Histórico por autor

Banco de México, la CNBV, la Bolsa Mexicana y 9 bancos atacados por norcoreanos

Derivado de investigaciones de nuestra firma e información pública obtenida de Niebezpiecznik.pl, un grupo de ciberdelincuentes norcoreanos denominado Lazarus, ha creado un par de vectores de ataque dirigidos a distintas instituciones en Polonia, Estados Unidos, Chile, Colombia, República Dominicana y México entre otros, surtiendo efecto desde octubre de 2016 y hasta hace algunos días.

Conforme a la información existente actualmente y a los análisis hechos a las muestras de malware a las que tuvimos acceso, podemos decir con certeza que ha habido un ataque masivo dirigido a instituciones financieras del país que, según los reportes oficiales, se originó en la Comisión Nacional Bancaria y de Valores (CNBV).

El sitio web de la CNBV fue vulnerado como resultado de investigaciones hechas por Lazarus desde febrero de 2016 (aproximadamente), logrando manipular la redirección de algunos links que contenían informes de sanciones que la Comisión había hecho a diversas instituciones, provocando que se infectaran o convirtieran en objetivo diversas instituciones, siendo estas las siguientes:

  • Bancomer
  • Scotiabank
  • Banco de México
  • Bolsa Mexicana de Valores
  • HSBC
  • Monex
  • Afirme
  • American Express
  • Banco Interacciones
  • Banco Azteca
  • Citibank Mexico

(continua leyendo…)


Respuesta a Movimiento Ciudadano

Movimiento Ciudadano colocó ayer un comunicado en su sitio web, intentando confundir a la opinión pública y atacando a diversos sitios de noticias que únicamente citaron a “expertos en seguridad” pero no dieron nombres.

Nosotros, como sitio especializado en información de este tipo, en la difusión de noticias y con un equipo representado por la firma más importante en Latinoamérica en lo que respecta a ciberseguridad y temas relacionados, IT Lawyers, nos vemos en la necesidad de responder sus falsos argumentos

Como ciudadano, reclamo que Movimiento Ciudadano me explique quién le autorizó a entregar los datos de mi credencial de elector a un particular

(continua leyendo…)


Base de datos del INE: 241 días en forma pública

De acuerdo a información consultada con diversos expertos que nos han ayudado a investigar más sobre este tema, logramos encontrar la fecha exacta de subida del Padrón Electoral por parte del Partido Movimiento Ciudadano, situándolo en el mes de abril de 2015, en específico el día 24.

Por 241 días, el Partido Movimiento Ciudadano colocó de forma pública y sin restricciones de acceso, la base de datos de todos los mexicanos que tenemos credencial de elector, ¿qué tiene que decir el partido respecto a esto? Si atendemos su versión, ¿entonces por 241 días no supieron responder ante el supuesto “hackeo” que les hicieron?

Mientras nuestro equipo de investigación estuvo haciendo pruebas, adicionalmente encontramos más bases de datos, entre otras:

  1. Información de todos los puentes y casetas de cobro del país (México)
  2. Bitácoras de correo electrónico del ISSSTE
  3. Bitácoras de correo electrónico del IMSS
  4. Bitácoras de mensajes de bancos
  5. Bitácoras de datos de diversas universidades regiomontanas
  6. Bases de datos de estudiantes de diversas universidades del país
  7. Webcams en las ciudades principales del país que, incluso, nos muestran interiores de oficinas
  8. Expedientes completos de dos despachos de abogados litigantes en el país

(continua leyendo…)


Historia real detrás del robo de datos al INE

Son muchas las conjeturas que la prensa no especializada ha hecho con respecto a la publicación del padrón electoral en Amazon pero, ¿fue un robo? ¿Movimiento Ciudadano fue hackeado? ¿Amazon fue hackeado para obtener la base de datos? ¿Cómo sabían los ciberdelincuentes dónde buscar? ¿Es cierto que de 3 memorias USB con esa base de datos solo una la tienen ellos?

Les dejo esta crónica de lo que realmente sucedió, con información recibida de Chris Vickery, Iván Chávez y algunos otros que no puedo mencionar:

(continua leyendo…)


Lo que necesitas saber de la fuga de datos en el INE

Hace 8 días (el 14 de abril de 2016 para ser exactos), Chris Vickery, reconocido investigador de fugas de información, descubrió en un servidor público la base de datos completa del Instituto Nacional Electoral con todos los datos de nuestras credenciales de elector. Hasta el momento no se sabe cuántas veces fue descargada, cuanto tiempo llevaba ahí y si hay otros usuarios que la hayan subido a distintos servidores.

Este acontecimiento fue reportado al Departamento de Estado de Estados Unidos, el Departamento de Seguridad Nacional de Estados Unidos, a la Embajada de México en los Estados Unidos, al Instituto Nacional Electoral, al CERT de los Estados Unidos, (continua leyendo…)


¿Qué hacer en el mundo digital cuando un amigo o familiar fallece?

 Image courtesy of Mister GC at FreeDigitalPhotos.net

Image courtesy of Mister GC at FreeDigitalPhotos.net

Todos nos hemos enfrentado o nos enfrentaremos a la muerte de un ser querido y todo lo que esto conlleva. Pero, ¿nos hemos preguntado qué pasa con toda su información que está en el mundo digital?, ¿qué pasa con sus cuentas en redes sociales, correos electrónicos o, incluso, información en la nube que puede ser importante para la familia o empresa para la que trabajó?

Hoy en día, nuestra vida se mueve en un entorno digital un 60% de nuestro tiempo activo, es decir, de cada 10 cosas que hacemos, 6 quedan registradas en un medio electrónico.

Esto quiere decir que como personas, gran parte de nuestra historia está en nuestras redes sociales como Facebook o Twitter, en donde podemos tener conversaciones e intercambio de contenidos con amigos, familiares o compañeros de trabajo; tenemos otras opciones como Dropbox o Box, en donde podemos tener información valiosa de nuestra persona o documentos de trabajo importantes para la empresa en la que trabajamos; Pinterest o Instagram guardan gran parte de nuestra memoria fotográfica, llevándonos a considerar de gran valor todas las imágenes que podemos llegar a tener ahí; Outlook y Gmail conservan nuestro historial de correos electrónicos, mismos que pueden tener información de bancos, seguros, recuperación de cuentas de otros servicios o cuestiones personales de familia o trabajo.

(continua leyendo…)


Como perder a tu empresa en 5 pasos

Robo_ideaTodos tenemos buenas ideas, buenos emprendimientos, buenos modelos de negocio, buenos nombres comerciales… pero, ¿cuántos de nosotros las protegemos?

Hoy más que nunca nos debemos preocupar por proteger aquello que hará crecer nuestro negocio pues la información viaja muy rápido y es muy fácil que un “cazador de ideas” nos robe lo que desarrollamos. Les voy a contar un pequeño ejempo:

Hace un par de días llamó a nuestra oficina “Andrés”, quien tiene una empresa que desarrolla aplicaciones publicitarias que se utilizan principalmente en Facebook . En su empresa había 6 desarrolladores pero recientemente dos de ellos se fueron y abrieron una empresa similar a la de el, ofreciendo los mismos desarrollos a los mismos clientes, con precios más bajos y utilizando un par de ideas innovadoras de enrolamiento que se le habían ocurrido a Andrés tan solo unas semanas antes de que se fueran.

El problema de Andrés era que en dos meses perdió un 35% de sus clientes, una marca que pensaba sacar con otros servicios, dos ideas que había desarrollado durante 5 meses y, lo mas importante, el ser el servicio mas innovador que existía en ese momento.

Les cuento la historia de Andrés porque es habitual que este tipo de casos lleguen a la oficina y son cada vez más recurrentes, desde el amigo que si realizó nuestra idea que contamos en una reunión, hasta el competidor que se llevó a nuestro personal o que nació a partir de trabajadores de nuestra empresa.

Teniendo esta breve introducción, les comento los 5 casos mas recurrentes y como prevenirlos:

  1. Registra tu marca – Por experiencia personal se que es en donde más tiempo tardamos en decidir desde el nombre hasta el logotipo de la empresa. Protegerla es un trámite un tanto engorroso con el IMPI y es recomendable hacerlo con un despacho especializado que entienda que queremos vender para que nos recomiende en que clase registrarlo (si, hay 45 tipos de registro diferentes). Recuerden, la marca será ese signo que nos distinga durante toda la vida de la empresa.
  2. Registra tu producto/servicio – Lo mismo da si vamos a registrar un diseño, un software, un libro, un nuevo modelo de cafetera, un mueble o cualquier otra cosa que se les ocurra, al final estos productos o servicios serán los que sustenten a la empresa y que nos hagan una empresa competitiva en nuestro sector. Lo recomendable es registrarlo (o por lo menos iniciar el trámite) antes de sacar nuestra idea a la luz y va a variar dicho registro pues puede haber patentes, modelos de utilidad, registros de obras, etc. dependiendo de que ofrezcamos.
  3. Acuerdos de confidencialidad – Hay que prevenir que nuestros empleados, distribuidores o socios de negocio se conviertan en difusores de nuestras ideas en fase beta o, incluso, en nuestros propios competidores. Nunca esta de más firmar acuerdos de confidencialidad hechos a la medida con ellos para delimitar responsabilidades y establecer obligaciones para guardar los secretos de nuestros negocios.
  4. Contratos – Son muchas las empresas que usan formatos generales como contratos de trabajo o que ni siquiera llegan a firmar uno, dejando muy abierto (para quienes no tienen conocimientos legales) el hecho de poder hacer y deshacer lo que quieran estando fuera de la empresa, no delimitando a quien pertenecen las cosas que se desarrollaron durante el tiempo que trabajaron con nosotros y dejando la posibilidad de que puedan llevarse esas ideas consigo a donde sea que fuesen
  5. Cumplimiento legal – Todos conocemos a algún abogado o tenemos a alguno en nuestra empresa pero ¿estamos seguros de que estamos cumpliendo todas las normas o leyes que nos corresponden? Hay muchas de ellas que pueden provocarnos caer en alguna sanción económica que a su vez nos produce una afectación a la empresa ya que casi todas estas sanciones se hacen públicas y pueden llegar a ocasionar que nuestra empresa se vea en la necesidad de cerrar.

Estos son los ejemplos más comunes que pueden provocar un daño a las empresas y que, durante 14 años, nos hemos dedicado a atender.

Si tienes alguna pregunta puedes hacerla directamente en la sección de comentarios o escribiendonos a contacto@itlawyers.mx

Imagen cortesía de ratch0013/ FreeDigitalPhotos.net

¿Quieres ser Forense Informático del Servicio Secreto?

El Servicio Secreto y el Departamento de Seguridad Nacional de los Estados Unidos de América ofrece, a través del NCFI (National Computer Forensics Institute), entrenamiento legal y tecnológico para los interesados en convertirse en forenses del área de sistemas con todos los gastos pagados (comidas, hospedaje y otros gastos que pudieras tener). Solo habrá 24 afortunados…

Desde el año 2007, el Instituto Nacional de Informática Forense (National Computer Forensics Institute) o NCFI por sus siglas en inglés, ha desarrollado un esquema de estudios dirigido a todos aquellos feligreses que quieren ser forenses en el área de sistemas y cooperar en las investigaciones que lleva el Servicio Secreto o el Departamento de Seguridad Nacional.

Para esto han creado 6 programas de desarrollo en diferentes especialidades:

  • BICEP (Programa Básico de Investigación Informática y Crímenes Electrónicos): Entrenamiento de 5 días dirigido a los investigadores encargados de ser la primer línea de respuesta ante diversos incidentes.
  • NITRO (Programa de Respuesta a Intrusiones en Red): 14 días de entrenamiento dirigido a responder eficazmente a las intrusiones en una red, el programa incluye los pasos para mitigar el problema, recopilar los datos volátiles e investigar minuciosamente la red del delito.
  • BCERT (Entrenamiento Básico de Recopilación de Evidencia Informática): (continua leyendo…)

Derecho Informático - IT Lawyers. Siempre solicite la autorización del autor para reproducir los contenidos de este blog.
iDream theme by Templates Next | Powered by WordPress