Mercado Libre y Mercado Pago han sido hackeados por LAPSUS$, el grupo latinoamericano que ha sido noticia por hacer lo mismo con NVIDIA y Samsung en los últimos días. En el caso de estas dos últimas empresas, también han filtrado y hecho públicos parte de los datos robados. Según las cifras, los datos de 300 mil usuarios se han visto comprometidos durante el ataque.
"Recientemente hemos detectado que parte del código fuente de Mercado Libre ha sido objeto de un acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo", dice el comunicado difundido por la empresa poco después de las 18:00 de Argentina. , y que compartió el periodista Federico Ini en Twitter.
En dicho comunicado, Mercado Libre reconoce que los datos de 300 mil usuarios han sido accedidos por hackers. Sin embargo, la empresa indica que se trata de un número mínimo teniendo en cuenta que cuenta con casi 140 millones de usuarios únicos activos. "Hasta el momento [...] no hemos encontrado evidencia de que nuestros sistemas de infraestructura hayan sido comprometidos o que se hayan obtenido contraseñas de usuarios, saldos de cuentas, inversiones, información financiera o de tarjetas de pago".
Aunque la información sigue siendo escasa, LAPSUS$ afirma tener en su poder el código fuente de Mercado Libre (o un fragmento, al menos) y planea liberarlo. Lo más llamativo es que esto se conoció a partir de una encuesta que los propios hackers hicieron en su canal de Telegram; allí consultaron a sus seguidores cuál debía ser la próxima filtración, siendo Mercado Libre y Mercado Pago una de las opciones.
A pesar de la confirmación del hackeo, aún queda mucho por saber sobre cómo se produjo y qué medidas tomar. Mercado Libre y Mercado Pago cuentan con un sistema de autenticación de dos factores. Se puede activar desde ambas aplicaciones en Mi Cuenta/Mi Perfil > Seguridad > Verificación en dos pasos; se puede utilizar un código por mensaje de texto o Google Authenticator.
La demora de Mercado Libre en confirmar esta situación no deja de ser llamativa, teniendo en cuenta que los primeros tuits relacionados con la entonces supuesta filtración aparecieron el domingo por la noche. Y aunque las primeras informaciones relacionadas con el hackeo pasaron casi desapercibidas en la prensa argentina, con el paso de las horas creció la expectativa en las redes sociales en torno a un comunicado oficial.