En Cashea tomamos muy en serio la protección de la información de nuestra comunidad. Por ello, compartimos a continuación el informe técnico detallado del evento de seguridad sucedido en el mes de Febrero de 2026.
En Cashea tomamos muy en serio la protección de la información de nuestra comunidad. El 21 de febrero de 2026 identificamos una exfiltración de datos asociada a nuestros usuarios y aliados comerciales.
La investigación determinó que un actor externo accedió de manera no autorizada a información de Cashea, mediante el uso de credenciales válidas pertenecientes a una cuenta de empleado de un comercio aliado, previamente comprometidas fuera de nuestra plataforma. La información a la que se tuvo acceso corresponde únicamente a datos operativos y transaccionales del Merchant Web (la plataforma de gestión de Aliados Cashea).
El incidente estuvo activo entre el 30 de enero y el 21 de febrero de 2026.
No se identificó compromiso de:
• Credenciales internas administrativas.
• Infraestructura cloud.
• Email y contraseñas de usuarios finales.
El incidente se encuentra contenido.
Un actor externo utilizó credenciales válidas de un empleado de un comercio aliado para realizar consultas automatizadas a ciertos endpoints del Merchant Web.
La actividad presentó patrones consistentes con extracción masiva automatizada (alta frecuencia sostenida de solicitudes).
Entre el 25 y el 31 de diciembre, el atacante llevó a cabo una fase de reconocimiento silencioso. Durante este periodo, realizó consultas que mimetizaban el comportamiento habitual de un usuario legítimo, orientadas a comprender la lógica de respuesta de la aplicación ante diversas solicitudes. Debido a la naturaleza espaciada de estas interacciones y a la ausencia de patrones maliciosos evidentes, la actividad no activó los umbrales de alerta de los sistemas internos.
Tras identificar una vulnerabilidad explotable, el atacante inició una fase de exfiltración de datos. El vector de ataque consistió en una iteración secuencial de identificadores de tienda, lo que le permitió comprometer de forma sistemática información de comercios, transacciones y datos personales de usuarios.
La investigación identificó como causa raíz o principal:
• Uso de credenciales válidas comprometidas externamente.
• Controles de autenticación y autorización insuficiente en APIs.
• Ausencia de limitación de tasas de consumo (rate limiting) en endpoints.
• Tiempo de vida (TTL) excesivo de tokens de sesión.
El análisis de los registros de red y logs de actividad sugiere que el actor externo estableció un punto de intercepción a datos operativos y transaccionales del entorno productivo del Merchant Web.
Es fundamental aclarar que, aquellos registros de usuarios inactivos que nunca han generado flujo de datos transaccionales (cuentas creadas sin actividad de compra) no muestran signos de afectación, al no existir evidencia de comandos de extracción masiva en los repositorios de almacenamiento.
La información accedida corresponde a:
• Datos de usuarios (nombre, cédula).
• Datos de contacto (teléfono).
• Información de órdenes.Información operativa de comercios aliados.
No se comprometieron:
• Contraseñas de usuarios.
• Credenciales de acceso a infraestructura.
• Claves privadas o secretos del sistema.
• Los sistemas financieros de Cashea ni los componentes que soportan el procesamiento de pagos.
Ante este hecho, activamos y ejecutamos de forma inmediata las siguientes acciones:
• Desactivación inmediata de la cuenta comprometida.
• Refuerzo de validaciones de autenticación y autorización en las APIs afectadas.
• Restricción adicional en acceso a información histórica.
• Activación de servicio externo de respuesta a incidentes (Mandiant de Google).
• Comunicación inicial a la comunidad sobre el incidente en X y las acciones inmediatas adoptadas.
• Notificaciones individualizadas a los usuarios y aliados involucrados, brindando mayor detalle sobre el alcance del evento, los riesgos potenciales asociados y las recomendaciones preventivas correspondientes.
• Se presentó el primer día hábil siguiente al ataque la correspondiente denuncia ante la División de Delitos Informáticos del CICPC.
• Monitoreo 24 x 7 para atención por todos los canales de comunicación con actores clave, incluyendo usuarios y aliados.
A partir del análisis del incidente y de los vectores identificados, se definieron una serie de acciones y mejoras estructurales orientadas a fortalecer los controles de seguridad, reducir superficies de exposición y reforzar los mecanismos de prevención y detección ante actividades automatizadas o abusivas. Estas medidas abarcan tanto controles técnicos en la plataforma como ajustes en procesos de integración y supervisión de terceros.
La confianza de nuestra comunidad es lo más valioso para Cashea. Por eso, proteger la información no es solo una prioridad técnica, sino un compromiso constante con cada persona que confía en nosotros.
Desde el primer momento abordamos esta situación con transparencia, un valor fundamental para Cashea. Creemos que la confianza se construye precisamente así: comunicando con claridad, asumiendo responsabilidades y actuando con integridad.
El evento recientemente analizado refuerza nuestra responsabilidad de seguir fortaleciendo nuestras capacidades de protección. Más allá de este incidente, trabajamos de manera continua para mejorar nuestros sistemas, revisar nuestros procesos y reforzar cada uno de los mecanismos que resguardan la información y la operación de nuestros servicios.
Sabemos que la ciberseguridad es un desafío en constante evolución. Por ello, continuaremos invirtiendo, aprendiendo y perfeccionando nuestras prácticas día a día, con el objetivo de proteger mejor a nuestros usuarios y aliados y garantizar la integridad de nuestros servicios.
Nuestro compromiso es claro: seguir construyendo un entorno cada vez más seguro, transparente y confiable para todos.
