Mercado Libre ha sido hackeado por LAPSUS$, el grupo latinoamericano que fue noticia por hacer lo mismo con NVIDIA y Samsung en días recientes. En el caso de estas dos últimas compañías, también han filtrado y hecho público parte de los datos robados. Según confirmó la compañía argentina en un comunicado, los datos de 300 mil usuarios han sido comprometidos durante el ataque.
"Recientemente hemos detectado que parte del código fuente de Mercado Libre ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo", dice el comunicado que dio a conocer la empresa por WhatsApp poco después de las 18.00 del lunes (hora de Argentina), y que compartieron distintos periodistas en Twitter.
En el citado anuncio, Mercado Libre reconoce que los datos de 300 mil usuarios han sido accedidos por los hackers. Sin embargo, la empresa indica que se trata de un número mínimo si se considera que tiene casi 140 millones de usuarios activos únicos. "Hasta el momento [...] no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago", indicaron.
<blockquote class="twitter-tweet"><p lang="es" dir="ltr">300.000 usuarios con datos afectados por el acceso indebido a <a href="https://twitter.com/Mercadolibre?ref_src=twsrc%5Etfw">@Mercadolibre</a> <br><br>Comunicado 👇🏻<br><br>Falta mucho por saber. Pero esta es la confirmación oficial. <a href="https://t.co/6jo6TyWfeL">pic.twitter.com/6jo6TyWfeL</a></p>— Federico Ini (@fechu) <a href="https://twitter.com/fechu/status/1500940651122376711?ref_src=twsrc%5Etfw">March 7, 2022</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
Si bien la información sigue siendo escasa, LAPSUS$ dice tener en su poder el código fuente de Mercado Libre (o un fragmento, al menos) y planea hacerlo público. Lo más llamativo es que esto se conoció por una encuesta que hicieron los propios hackers en su canal de Telegram; allí les consultaron a sus seguidores cuál debía ser la próxima filtración, siendo Mercado Libre y Mercado Pago una de las opciones.
A pesar de la confirmación del hackeo, todavía resta mucho por conocer en relación a cómo ha ocurrido y cuáles son los próximos pasos a tomar. Vale mencionar que Mercado Libre y Mercado Pago cuentan con el sistema de doble factor de autenticación. El mismo se puede activar desde ambas aplicaciones en Mi Cuenta/Mi Perfil > Seguridad > Verificación en dos pasos; se puede utilizar un código por mensaje de texto o Google Authenticator.
Sigue siendo llamativa la demora de Mercado Libre hasta que confirmó esta situación, tomando en cuenta que los primeros tuits relacionados a la (por entonces supuesta) filtración aparecieron el domingo por la noche. Y si bien las primeras informaciones relacionadas al hackeo pasaron casi desapercibidas en la prensa argentina, con el correr de las horas se registraba una creciente expectativa en las redes sociales en torno a una comunicación oficial.
<blockquote class="twitter-tweet"><p lang="es" dir="ltr"><a href="https://twitter.com/hashtag/Lapsus?src=hash&ref_src=twsrc%5Etfw">#Lapsus</a>, el grupo cibercriminal que extorsiona con <a href="https://twitter.com/hashtag/ransomware?src=hash&ref_src=twsrc%5Etfw">#ransomware</a> que se la puso a Nvidia y Samsung, ahora hace una encuesta para que voten a su siguiente víctima.<br><br>Miren quién aparece en la lista 👀 <a href="https://t.co/sUXmzGWYCt">pic.twitter.com/sUXmzGWYCt</a></p>— Broder (@juanbrodersen) <a href="https://twitter.com/juanbrodersen/status/1500649395154526209?ref_src=twsrc%5Etfw">March 7, 2022</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
Al momento de actualizar este artículo, sigue sin haber mención al suceso en las redes sociales de Mercado Libre y Mercado Pago. Sin embargo, el mismo comunicado que se divulgó a periodistas —pero en inglés— ya aparece en la web de la Comisión de Bolsa y Valores de Estados Unidos (SEC).
Con el hackeo confirmado, los ojos se posan sobre LAPSUS$
De acuerdo con una captura de pantalla que se divulgó en Twitter, además del código fuente de las plataformas de la compañía argentina, LAPSUS$ también habría ganado acceso a los de Vodafone e Impresa. Esta última es una compañía portuguesa de medios de comunicación, de la cual también se habrían filtrado sus bases de datos.
En el caso específico de Mercado Libre y Mercado Pago, se menciona la obtención de 24 mil repositorios del software. La encuesta se cerrará el próximo domingo 13 de marzo, y allí se definirá si en esta ocasión salen o no a la luz los datos robados a la empresa argentina. Horas atrás, Vodafone lideraba en los resultados con el 60% de los votos y ML le seguía con el 28%.
Mercado Libre, el gigante latinoamericano hackeado
Para quienes no conozcan qué es Mercado Libre, estamos hablando de una de las empresas privadas más importantes de América Latina. Se fundó en Argentina en 1999 como un sitio de subastas al mejor estilo eBay, y desde entonces tuvo un crecimiento implacable que la convirtió en la compañía más valiosa de Latinoamérica. De hecho, a comienzos de 2021 alcanzó una valoración superior a los 100 mil millones de dólares; por entonces, el resto de las empresas argentinas en Wall Street combinadas no alcanzaban la mitad de su valor.
Hoy Mercado Libre opera en más de una docena de países, entre los que se destacan México y Brasil, y cuenta con más de 15 mil empleados.
Por su parte, Mercado Pago se ha convertido en una de las plataformas de pago más importantes de Argentina. Estamos hablando de un servicio que tiene varias aristas: por un lado, se utiliza para procesar los pagos por las compras que se realizan en el sitio de Mercado Libre; pero también tiene una importante presencia en el comercio offline.
Mercado Pago permite pagar en infinidad de comercios (supermercados, bares, restaurantes, etc.) tanto a través de códigos QR como con sus propios TPV. Y como estamos hablando de una billetera virtual, se puede utilizar el dinero que se tenga depositado en la misma o las tarjetas de crédito y débito que cada usuario puede asociar. La aplicación sirve para pagar servicios (electricidad, telefonía, etc.), cargar tarjetas de transporte público, e incluso comprar criptomonedas, aunque esto último se encuentra disponible solo en Brasil.
Pero eso no es todo, la plataforma de pagos de Mercado Libre permite que los usuarios inviertan su dinero para obtener rendimientos y ofrece una tarjeta prepaga MasterCard. Y también se ha convertido en una opción muy útil para realizar campañas solidarias. Hace pocas semanas, el influencer Santiago Maratea reunió más de 100 millones de pesos en cuestión de horas para comprar equipamiento para los bomberos que combatían los incendios en la provincia de Corrientes.
