All posts tagged seguridad informática

Banco de México, la CNBV, la Bolsa Mexicana y 9 bancos atacados por norcoreanos

Derivado de investigaciones de nuestra firma e información pública obtenida de Niebezpiecznik.pl, un grupo de ciberdelincuentes norcoreanos denominado Lazarus, ha creado un par de vectores de ataque dirigidos a distintas instituciones en Polonia, Estados Unidos, Chile, Colombia, República Dominicana y México entre otros, surtiendo efecto desde octubre de 2016 y hasta hace algunos días.

Conforme a la información existente actualmente y a los análisis hechos a las muestras de malware a las que tuvimos acceso, podemos decir con certeza que ha habido un ataque masivo dirigido a instituciones financieras del país que, según los reportes oficiales, se originó en la Comisión Nacional Bancaria y de Valores (CNBV).

El sitio web de la CNBV fue vulnerado como resultado de investigaciones hechas por Lazarus desde febrero de 2016 (aproximadamente), logrando manipular la redirección de algunos links que contenían informes de sanciones que la Comisión había hecho a diversas instituciones, provocando que se infectaran o convirtieran en objetivo diversas instituciones, siendo estas las siguientes:

  • Bancomer
  • Scotiabank
  • Banco de México
  • Bolsa Mexicana de Valores
  • HSBC
  • Monex
  • Afirme
  • American Express
  • Banco Interacciones
  • Banco Azteca
  • Citibank Mexico

Derivado de la información que obtuvimos, las principales áreas afectadas son las legales, de fraudes y de atención a la CNBV. Es muy importante señalar que puede haber muchos más bancos o instituciones afectadas, pero no hemos tenido acceso a información que lo confirme para poder colocarlos.

Hasta este momento, no hay afectaciones a los bancos o clientes, pero se espera un ataque masivo ya que Lazarus es el grupo que está detrás de los ataques a Sony Pictures, al gobierno de Corea del Sur y a diversos bancos en otros países que han causado pérdidas millonarias o afectaciones reputacionales sin precedentes.

Puede haber distintas hipótesis del por qué hacer un ataque tan focalizado, siendo las más importantes las siguientes:

  1. Buscaban información sensitiva de las áreas jurídicas de los bancos para extorsionarlos
  2. Rastreaban información bancaria de diversas empresas surcoreanas
  3. Obtuvieron información de cuentas clave para hacer un fraude masivo en poco tiempo

Por último, no está de más señalar que, desde la brecha en México, ha incrementado la oferta en Internet de bases de datos de diversos bancos, a costos que van de los $20 a $30 dólares por usuarios. Mientras escribimos esta nota, se publicaron más de 40 anuncios ofertando datos que van desde los números de tarjetas, nombres, domicilios, CVVs y hasta otro tipo de información bancaria como accesos a banca en línea del cliente.

La información técnica del incidente, así como datos adicionales que nos han sido proporcionados en esta investigación, pueden ser requeridas directamente a contacto@itlawyers.mx

Evitamos colocar información específica en este post, pues hay instituciones que siguen siendo vulneradas en este momento

Aprueban Protección de Datos Personales en Sector Gubernamental

Sujetos obligados: cualquier autoridad en el ámbito federal, estatal y municipal, entidad, órgano y organismos (sic) de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Se deberán establecer y mantener medidas de seguridad para proteger los datos personales que posean contra cualquier daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar confidencialidad, integridad y disponibilidad.

La Cámara de Diputados aprobó en lo general, con 318 votos a favor, 77 en contra y 34 abstenciones, el dictamen de la minuta por el que se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

La ley establece las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales en posesión de sujetos obligados, que son cualquier autoridad en el ámbito federal, estatal y municipal, entidad, órgano y organismos (sic) de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Los responsables, sujetos obligados, deberán establecer y mantener medidas de seguridad para proteger los datos personales que posean contra cualquier daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar confidencialidad, integridad y disponibilidad.

Del mismo modo, adoptarán medidas de prevención respecto a vulneraciones a los datos personales que posean conforme a las mejores prácticas, evaluar impactos y determinar tratamientos intensivos o relevantes, entre otras acciones. Leer nota completa…

Base de datos del INE: 241 días en forma pública

De acuerdo a información consultada con diversos expertos que nos han ayudado a investigar más sobre este tema, logramos encontrar la fecha exacta de subida del Padrón Electoral por parte del Partido Movimiento Ciudadano, situándolo en el mes de abril de 2015, en específico el día 24.

Por 241 días, el Partido Movimiento Ciudadano colocó de forma pública y sin restricciones de acceso, la base de datos de todos los mexicanos que tenemos credencial de elector, ¿qué tiene que decir el partido respecto a esto? Si atendemos su versión, ¿entonces por 241 días no supieron responder ante el supuesto “hackeo” que les hicieron?

Mientras nuestro equipo de investigación estuvo haciendo pruebas, adicionalmente encontramos más bases de datos, entre otras:

  1. Información de todos los puentes y casetas de cobro del país (México)
  2. Bitácoras de correo electrónico del ISSSTE
  3. Bitácoras de correo electrónico del IMSS
  4. Bitácoras de mensajes de bancos
  5. Bitácoras de datos de diversas universidades regiomontanas
  6. Bases de datos de estudiantes de diversas universidades del país
  7. Webcams en las ciudades principales del país que, incluso, nos muestran interiores de oficinas
  8. Expedientes completos de dos despachos de abogados litigantes en el país

Leer nota completa…

Regulan protección de datos personales ante el uso de drones

Hace 25 años cuando leía a Asimov estaba segura que un título como el de este post no lo vería salvo en un libro de ciencia ficción o en una película como Terminator, y vaya que me equivoque, así como la tecnología nos ha alcanzado, la legislación también.

Hoy, el tema de protección de datos ya no requiere explicaciones básicas, yo asumo que todos sabemos en qué consiste, cómo nos da derechos y a su vez la forma en que nos genera obligaciones. Sin embargo, las distintas formas a través de las cuales la privacidad se ve comprometida siguen surgiendo y, por ende, siguen requiriendo de ajustes legales para seguir estando protegidos.

Como el nombre del post lo indica, sí, ya hay regulación en materia de protección de datos personales ante el uso de VANT’s o drones. ¿En qué consiste?

  • Debe otorgarse el consentimiento de las personas cuando éstas sean grabadas por un dron
  • El usuario del dron deberá elaborar un manual o política de tratamiento de datos personales, éste debe indicar la finalidad de la recolección, la ubicación de la grabación, fechas y horarios de uso del dron, plazo de conservación de la grabación, mecanismos de seguridad y de confidencialidad, entre otros
  • El repositorio, esto es: la base de datos de las grabaciones, deberá ser registrada ante la autoridad junto con el manual o política de tratamiento de datos personales

Leer nota completa…

¿Qué saben en tu empresa sobre privacidad?

privacidad

PROFECO: Sitios no confiables para comprar en línea

Image Courtesy of Free Digital Photos.net

Image Courtesy of Stuart MIles / Free Digital Photos.net

Hoy Profeco da conocimiento del resultado de su Monitoreo de tiendas virtuales a abril de 2013 con fecha de actualización al 12 de abril de 2013.

Los parámetros de resultado que proporciona, son:

  1. No confiable para hacer compras en línea: No cuentan con seguridad en datos financieros o carece de domicilio físico.
  2. Poco confiable para hacer compras en línea: No protegen los datos personales u omiten información al consumidor.

En los puntos analizados por PROFECO para calificar a los sitios monitoreados, están:

  1. Giro
  2. Referencia sobre políticas de privacidad y seguridad
  3. Seguridad en cuanto a datos personales
  4. Seguridad en cuanto a datos financieros
  5. Domicilio físico
  6. Número telefónico fijo
  7. Correo electrónico
  8. Descripción detallada de los bienes o servicios
  9. Costos totales e impuestos
  10. Condiciones de entrega
  11. Condiciones de cancelación y cambio

 

Los rubros comerciales de las empresas monitoreadas, son:

  • Hospedaje de páginas web
  • Flores y plantas naturales
  • Maquinaria y equipo médico
  • Aparatos y accesorios deportivos
  • Películas y series de TV
  • Venta de electrodomésticos, equipo de computo y de entretenimiento
  • Computadoras, consolas y equipo electrónico
  • Artículos para eventos, graduaciones y fiestas
  • Diseño de tiendas virtuales
  • Sex Shop
  • Artículos electrónicos
  • Artículos para el hogar (muebles de baño)
  • Aparatos y accesorios deportivos
  • Dulces y materias primas para repostería
  • Flores y plantas naturales
  • Viajes y Turismo para eventos deportivos
  • Computadoras, consolas y equipo electrónico
  • Alojamiento de páginas web y registro de dominios
  • Artículos de uso personal
  • Suplementos Alimenticios
  • Cigarros eléctricos

 

Si el rubro comercial de tu empresa está en la lista o te dedicas al Comercio Electrónico, no olvides cumplir con la legislación al respecto. Consulta a un abogado experto en la materia.

Nota redactada por Ivonne Muñoz
Fuente consultada: PROFECO. Dirección General de Estudios sobre Consumo, 2013.
Image courtesy of Stuart Miles / FreeDigitalPhotos.net

Crecimiento de Banca electrónica en México

Fuente: NIC México – 31 Agosto, 2011
Post publicado con la autorización de la fuente

De acuerdo con datos de la Comisión Federal de Telecomunicaciones (COFETEL, www.cft.gob.mx) en México la telefonía celular es el sector más dinámico de la industria, pues hasta julio de 2011 se registraron 77 millones 998 mil 721 usuarios; por lo cual cada vez más empresas están interesadas en convertir al móvil en un medio de pago y hacer de cada uno una terminal bancaria.

La banca móvil todavía es incipiente en el país, pues incluso las visitas y operaciones a los portales bancarios desde toda clase de equipos sólo han aumentado 11%, de acuerdo con datos de la Asociación Mexicana de Internet (AMIPCI, www.amipci.org.mx).

Se estima que el promedio de cuentas activas por internauta es de 2.3, por lo que se concluye que existen 4.4 millones de clientes con acceso a servicios electrónicos en México. Casi 6 de cada 10 entrevistados por la AMIPCI tienen más de dos años utilizando la Banca por Internet, 61% por ciento de los cuales emplea el servicio de alertas de movimientos de cuenta, ya sea por correo electrónico o por SMS.

La mayor parte de quienes ya están familiarizados con la banca electrónica ingresan para consultar sus saldos, realizar pagos electrónicos o transferencias entre cuentas propias, no obstante aún falta crecer el aprovechamiento de los servicios, como menciona Leer nota completa…

Como asegurar WordPress

Con el paso del tiempo ha ido bajando el precio de los nombres de dominio y el servicio de hospedaje, por lo que es más común tener un blog, ya sea personal o de alguna temática. Pero al mismo tiempo que los precios de estos servicios han disminuido, también ha aumentado la cantidad de gente que desea hacer daño, por el simple hecho de hacerlo, y es por ello que es importante tomar en cuenta algunas medidas de seguridad en nuestros blogs.

Esta es una lista de 11 puntos de lo que se puede hacer para evitar sorpresas:

  • Encriptar el acceso
    Siempre que accedemos a WordPress la información va de una manera sin encriptar, eso quiere decir que cualquier persona puede obtener la información con algún programa para detectar esta comunicación. Existe un plug-in que se llama Chap Secure Login que ayuda para que la información viaje encriptada de manera segura.
  • Usar una contraseña fuerte
    No sirve de mucho enviar la información de acceso encriptada si la contraseña no es lo suficientemente fuerte. Ya he hablado en otras ocasiones sobre lo importante que es que la contraseña contenga una combinación de letras mayúsculas, minúsculas y números. Si se quiere agregar una mayor cantidad de seguridad se pueden poner también símbolos. Si no estas seguro de que tan fuerte es tu contraseña, a partir de la versión 2.5 de WordPress tiene incluido un verificador al momento de cambiar la contraseña.
  • Cambia el usuario de administrador
    Ya todos saben que el primer usuario, con privilegios de administrador Leer nota completa…
Load More