Abril, mes negro para la protección de datos en México.

El viernes 20, el sitio especializado en tecnología TechCruch informó que el usuario de Twitter @0x55Taylor había descargado 4,700 documentos y miles de archivos con información sensible de un servidor vinculado con la Embajada de México en Guatemala y los había compartido en esta red social.

El domingo 14 de abril, El Economista dio a conocer que empleados de la consultoría internacional KPMG habían descargado comprobantes fiscales digitales del Servicio de Administración Tributaria (SAT) de sus clientes y con ellos habían creado una base de datos que estuvo expuesta en internet.

Más información

#HablemosDeSeguridad

Vía @eleconomista

Pirata informático descarga miles de documentos confidenciales de embajadas mexicanas en línea.

Un hacker robó miles de documentos de la embajada de México en Guatemala y los publicó en línea.

El hacker le dijo a TechCrunch en un mensaje: “Un servidor vulnerable en Guatemala relacionado con la embajada mexicana se vio comprometido y descargué todos los documentos y bases de datos”. Dijo que se contactó con funcionarios mexicanos pero que fue ignorado.

Más información

#HablemosDeSeguridad

Vía @techcrunch

KPMG México confirma filtración de datos de sus clientes; “lamentamos profundamente este incidente”.

La filtración de información expuso a la vista de cualquiera con acceso a internet datos personales y fiscales de empleados de por lo menos 41 clientes de la firma consultora en México

KPMG México confirmó que a finales de enero de 2019 detectó “que cierta información de algunos clientes estuvo comprometida ante un tercero no autorizado”, por lo que inició una investigación y tomó “acciones correctivas decisivas con la diligencia debida”. Esta filtración de información, que duró de noviembre de 2018 a enero de 2019, expuso a la vista de cualquiera con acceso a internet datos personales y fiscales de empleados de por lo menos 41 clientes de la firma consultora en México, publicó El Economista el domingo pasado.

“Por motivos de confidencialidad con nuestros clientes, no estamos en posibilidades de proporcionar detalles adicionales, aunque sin duda estamos trabajando de manera cercana con los clientes involucrados”, dijo Roberto Cabrera Siles, socio de KPMG México a cargo de comunicación con medios, en un correo electrónico enviado a este medio.

El Economista publicó que empleados de KPMG México descargaron sin autorización de sus titulares millones de comprobantes fiscales digitales (CFDI) del Servicio de Administración Tributaria (SAT) y con ellos crearon una base de datos que estuvo expuesta en internet, sin contraseñas ni controles de seguridad, entre noviembre de 2018 y enero de 2019. Se calcula que el volumen de la filtración es de 4.98 millones de documentos.

En un reporte interno confidencial fechado el 22 de febrero, del cual este reportero tiene una copia, KPMG México detalla que un “pequeño grupo” de empleados de la compañía utilizó el servicio de almacenamiento Azure Blob Storage de Microsoft para hospedar la información confidencial sin contraseñas ni controles de seguridad, por lo que estos datos estuvieron a la vista de cualquier con acceso a internet durante tres meses.

Entre las corporaciones afectadas por la filtración de datos personales y fiscales se encuentran la aseguradora General de Seguros, S.A.B., el conglomerado industrial Grupo Bocar, el Grupo Empresarial Ángeles a través de la Operadora de Hospitales Ángeles y el club de futbol Gallos Blancos S.A. de C.V., las farmacias FarmaCon de FEMSA, la universidad ITESO, el Club Premier de la línea aérea Aeroméxico, las siderúrgicas ArcelorMittal, Thyssenkrupp, y la administradora de fondos para el retiro Profuturo GNP.

En el reporte interno dirigido a clientes, la compañía hace un recuento pormenorizado de lo que llamó “incidente de seguridad de la información” y asegura que estas “acciones fueron violaciones muy graves de nuestras políticas”; informa que despidió a dos personas del equipo de desarrollo y que presentó una denuncia penal ante el Ministerio Público.

En la comunicación enviada este lunes a El Economista, Cabrera Siles aseguró que el 26 de febrero la autoridad de protección de datos, el Inai, “realizó una solicitud de información a KPMG en México con respecto a este suceso”. Por motivos de confidencialidad y de que la investigación está en curso, añadió, “no podemos comentar nada adicional”.

De acuerdo con la comunicación de Cabrera Siles, KPMG México “los programas de seguridad y protección de la información de KPMG se encuentran entre nuestras más altas prioridades. Nuestra capacidad de proveer servicios de alta calidad que nuestros clientes esperan no se ha visto afectada de ninguna manera”.

Y añadió: “Lamentamos profundamente este incidente y estamos comprometidos a trabajar con nuestros clientes y otras partes relacionadas para continuar protegiendo la información de los mismos”.

Con esta filtración, KPMG México se integra a un grupo cada vez mayor de empresas en México que han registrado filtraciones de datos personales, como Hova Health, involucrada en la exhibición de 2.34 millones de expedientes clínicos electrónicos de beneficiarios de Seguro Popular de Michoacán en 2018; la empresa de servicios de transporte Uber, que fue víctima del robo de datos personales de casi 1 millón de usuarios mexicanosen 2016, y el medio nativo digital Cultura Colectiva, que expuso 450 millones de registros con información de usuarios de Facebook en 2019.

Más información

#HablemosDeSeguridad

Vía @vanguardia

Ciberdelitos contra empresas en México se duplicaron en dos años: PwC.

Los delitos cibernéticos superaron, respecto de su crecimiento, a otros delitos económicos, como el soborno y la corrupción y a la apropiación indebida de activos.

Durante 2018, las empresas sufrieron el doble de delitos cibernéticos que durante el 2016.

Solo el 15% de las empresas en México considera que será víctima de un ataque cibernético en los próximos 24 meses.

No obstante su impacto, las empresas siguen viendo a los delitos cibernéticos con cierta despreocupación.

Más información

#HablemosDeSeguridad

Vía @eleconomista

Los sitios olvidados y hackeados del Gobierno Mexicano.

Los gobiernos en México, tanto municipales, estatales o federales, tienen poco o nulo interés por la seguridad informática. Tras un trabajo de investigación, se encontraron más de dieciséis sitios gubernamentales, vulnerados y que permanecen en el abandono o que sus administradores no se han dado cuenta que alguien los ha hackeado.

Más información

#HablemosDeSeguridad

Vía @seekurity

Grupos chinos han realizado ciberespionaje contra México: Mandiant

Los ataques se agravan en América Latina y específicamente, en México, debido a que el nivel de madurez en ciberseguridad es bajo y la capacidad de detectar un ataque de este tipo es muy limitada. 

Si bien el reporte no es especifica para México cuáles son los sectores que han sido vulnerados por estas actividades de ciberespionaje, Julián Dana, director de Mandiant para Latinoamérica, dijo que son el gobierno y las industrias con las que el Estado chino hace negocios a las que apuntan estos ataques. “Aquellas industrias en las que ellos hacen negocios son a las que van a entrar”, dijo el especialista.  

“México no es la prioridad para ellos por el momento, pero hacia el futuro quieren saber cómo serán las relaciones con el país”, añadió. Los sectores académico, aeroespacial, bancario, químico, de la construcción, de defensa, los sistemas electorales, ingenieriles, de energía, alta tecnología y varios más son a los que están abocados los esfuerzos de ciberespionaje chino en más de 20 países de todos los continentes.   

Según el documento, los grupos APT son actores estados-nación que generalmente están enfocados en actividades de ciberespionaje. “Siempre que haya una relación comercial, China quiere sacar ventaja y los grupos APT buscan tener ventajas estratégicas, ¿qué van a hacer del otro lado?, ¿por qué?”, dijo Julián Dana, director de Mandiant en Latinoamérica.

El especialista aseguró que esto se exacerba en América Latina y específicamente, en México, debido a que el nivel de madurez en ciberseguridad es bajo y la capacidad de detectar un ataque de este tipo es muy limitada. 

Largo baile con China

En 2015, los presidentes Barack Obama y Xi-Jinping establecieron un acuerdo para que China desistiera de sustraer información protegida en Estados Unidos, lo que hizo que las actividades de ciberespionaje por parte del país oriental se redujeran. Esto no sucedió en otros países, en donde la actividad de ciberespionaje del gigante asiático se mantuvo, de acuerdo con Dana.

En 2018, el ciberespionaje por parte de grupos localizados en China volvió a ser un tendencia. “La actividad que se cree que está vinculada a operadores respaldados por el Estado ahora parece estar relativamente enfocada en mantener la inteligencia estratégica y centrarse en los desarrollos geopolíticos”, refiere el documento.

“El ciberespionaje de China está últimamente muy enfocado a todo lo que esté relacionado con el One Belt, One Road, la nueva Ruta de la Seda, porque van a invertir mucho en carreteras, energía y China siempre que tenga relaciones comerciales con países, va a buscar información extra”, aseguró el especialista.

El One Belt,One Road es una iniciativa del gobierno chino para establecer dos nuevos corredores comerciales, uno por tierra y otro por mar, los cuales conectarán al gigante asiático con sus vecinos: los países de Asia central, Medio Oriente y hasta Europa. De acuerdo con el Foro Económico Mundial, China ya ha comprometido 1 billón de dólares en el proyecto, que alcanza un mercado de más de 3,000 millones de personas y es un eje clave en su visión de la globalización.

Más información

#HablemosDeSeguridad

Vía @eleconomista

Cómo los hackers lograron un atraco a un banco mexicano por $ 20 mdd.

En enero de 2018, un grupo de hackers, que ahora se cree que están trabajando para el grupo patrocinado por el estado norcoreano Lazarus, intentó robar $ 110 millones del banco comercial mexicano Bancomext, ese esfuerzo fracasó, pero solo unos meses después, una serie de ataques más pequeños pero más elaborados permitió extraer entre 300 y 400 millones de pesos, ( $ 15 y $ 20 mdd) de los bancos mexicanos.

Así es como lo hicieron: En la conferencia de seguridad de RSA celebrada en San Francisco el viernes pasado, el asesor de seguridad Josu Loza, presentó los hallazgos sobre cómo los piratas informáticos ejecutaron los robos tanto en forma digital como en México. La afiliación de los hackers sigue siendo públicamente desconocida. Loza enfatiza que si bien los ataques probablemente requerían una amplia experiencia y planificación durante meses, o incluso años, fueron habilitados por una arquitectura de red poco segura dentro del sistema financiero mexicano y la supervisión de seguridad en SPEI, la plataforma nacional de transferencia de dinero de México dirigida por el banco central Banco de México, también conocido como Banxico.

Recolecciones fáciles: Gracias a los agujeros de seguridad en los sistemas bancarios dirigidos, los atacantes podrían haber accedido a servidores internos desde la Internet pública o lanzar ataques de phishing para comprometer a los ejecutivos, o incluso a los empleados regulares, para obtener un punto de apoyo. Muchas redes no tenían controles de acceso sólidos, por lo que los hackers pudieron obtener una gran cantidad de credenciales de los empleados comprometidos. Las redes tampoco estaban bien segmentadas, lo que significa que los intrusos podrían usar ese acceso inicial para profundizar en las conexiones de los bancos a SPEI y, eventualmente, a los servidores de transacciones de SPEI, o incluso a su base de código subyacente.

Para empeorar las cosas, los datos de transacciones dentro de las redes bancarias internas no siempre se protegían adecuadamente, lo que significa que los atacantes podían rastrear y manipular los datos. Y mientras los canales de comunicación entre usuarios individuales y sus bancos estaban encriptados, Loza también sugiere que la aplicación SPEI en sí tenía errores y carecía de controles de validación adecuados, lo que hace posible eludir transacciones falsas. La aplicación puede incluso haber sido comprometida directamente en un ataque de cadena de suministro, para facilitar transacciones maliciosas exitosas a medida que avanzaban a través del sistema.

Más información

#HablemosDeSeguridad

Vía @wired

Ataques cibernéticos a la cadena de suministro aumentan 78% en un año.

Los ataques cibernéticos vulneran los sistemas de los equipos y maquinaria provistos por terceros proveedores de una empresa y así introducen piezas de código malicioso que afectan otros sistemas de la organización.

Más información

#HablemosDeSeguridad

Vía @Eleconomista

Regular y analizar los datos de las tecnológicas, sólo de forma ética: expertos.

Más gobiernos apuestan por el análisis y la recopilación de datos para regular a empresas tecnológicas, pero los expertos indican que deben hacerlo de forma ética

La solicitud de datos de los usuarios, que ha puesto la discusión a flor de piel entre el gobierno de la Ciudad de México y la empresa de monopatines Grin, revive un debate que otros países ya han planteado: la regulación de los datos en las empresas de tecnología.

Y es que más allá de la discusión entre estas dos organizaciones, el acceso a los datos y el análisis que empiezan a hacer gobiernos es una tarea que podría representar retos en cómo se gestionan estos nuevos recursos. De acuerdo a Alberto Otero, socio responsable de Inteligencia Artificial en everis, una de las entidades que idealmente debe estar presente en las agencias digitales de gobierno son las oficinas éticas.

“En Europa hay un ejemplo de cómo los ayuntamientos trabajan con oficinas éticas y así como tienes una secretaría de gobierno usual y éstas tienen debajo diferentes ámbitos de trabajo, lo mismo sucede en el caso de las oficinas éticas en donde se asegura que las bases de datos de las oficinas sean confiables, estén bien resguardadas y gestionadas”.

Más información

#HablemosDeSeguridad

Vía @ExpansiónMX