Ledger confirma filtración de datos de usuarios en el ciberataque a Shopify

La compañía Ledger, creadora de monederos físicos de criptomonedas, confirmó este 13 de enero que los datos de más de 290.000 clientes están en manos de ciberdelincuentes, tras un ataque a su socio comercial Shopify.

Shopify descubrió recientemente que clientes de Ledger están entre los afectados por una filtración de datos, luego de que la plataforma de comercio electrónica fue víctima de un robo de información, reportado en septiembre del año pasado. De acuerdo con Ledger, Shopify los alertó en diciembre del año pasado acerca de un «incidente relacionado con datos de comerciantes en el que miembros deshonestos de su equipo de soporte obtuvieron registros de transacciones de clientes, incluidos los de Ledger«.

Ledger expuso que los ciberdelincuentes que atacaron a Shopify lograron robar registros de transacciones de clientes entre abril y junio del año pasado. La plataforma de comercio electrónico indicó que dicha filtración está vinculada con el incidente que detectaron en septiembre, que afectó a más de 200 comerciantes de la plataforma:

«Según Shopify, esto está relacionado con el incidente reportado en septiembre de 2020 , que concierne a más de 200 comerciantes, pero hasta el 21 de diciembre de 2020, Shopify no había descubierto que Ledger también fue el objetivo de este ataque. Shopify nos dice que contrataron a expertos y asesores forenses digitales para continuar su investigación sobre el asunto y han informado del asunto a las fuerzas del orden público tanto en Canadá como en los EE.UU».

Ledger.

Ledger contrató a la firma forense Orange Cyberdefense y pudo conocer que alrededor de 292.000 clientes del fabricante de monederos se encuentran entre los afectados por el ataque a Shopify, incluyendo nuevos clientes:

Articulosde interes

3 acciones de crecimiento para comprar en 2025

6 de enero de 2025

9.7k

Acciones para comprar en el último mes de 2024

20 de noviembre de 2024

4.2k

«Junto con la firma forense Orange Cyberdefense pudimos establecer que afecta aproximadamente a 292.000 clientes. Si bien la base de datos es un 93% similar a las expuestas en el ataque anterior, hubo aproximadamente 20.000 nuevos registros de clientes que incluyen correo electrónico, nombre, dirección postal, productos pedidos y número de teléfono incluidos en esta infracción«.

Ledger.

Cuando Ledger hace mención a un ataque anterior, se refiere al ciberataque que recibió a fines de junio de 2020, el cual fue detectado por un participante de uno de sus programas de recompensa. Dicho participante le advirtió a Ledger de una probable violación de datos en su sitio web; a raíz de ello, Ledger logró detectar la brecha y, posterior a su reparación, determinaron que la vulnerabilidad había sido explotada por un tercero, el cual logró acceder a la base de datos de comercio electrónico y marketing de Ledger.

En diciembre pasado, un actor de amenazas cibernéticas publicó datos de la base de clientes de Ledger, divulgando información de más de 272.000 compradores, como sus correos electrónicos, direcciones físicas, números telefónicos y demás datos; así como también los correos electrónicos de un millón de usuarios. Con esto, los usuarios de Ledger quedaron expuestos a más ataques de phishing y otras formas de acoso digital, e incluso, expuestos a acosos físicos, según un profesional de ciberseguridad.

Ante estas filtraciones de datos de sus usuarios, Ledger anunció en su más reciente publicación que cambiará la forma de gestionarlos, comprometiéndose a eliminar por completo datos personales de sus clientes:

«Nuestro objetivo es eliminar por completo sus datos personales, como el nombre, la dirección y el número de teléfono, lo antes posible. Nos desafiamos a nosotros mismos y a los proveedores externos a mantener estos datos durante un período de tiempo tan corto como sea necesario para cumplir con nuestras obligaciones con nuestros clientes (como el cumplimiento de su pedido) y la ley (como las obligaciones legales y contables). Los datos que deben conservarse se colocarán en un entorno más segregado».

Ledger.

Ledger también anunció que se compromete a identificar y procesar a los ciberdelincuentes que están detrás de estos ataques. Al respecto, la compañía creó un fondo de recompensa para quienes le faciliten información a Ledger acerca de los responsables de estas filtraciones de datos «que conduzca a un arresto y enjuiciamiento exitosos«. Para tal fin, Ledger generó una dirección que tiene 10 BTC en fondos, un monto que catalogaron como reserva inicial de recompensa.

Imagen destacada por Mohamed Hassan / pixabay.com