1 puntos por GN⁺ 2025-11-14 | 1 comentarios | Compartir por WhatsApp
  • La plataforma de pagos Checkout.com fue objeto de un intento de extorsión por parte de un grupo de ciberdelincuentes, pero se negó a pagar el rescate y en su lugar donó ese monto a la investigación en ciberseguridad
  • Los atacantes obtuvieron acceso no autorizado a un sistema heredado de almacenamiento de archivos en la nube de un tercero, usado antes de 2020, y consiguieron parte de los datos
  • Checkout.com aclaró que la plataforma de procesamiento de pagos, los fondos de los comercios y la información de tarjetas no se vieron afectados en absoluto
  • La empresa estima que menos del 25% del total de sus comercios podría haberse visto afectado, y que está colaborando con las fuerzas del orden y las autoridades regulatorias
  • Se realizaron donaciones a Carnegie Mellon University y al University of Oxford Cyber Security Center, reafirmando que la transparencia y la confianza son valores centrales de la industria

Resumen del incidente

  • Checkout.com recibió la semana pasada un contacto de un grupo criminal llamado “ShinyHunters”, que afirmó haber obtenido datos relacionados con Checkout.com y exigió un rescate
  • La investigación confirmó que los atacantes obtuvieron acceso no autorizado a un sistema de almacenamiento de archivos en la nube de un tercero usado antes de 2020
    • Ese sistema se usaba para almacenar documentos operativos internos y materiales de incorporación de comercios
    • Checkout.com reconoció como un error que ese sistema no fue retirado correctamente
  • La empresa indicó que este incidente no afectó la plataforma de procesamiento de pagos, y que los atacantes no pudieron acceder a fondos de los comercios ni a números de tarjeta

Impacto y medidas de respuesta

  • Checkout.com estima que menos del 25% de sus comercios actuales podrían verse afectados
  • La empresa está identificando a los comercios afectados y contactándolos individualmente, además de cooperar con las fuerzas del orden y las autoridades regulatorias correspondientes
  • Checkout.com destacó la transparencia y la responsabilidad, y expresó su voluntad de mantener la confianza de socios y clientes

Rechazo al rescate y decisión de donar

  • Checkout.com declaró que no pagará rescate a criminales
  • En cambio, donará el monto exigido en el ataque a Carnegie Mellon University y al University of Oxford Cyber Security Center como apoyo a la investigación sobre ciberdelito
  • La empresa afirmó que convertirá este incidente en una oportunidad para impulsar la inversión en seguridad en toda la industria

Postura y compromiso de la empresa

  • Checkout.com señaló que “la seguridad, la transparencia y la confianza” son la base de la industria, y afirmó que reconocerá su error y protegerá a los comercios
  • La empresa enfatizó que invertirá en la lucha contra las actividades criminales que amenazan la economía digital
  • Los comercios pueden solicitar apoyo a través de sus canales habituales de contacto con Checkout

Conclusión

  • Con este incidente, Checkout.com mostró una postura firme frente a la extorsión cibernética y,
    mediante la donación a la investigación en seguridad, busca fortalecer la capacidad de defensa de toda la industria
  • La empresa está enfocada en recuperar la confianza de los comercios mediante una divulgación transparente y medidas responsables

1 comentarios

 
GN⁺ 2025-11-14
Comentarios de Hacker News
  • Hace algunos años arrestaron a miembros de ShinyHunters por el FBI
    Yo estuve en la misma prisión que uno de ellos, Sebastian Raoult, y hablé bastante con él
    La persistencia que mostraban para llevar a cabo ataques de phishing a gran escala era sorprendente. Así obtenían la mayoría de los accesos y, además, buscaban endpoints de API en GitHub para encontrar claves filtradas
    No le gustaban mucho los escáneres automáticos de GitHub
    Artículo relacionado: comunicado del Departamento de Justicia de EE. UU.

    • En general, en ciberseguridad las personas suelen ser el eslabón más débil
      Por eso no sorprende que hayan conseguido acceso mediante ingeniería social
      Lo interesante es que ellos mismos también podrían ser víctimas de ingeniería social. Quienes atraen a hackers jóvenes creando exploits para juegos en línea terminan construyendo una estructura para ganar dinero de forma más segura
    • Es una lástima que haya terminado en una prisión federal por operar un sitio de streaming deportivo
      Me pregunto si usó hosting ilegal o si lo rastrearon a través del proveedor de pagos
      También me gustaría saber si el sitio solo ofrecía enlaces, como Sportsurge, o si alojaba los streams directamente
    • Me pregunto si eso de que no le gustaban los escáneres de GitHub era porque eran demasiado efectivos y les entorpecían el trabajo, o porque pensaba que eran incompetentes
    • Me gustaría que explicaran concretamente qué significa eso de que “la persistencia para el phishing a gran escala era sorprendente”
  • De la disculpa de la empresa

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    Esa parte de verdad me gustó. Aunque la haya escrito un LLM o el equipo de PR, se sentía sincera

    • Cada vez que veo disculpas así, siempre me acuerdo de la escena de parodia de BP en South Park
      Más importante que una disculpa real es el análisis de causa raíz y las medidas para evitar que vuelva a ocurrir.
      Para recuperar la confianza, hay que aclarar cuántos sistemas antiguos más manejaban datos de clientes y quién bloqueó el presupuesto
      Una disculpa verdadera debe demostrarse no con palabras, sino con compensación
    • Decir “We are sorry.” se siente fresco porque es una expresión poco común en las empresas
    • Creo que “rebuilding your trust” sería más apropiado que “We are fully committed to maintaining your trust.”
    • Una respuesta más dura como “pagaremos 500 mil dólares a quien proporcione información que lleve al arresto del responsable” incluso podría generar más confianza
    • Me gustó que no usaran frases gastadas como “due to an abundance of caution”. En general, parece una respuesta ejemplar
  • Si yo fuera cliente, estaría enojado, pero creo que esta respuesta fue, dentro de lo posible, de la mejor manera

    • Cumplió con la mayoría de los criterios: respuesta rápida, divulgación voluntaria de la empresa, disculpa sincera y explicación del alcance del daño
    • Pero si todo termina en “lo sentimos”, la industria va a enfrentarse a un desastre todavía mayor
      Deben acompañarlo responsabilidad legal, reembolsos y regulación más estricta
    • Dicen que fue una “respuesta rápida”, pero no detectaron el hackeo por su cuenta y solo lo divulgaron después de que el atacante se comunicó primero, así que queda la duda de si realmente fue tan rápida
    • Desde el punto de vista del cliente, quizás habría sido mejor optar por pagar el rescate para evitar la filtración de datos
      Ojalá hubieran publicado también los resultados de la auditoría y el postmortem por transparencia
  • La donación se siente más como un gesto para la galería que como una mejora real de seguridad
    Ya se conocen las prácticas básicas de seguridad; lo más importante es cumplirlas. Ese dinero debió invertirse en contratar personal de seguridad o reforzar los sistemas
    (Como referencia: el hackeo ocurrió en un sistema legacy que no había sido retirado)

    • Yo veo esta donación como una provocación a los criminales. El mensaje es: “tenemos dinero, pero no se los vamos a dar a ustedes”
      No es solo postureo moral, también se interpreta como una señal de “no cedemos ante exigencias de rescate”
    • Aun así, en una situación así no está mal mandar una señal positiva
      Si hubieran pagado el rescate, probablemente habrían incentivado más ataques
      Incluso si se pierde dinero, es sensato elegir usarlo en una dirección valiosa
    • A estas alturas, creo que es mejor presumir virtud que presumir vicio
    • “Virtue signaling” suele usarse para criticar actos hipócritas, pero en un caso como este, negarse a negociar con criminales y apoyar la investigación en seguridad es lo correcto a largo plazo
    • Aun así, desde la perspectiva del cliente, pagar el rescate podría reducir el daño.
      Tiene el efecto secundario de financiar criminales, pero no pagar también puede terminar perjudicando más a los clientes
  • La frase “el atacante accedió a través de un sistema de almacenamiento en la nube de un tercero” suena un poco a evasión de responsabilidad

    • Me pregunto cuánto habría cambiado la respuesta de la empresa si los atacantes hubieran llegado a poner las manos sobre datos realmente sensibles
    • La mayoría de los codebases empresariales siguen llenos de tecnología legacy
      Incluso cuando ocurre algo así, se burlan una semana y se acabó. Al final, casi no hay cambios de fondo
  • Creo que esta respuesta pública y la donación fueron una decisión valiente
    La seguridad perfecta es imposible y, como todavía no sale el postmortem, es difícil criticar demasiado pronto
    Valoro mucho que no lo hayan ocultado y el enfoque de interés público mediante la donación académica

    • En Hacker News existe cierta tendencia a tratar el cinismo como una forma de superioridad intelectual
  • La frase “el sistema usado para documentos operativos internos y materiales de onboarding de comercios” sugiere que probablemente se trataba de documentos recopilados durante el proceso de KYC
    Es decir, podrían incluir documentos corporativos o escaneos de pasaportes e identificaciones
    Este tipo de datos implica alto riesgo de robo de identidad y puede seguir siendo útil durante años

    • Pero es poco probable que escaneos de pasaportes se hayan almacenado junto con documentos KYB generales
      Desde el GDPR, estos datos sensibles se guardan en zonas de seguridad separadas
      Lo más probable es que solo fuera un repositorio de PDF o formularios usado por el equipo de onboarding
  • Aunque “menos del 25% de los clientes” hayan sido afectados, si yo estuviera dentro de ese grupo, me costaría quedar satisfecho con un gesto sin compensación

  • “OXCIS” significa Oxford Centre for Islamic Studies, así que no parece ser eso
    El destinatario real de la donación parece ser el centro de investigación en Cyber Security de la Universidad de Oxford

  • Por mi experiencia trabajando en fintech, lo que se filtró esta vez parecen ser documentos KYB de comercios
    Son materiales para evaluar el riesgo del negocio y no son tan sensibles como información de pago o PAN
    Claro que el hackeo es algo malo, pero en algunos casos estos datos incluso son información pública
    Valoro mucho que la empresa lo haya divulgado con transparencia

    • Pero los documentos KYB a menudo incluyen pasaportes e identificaciones fiscales de los beneficiarios finales o directivos
      Por lo tanto, también existe riesgo de robo de identidad dirigido a personas de alto patrimonio