Los sitios web de donaciones políticas del Reino Unido son vulnerables a ataques de cuentas, lo que potencialmente pone en riesgo los detalles personales y financieros de los donantes. Los investigadores de DataDome descubrieron que las plataformas de donación utilizadas por los siete partidos políticos principales del Reino Unido (Partido Laborista, Conservador, Demócrata Liberal, Reform UK, SNP, Plaid Cymru y el Partido Verde) carecen de funciones de seguridad críticas para protegerse contra bots y ataques de robo de credenciales. Los donantes políticos a menudo brindan información personal y financiera confidencial a los partidos, incluidos sus nombres, direcciones y detalles de tarjetas de crédito. Por lo tanto, las violaciones de dichos datos podrían causar fraude financiero y robo de identidad. Lea ahora: El ex congresista Santos admite robo de identidad y fraude Esto podría llevar a una pérdida de confianza de los donantes y daño a la reputación de los partidos afectados, lo que resultaría en una menor participación de los donantes y pérdidas financieras para las campañas políticas, agregó DataDome. «Con el aumento de las elecciones ha llegado un aumento en las donaciones de campaña, lo que resulta en grandes volúmenes de transacciones procesadas por las plataformas de donación, lo que las convierte en objetivos atractivos para los ciberdelincuentes», señaló la firma. Fallos de seguridad de cuentas en los sitios web de donantes Los investigadores destacaron numerosos ejemplos de funciones de ciberseguridad faltantes en las siete plataformas. Solo dos de los siete sitios web, Labour y SNP, aprovechan reCAPTCHA para protegerse contra bots. Incluso entonces, esta función solo se usa en las páginas de creación de cuentas, no en las páginas de inicio de sesión. El uso de reCAPTCHA a menudo no es suficiente para prevenir los ataques de bots modernos debido al creciente uso de técnicas de evasión. Estas incluían granjas de CAPTCHA, donde esencialmente los humanos entrenan a los bots para resolver «pruebas» de CAPTCHA en la aplicación web de destino Cuatro de las plataformas de donación de los partidos no ofrecían una opción para iniciar sesión, lo que significa que es posible hacer donaciones sin crear una cuenta oficial, lo que reduce la barrera de entrada para el tráfico de bots y los estafadores En el caso de los tres sitios que sí usaban puntos finales de inicio de sesión, Plaid Cymru, SNP y Reform UK, los puntos finales quedaron completamente desprotegidos, lo que presenta una oportunidad significativa para la apropiación de cuentas. DataDome reveló que pudo crear un bot capaz de iniciar sesión con éxito en su propia cuenta sin ser desafiado por ninguna contramedida de seguridad en estas plataformas Estos problemas ponen las cuentas de los donantes en riesgo de ataques de robo de credenciales, dijeron los investigadores. Lea ahora: Las apropiaciones de cuentas superan al ransomware como principal preocupación de seguridad Asegurar los sitios web de donaciones políticas Los investigadores instaron a los sitios web de donaciones de partidos políticos incluidos en el análisis a implementar la autenticación de dos factores en todas las interacciones críticas de los usuarios, incluidos los inicios de sesión y las transacciones, para agregar una capa de protección contra el acceso no autorizado. Los sitios web también deberían hacer la transición de los sistemas CAPTCHA básicos a soluciones de gestión de bots que sean resistentes a las técnicas de elusión como las granjas CAPTCHA. Los donantes pueden reducir el riesgo de ataques de robo de credenciales utilizando una contraseña única y segura generada mediante un administrador de contraseñas.