La empresa Mercado Libre confirmó este lunes que a partir de logueos no autorizados “se accedió a los datos de aproximadamente 300 mil usuarios”. No obstante, aseguró que, “un análisis inicial”, la compañía fundada por Marcos Galperín no hubo acceso a cuentas o robo de contraseñas. Un grupo de ciberdelincuentes se atribuyó el ataque.
“Recientemente hemos detectado que parte del código fuente de Mercado Libre. Inc ha sido objeto de un acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo”, afirmó la compañía en un comunicado.
El ataque se lo adjudicó el grupo Lapsus$ , que se encargó de dar a conocer la acción a través de las redes sociales. Expertos del sector aseguran que su intención es “cobrar un rescate” por los datos robados.
Pero además existe temor por la seguridad de la plataforma ya que los delincuentes cuentan con información que les puede permitir continuar realizando nuevos ataques y/o estafas sobre los usuarios. Así y todo, la empresa garantizó que está “tomando medidas estrictas para evitar nuevos incidentes”,
El modus operandi de Lapsus$ es la extorsión para la recuperación de datos «secuestrados» en forma ilegal mediante ransomware. Ya atacó a otras compañías de envergadura. Además había publicado una encuesta en la que había propuesto el hackeo de 24 mil repositores de Mercado Libre y Mercado Pago.
En el comunicado, la compañía precisó que “aunque se accedió a los datos de aproximadamente 300.000 usuarios (de casi 140 millones de usuarios activos únicos), hasta el momento -y según nuestro análisis inicial- no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago. Estamos tomando medidas estrictas para evitar nuevos incidentes”.
La situación obligó a Mercado Libre, empresa que cotiza en la Bolsa de Nueva York e integra el Nasdaq, el índice de las compañías tecnológicas, a informar a sus inversores. Por ello envió una nota a la Security and Exchange Commision (SEC), el organismo que regula el mercado de capitales, similar a la Comisión Nacional de Valores en la Argentina. Ese envío es conocido como “formulario 8 K”, a través del cual la empresa informa aquellos hechos sobre su actividad que puedan resultar de relevancia tanto para sus accionistas como par el resto del mercado y sus organismo reguladores.
El incidente también fue confirmado a la SEC de Estados Unidos. Los ADRs de la compañía en Nueva York sufrieron una fuerte baja de 9,3%.