Tecnología

Ualá: vaciaron 68 cuentas de usuarios y hay polémica por la seguridad de la app

El incidente ocurrió durante el fin de semana largo. Qué dice la empresa y por qué es clave activar el doble factor de autenticación.

Al menos 68 usuarios reportaron durante el fin de semana largo que sus cuentas de Ualá fueron vaciadas. La fintech, uno de los unicornios argentinos -empresas valuadas en mil millones de dólares-, ofrece servicios financieros y una tarjeta prepaga para operar sin la necesidad de tener que pasar por instituciones bancarias. Según explicaron, ya están devolviendo el dinero a los damnificados.

A pesar de que las primeras versiones hablaban de que había sido un caso de phishing, esto es, un robo de contraseñas a partir de un engaño al usuario (como ser un mail apócrifo que pide cambiar una clave), Clarín pudo confirmar con la empresa que se trató de un “data breach”.

Un data breach es un ciberdelito que se puede traducir como “violación de los datos” personales: cuando nuestras contraseñas se filtran en sitios que se dedican a comprar y venderlas para realizar ilícitos. En este caso, eso sería lo que permitió a terceros entrar a cuentas ajenas y hacer transferencias.

“Fueron en total 68 casos dentro de las más de 4 millones de cuentas que tenemos, pero Ualá no fue vulnerado”, explicaron desde la empresa a este medio. Pero no profundizan: “Como empresa tenemos que ser muy cuidadosos en cuanto a los casos de fraude: es irresponsable explicar los detalles porque esto es información valiosa para los cibercriminales”.

"Una brecha de seguridad es un incidente que afecta de forma negativa a la organización. Ese incidente puede ser el producto o consecuencia de una vulnerabilidad, de software o de procesos internos, que ha sido explotada por un atacante. A su vez el incidente puede ser interno (por ej un usuario deshonesto o un error) o por ataque externo", explicó a Clarín Cristian Borghello, licenciado Sistemas y especialista en Ciberseguridad.

Los data breach son más comunes de lo que se cree: empresas como LinkedinYahooFacebook o incluso la filtración de datos personales de ciudadanos argentinos por el ciberataque a Migraciones de 2020 (en este caso, por un robo de claves) cayeron presa de este ciberdelito.

“Hay más fraudes los fines de semana largos porque las instituciones financieras no responden hasta el siguiente día hábil. Ualá contesta siempre, todos los fines de semana, hasta las 11 de la noche: se pudo actuar muy rápido y bloquear esas cuentas comprometidas. Inmediatamente se dio respuesta a sus usuarios”, agregan desde Ualá.

El CEO de la empresa, Pierpaolo Barbieri, es muy activo en la red social Twitter. Allí explicó lo que había sucedido, en consonancia con este punto que señalan desde la empresa.

Luego, con el transcurso del día y cuando el tema ya hacía ruido en las redes sociales, comenzó a responderle a los usuarios que contaban que sus cuentas habían sido vaciadas.

Qué fue lo que posibilitó el fraude y cómo evitarlo

Los delitos informáticos crecieron un 342% según la Ufeci. Foto Pexels

Los delitos informáticos crecieron un 342% según la Ufeci. Foto Pexels

El “login” a Ualá tiene que ver con el problema que posibilitó el robo en las cuentas. Es decir, el acceso: el momento en el que ponemos nuestro usuario y contraseña.

“Los diversos testimonios de los afectados sugieren que fue lo que se conoce como ‘password spraying’: es una técnica de fuerza bruta ‘mejorada’ que permite probar usuarios y contraseñas en un bajo volumen y que intenta dificultar la detección y el bloqueo por parte de la aplicación víctima.Se suelen utilizar bases de datos robadas previamente (leak) y probar el mismo nombre de usuario y contraseña en otras plataformas”, explicó a Clarín Borghello. Esto es concordante con la versión oficial de Ualá: un data breach. "Un incidente (con actores humanos) indirectamente estaría relacionado a una vulnerabilidad que no ha sido detectada y solucionada a tiempo por la organización y que ha sido explotada satisfactoriamente por un atacante", suma Borghello.

“Se dice que se ‘rocía/spray’ a la víctima en vez de inundarla. Es decir en vez de bombardear a la aplicación con miles/millones de peticiones, solo se envían user/pass posiblemente válidos”, agrega.

Por esto es crítico tener, siempre, en todos los servicios sensibles que se utilizan (bancarios, aplicaciones financieras, etc.), activado el doble factor de autenticación: esto es, no entrar sólo con una contraseña o un pin, sino que la aplicación nos pida también un segundo código conocido como token, por ejemplo.

La mayoría de las aplicaciones importantes tienen esta medida de seguridad. Desde Ualá explican que “la mayor parte de la base de usuarios cuenta con doble factor y se va aplicando, pero es algo que se hace de forma progresiva”.

Muchos usuarios que sufrieron el robo de su dinero contaron que accedieron a sus cuentas solo con usuario y contraseña, sin un segundo factor de autenticación, por lo que al menos esas 68 cuentas estarían por fuera de esta "progresiva aplicación".

“EL 2FA, o de forma genérica, Múltiple Factor de Autenticación (MFA) se debe realizar a través de dos métodos distintos, por ejemplo una clave y un token adicional y a través de un canal alternativo. No sirve el uso de dos claves (mismo método) porque se asume que si el delincuente puede robar una, puede hacer lo mismo con la segunda".

"Por eso lo ideal es sumar una clave/PIN ("algo que sé") con un token en dispositivo físico/teléfono o una tarjeta de acceso ("algo que tengo") o con una característica biométrica (algo que soy). Cualquier combinación de esos 3 es válida, siempre y cuando se usen al menos 2 métodos distintos”, agrega Borghello. Su referencia es a una máxima de la seguridad informática: saber algo, tener algo, ser algo, para poder loguearse en un servicio.

Por esta razón, el sistema tampoco debería poder permitir que se usen claves simples como "1234": debería, directamente, impedir esas combinaciones. 

Otro problema es que la aplicación no notifica cuando se hacen transferencias, pero esto es una problemática más amplia de la industria de los servicios financieros: presuponen que son acciones voluntarias y que, como tales, no requieren de una notificación. En rigor, explican, el aviso al usuario o la suspensión de la cuenta tiene que ser notificada antes de que se ejecute cualquier acción, es decir, cuando un tercero quiere ingresar a una cuenta ajena.

Qué pasó con el dinero robado 

Los robos de contraseñas son cada vez más comunes: el segundo factor de autenticación refuerza la seguridad. Foto: Shutterstock

Los robos de contraseñas son cada vez más comunes: el segundo factor de autenticación refuerza la seguridad. Foto: Shutterstock

Según pudo saber Clarín, el dinero comenzó a ser devuelto a los damnificados.

"Varias víctimas nos contactaron por los vaciamientos de sus cuentas, todas relataban un escenario similar: ingresos a sus cuentas sin haber recibido alertas o mensajes, ni de los inicios de sesión ni de las operaciones realizadas”, explicó a Clarín Jorge Litvin abogado especialista en cibercrimen y ciberseguridad.

“Independientemente de la investigación penal (encausada contra los criminales que vaciaron las cuentas de las víctimas), teníamos preparadas una serie de medidas cautelares para que la justicia ordene la restitución de los fondos a las víctimas, sin descartar las acciones por daños y perjuicios ocasionados a los damnificados a raíz de los delitos”, siguió.

Pero aclaró: “En las últimas horas tomamos conocimiento de que la empresa se empezó a contactar con las víctimas para reintegrarles los montos comprometidos, por lo cual, de confirmarse la devolución de aquellos, las cautelares se tornan abstractas e innecesarias. Sin perjuicio de ello, es esperable que la plataforma emita las comunicaciones oficiales pertinentes en adecuación a la comunicación A7266 del BCRA sobre respuesta y reacción ante ciberincidentes”, agregó el especialista en derecho informático.

Desde el BCRA aseguraron a Clarín: "Nuestra extensión del perímetro regulatorio a las billeteras fue la semana pasada. No son regulados nuestros. Pero estamos indagando en profundidad sobre el asunto".

El comunicado oficial de Ualá

Pierpaolo Barbieri, CEO de Uala. Foto Ualá

Pierpaolo Barbieri, CEO de Uala. Foto Ualá

"Como es de público conocimiento, toda la industria financiera en este último tiempo está registrando una cantidad importante de casos de fraude. No estamos exentos a estas maniobras y estamos siguiendo uno a uno los 68 casos reportados durante el fin de semana largo, los cuales fueron atendidos de inmediato. No se trata de una vulnerabilidad en el sistema de Ualá. Ya están activos todos los protocolos correspondientes y como siempre, nuestra prioridad es la atención a los usuarios. Del mismo modo, seguimos trabajando en iniciativas de educación financiera como Aula Ualá (uala.com.ar/aula-uala) para seguir educando".

Muchas gracias por considerar nuestro trabajo diario.
Tu aporte de $200 nos ayuda a cubrir algunos costos. Donar

Comentarios
Volver arriba