue producto de un método conocido como “credential stuffing” (relleno de credenciales o reutilización de credenciales robadas). Los ciberdelincuentes aprovecharon credenciales robadas para acceder a cuentas de PayPal, donde pudieron obtener documentos fiscales y otros datos personales.
Según el Departamento de Servicios Financieros (DFS), una de las principales fallas de la compañía durante el incidente fue no implementar la autenticación multifactor (MFA), una capa adicional de seguridad que podría haber evitado la intrusión.
«El personal calificado en ciberseguridad es la primera línea de defensa contra posibles violaciones de datos, y brindar la capacitación adecuada e implementar de manera efectiva políticas y procedimientos de ciberseguridad son pasos vitales para proteger datos confidenciales y mitigar riesgos», afirmó Adrienne Harris, superintendente del DFS, a medios de ese país.
Una investigación reveló que los problemas de seguridad comenzaron cuando PayPal realizó cambios en su plataforma para cumplir con la Ley del Plan de Rescate Estadounidense de 2022. Estas modificaciones afectaron la manera en que se generaban y almacenaban los formularios fiscales 1099-K, exponiendo inadvertidamente información no enmascarada de los consumidores.
El 6 de diciembre de 2022, el mismo día que se inició el ciberataque, un analista de seguridad de PayPal detectó un mensaje publicado en línea que indicaba: «PP EXPLOIT PARA OBTENER EL SSN», con instrucciones para acceder a números de Seguro Social en la plataforma de PayPal. Sin embargo, la empresa no aplicó las medidas correctivas en forma oportuna.
El 7 de diciembre, el equipo de ciberseguridad de PayPal detectó un aumento significativo en los intentos de inicio de sesión en la plataforma, y concluyó que los atacantes estaban utilizando credenciales robadas para acceder a la información de los clientes. Aunque el problema fue resuelto rápidamente, la investigación mostró que los cambios originales en los sistemas no pasaron por un proceso interno de «identificación de riesgos y controles», debido a un error administrativo.
Tras el ciberataque, PayPal implementó varias medidas para evitar futuros incidentes, entre las cuales están la obligatoriedad de autenticación multifactor (MFA), el enmascaramiento de información sensible, la limitación de intentos de inicio de sesión agregando CAPTCHA y otras herramientas para prevenir ataques automatizados, y la capacitación al personal sobre los protocolos internos para garantizar que los equipos comprendan los riesgos cibernéticos y los procedimientos de seguridad.
El DFS destacó la cooperación de PayPal durante la investigación y reconoció las medidas correctivas adoptadas tras el incidente. Sin embargo, subrayó que estas acciones llegaron «demasiado tarde» para los miles de usuarios afectadas.
Además de pagar la multa, y como parte de su respuesta, PayPal ofreció a los casi 35 mil afectados dos años de servicios gratuitos de monitoreo de crédito, alertas de fraude y restauración de identidad proporcionados por Equifax. Con esto se busca mitigar, en parte, el impacto de la violación de seguridad, ello teniendo en cuenta que todavía existen miles de credenciales de PayPal circulando en foros de la dark web, a pesar de los esfuerzos policiales para cerrar estos mercados y castigar a los responsables.