El gigante de la salud y la belleza Boots ha suspendido los pagos con puntos de fidelidad en las tiendas y en Internet tras los intentos de entrar en las cuentas de los clientes con contraseñas robadas. Los clientes no podrán utilizar los puntos de la tarjeta Boots Advantage para pagar productos mientras se resuelve el problema.
Boots declaró que ninguno de sus sistemas se había visto comprometido, pero que los atacantes habían intentado acceder a las cuentas utilizando contraseñas reutilizadas de otros sitios. El ciberataque contra Boots se produce días después de que un problema similar afectara a 600.000 titulares de la tarjeta Tesco Clubcard.
Una portavoz de Boots dijo a la BBC que el problema afectaba a menos de 1% de los 14,4 millones de tarjetas Advantage activas de la empresa, es decir, a menos de 150.000 personas.
Pero no podía dar una cifra exacta, ya que la empresa seguía ocupándose del problema.
No se ha accedido a la información de las tarjetas de crédito, dijo la empresa.
La suspensión de los pagos con puntos eliminó el riesgo de que los hackers robaran los puntos para gastarlos ellos mismos, dijo la portavoz.
Los clientes pueden seguir ganando puntos al realizar sus compras, y Boots espera volver a tener el pago de puntos lo antes posible.
La empresa ha declarado lo siguiente:
Estamos escribiendo a los clientes si creemos que su cuenta se ha visto afectada, y si sus puntos de la tarjeta Boots Advantage se han utilizado de forma fraudulenta, por supuesto, los repondremos, ... Nos gustaría tranquilizar a nuestros clientes asegurándoles que estos datos no se obtuvieron de Boots.
La tarjeta Boots Advantage permite acumular cuatro puntos por cada euro gastado, y cada punto vale un céntimo. Por ejemplo, una tarjeta con 200 puntos podría utilizarse para pagar un artículo por valor de 2 £. Sin embargo, los puntos también pueden utilizarse al comprar artículos en línea.
El denominado "relleno de contraseñas" se produce cuando un atacante utiliza una lista de nombres de usuario y contraseñas comprometidos de una violación de datos anterior.
A continuación, intentan conectarse a otro sitio web, con la esperanza de encontrar una coincidencia.
Como mucha gente utiliza la misma combinación de correo electrónico y contraseña para varios sitios web, algunas de las combinaciones de la lista comprometida podrían funcionar.
En el caso de Tesco, el gigante de los supermercados comunicó a sus clientes que creía que se había utilizado una lista comprometida de nombres de usuario y contraseñas para intentar acceder a las cuentas de sus clientes, y puede que en algunos casos haya funcionado.
Dijo que no se había accedido a ninguna información financiera y que había restringido el acceso a las cuentas para evitar un uso fraudulento.
Jake Moore, especialista en ciberseguridad de la empresa de seguridad en Internet Eset, dijo que Boots recordaba a sus clientes el riesgo, pero que la reutilización de contraseñas es un "problema gigantesco" de ciberseguridad.
Sr. Moore:
Estas listas de contraseñas se pueden encontrar fácilmente en la dark web por muy poco dinero, o incluso gratis... Sería una buena idea que la gente comprobara que han implementado la autenticación de dos factores en cada una de sus cuentas, ya que esto hace que el ataque de relleno de contraseñas sea mucho más difícil.
Y añadió:
Mi consejo adicional es que utilices un gestor de contraseñas para almacenar en línea tus contraseñas únicas y diferentes, de modo que no tengas que recordarlas todas.
Boots dijo que los clientes podían restablecer sus contraseñas en línea, y que debían elegir una contraseña única que no se utilizara en otros sitios.
Fuente: BBC News