Ciberseguridad – del 28 de noviembre de 2018

Ciberseguridad

 

Próximo gobierno podría ser extorsionado o chantajeado por quienes utilizaron malware Pegasus: R3D

Aristegui Noticias

Redacción AN

27 de noviembre de 2018

Informativo

 

Las personas que hayan obtenido información a través del software Pegasus podrían utilizarla para extorsionar, chantajear o intimadar no sólo a periodistas o defensores de derechos humanos sino al próximo gobierno, afirmó Luis Fernando García, director de la Red en Defensa de los Derechos Digitales (R3D).

“Eso debe alarmar no sólo a las personas que fueron espiadas sino a la sociedad en su conjunto. Qué certeza podemos tener de que nuestros gobernantes no están sometidos a este tipo de extorsión si no resolvemos este panorama. Si no sabemos quién fue espiado, cómo fue espiado, por quién fue espiado, qué información se obtuvo, cómo se utilizó. Mientras no esclarezcamos esto siempre habrá un riesgo gravísimo, no nada más para la privacidad, la seguridad de las personas espiadas, sino para la integridad de las instituciones mexicanas”, dijo.

En #MesaDeAnálisis con la periodista Carmen Aristegui, Ismael Bojórquez, director de Río Doce, comentó que él y su compañero, Andrés Villarreal, jefe de Información del semanario, se percataron que habían sido víctimas del malware Pegasus dos o tres días después del asesinato del periodista Javier Valdez, el 15 de mayo de 2017.

“Andrés Villarreal, quien es nuestro jefe de Información, me comenta que le habían llegado mensajes muy raros, que tenían que ver con información, otros con relaciones personales, otros sobre el caso de Javier, donde involucran al Cártel de Jalisco Nueva Generación, y anexaban un link para darle clic al contenido”, abundó.

Luis Fernando García recordó que los asesinos se llevaron la computadora, el teléfono y algunos documentos de Javier Valdez, lo cual “genera dudas sobre si hay más casos de periodistas asesinados que estaban bajo vigilancia”.

Si bien el director de R3D celebró que los comunicadores de Ríodoce no dieran click en los mensajes, se mostró preocupado, ya que a pesar de las denuncias que había desde agosto de 2016, se siguió utilizando el software Pegasus con total impunidad.

“Mientras el presidente saliente, Enrique Peña Nieto, anunciaba medidas para la libertad de expresión, el 17 de mayo (de 2017), estaban siendo atacados con Pegasus periodistas y colegas de Javier Valdez“, dijo.

Asimismo, señaló que estos casos siguen sin esclarecerse y, por lo tanto, no se sabe cuántas personas fueron espiadas de manera exitosa y qué hicieron con esa información.

“Mientras las víctimas y la sociedad en general no sepamos qué fue lo que pasó, creo que todos estamos en riesgo, los periodistas están en riesgo, e incluso las instituciones democráticas. No tengo ninguna evidencia para señalarlo, pero me parecería muy extraño que gente que va a tomar el gobierno en unos días no fuera también objeto de un ataque“, sostuvo.

Sobre la revisión que hará el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) para verificar si la Procuraduría General de la República (PGR) incumplió la ley al recolectar datos personales de periodistas y activistas sociales mediante el software Pegasus, el activista dijo que “es una decisión muy positiva”.

“Tenemos la expectativa de que el nuevo gobierno, el nuevo fiscal, tengan mayor disposición para investigar, ya que en esta administración no ha habido voluntad política… La investigación del INAI puede encontrar obstáculos sino hay decisión del próximo gobierno y del fiscal para que se investigue”, añadió.

Al hablar del asesinato de Valdez, el director de Ríodoce explicó que el pasado 22 de noviembre, la PGR acusó formalmente a Heriberto Picos, alias “El Koala”, uno de los autores materiales.

“Se está pidiendo la pena máxima en Sinaloa, que son 50 años de cárcel, pero este es un proceso que va a todavía durar mucho. Yo siempre he dicho que me parece que la PGR está en la línea correcta, pero el temor de nosotros es que no tenga la capacidad para demostrar con pruebas contundentes que ellos fueron, porque además obstaculizarían la parte que sigue, que es el autor intelectual“, agregó.

El director de R3D anticipó que este martes a las 12 del día se realizará una conferencia en el Centro de Derechos Humanos Miguel Agustín Pro Juárez, en la que junto con Artículo 19 y Social TIC, hablará sobre este caso y exigirá al próximo gobierno que continúe con la investigación.

A continuación la #MesaDeAnálisis completa:

[hr]

Ciberseguridad

 

Fortalecerán bancos control de hackeos

Reforma

Jessika Becerra

28 de noviembre de 2018

Informativo

 

Los bancos deberán fortalecer los controles para evitar ciberataques, según reglas publicadas en el Diario Oficial, que establecen las acciones que deberá tomar el jefe de seguridad de información de cada banco con base a los indicadores de seguridad de lo que debe desarrollar.

Estos indicadores se relacionan con fraude interno y externo, seguridad de los sistemas, incidencias en los negocios, así como fallos en los sistemas.

Mediante ataques a los proveedores de conexión al Sistema de Pagos Electrónico Interbancario (SPEI), Banjército, Inbursa, Banorte, la casa de cambio Kuspit y recientemente AXA, han sufrido ataques cibernéticos este año, además del Banco Nacional de Comercio Exterior (Bancomext).

Según las disposiciones, el jefe de seguridad de los bancos debe evaluar los indicadores, los cuales deberán ajustarse a ciertos umbrales. En caso de definir umbrales diferentes, deberá documentar el motivo, el cual deberá estar alineado al nivel de tolerancia al riesgo de la Institución.

El jefe de seguridad también deberá definir planes de remediación cuando los resultados de la evaluación arrojen valores que se encuentren dentro de los umbrales medios y altos de riesgo.

A su vez, el funcionario deberá dar mantenimiento continuo, ya sea para agregar, eliminar o actualizar los indicadores claves de riesgo y de desempeño de seguridad de la información ya existentes, los cuales siempre deberán estar alineados a la estrategia de la institución y al Plan Director de Seguridad de la información de esta.

Las nuevas disposiciones señalan que a fin de estar en condiciones de hacer frente a riesgos y ataques informáticos que pudieran ocasionar afectaciones a las instituciones de crédito y a la realización de operaciones con los clientes, resulta conveniente fortalecer el marco normativo sobre seguridad de sus sistemas e infraestructuras tecnológicas.

A su vez, mencionan que es necesario establecer un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan las operaciones de los bancos y la confidencialidad, integridad y disponibilidad de la información.

[hr]

Ciberseguridad

 

Fortalecerán bancos control de hackeos

Mural

Jessika Becerra

28 de noviembre de 2018

Informativo

 

Los bancos deberán fortalecer los controles para evitar ciberataques, según reglas publicadas en el Diario Oficial, que establecen las acciones que deberá tomar el jefe de seguridad de información de cada banco con base a los indicadores de seguridad de lo que debe desarrollar.

Estos indicadores se relacionan con fraude interno y externo, seguridad de los sistemas, incidencias en los negocios, así como fallos en los sistemas.

Mediante ataques a los proveedores de conexión al Sistema de Pagos Electrónico Interbancario (SPEI), Banjército, Inbursa, Banorte, la casa de cambio Kuspit y recientemente AXA, han sufrido ataques cibernéticos este año, además del Banco Nacional de Comercio Exterior (Bancomext).

Según las disposiciones, el jefe de seguridad de los bancos debe evaluar los indicadores, los cuales deberán ajustarse a ciertos umbrales. En caso de definir umbrales diferentes, deberá documentar el motivo, el cual deberá estar alineado al nivel de tolerancia al riesgo de la Institución.

El jefe de seguridad también deberá definir planes de remediación cuando los resultados de la evaluación arrojen valores que se encuentren dentro de los umbrales medios y altos de riesgo.

A su vez, el funcionario deberá dar mantenimiento continuo, ya sea para agregar, eliminar o actualizar los indicadores claves de riesgo y de desempeño de seguridad de la información ya existentes, los cuales siempre deberán estar alineados a la estrategia de la institución y al Plan Director de Seguridad de la información de esta.

Las nuevas disposiciones señalan que a fin de estar en condiciones de hacer frente a riesgos y ataques informáticos que pudieran ocasionar afectaciones a las instituciones de crédito y a la realización de operaciones con los clientes, resulta conveniente fortalecer el marco normativo sobre seguridad de sus sistemas e infraestructuras tecnológicas.

A su vez, mencionan que es necesario establecer un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan las operaciones de los bancos y la confidencialidad, integridad y disponibilidad de la información.

[hr]

Ciberseguridad

 

México es el país con más fraude digital de América Latina después de Brasil

El Economista

León A. Martínez

27 de noviembre de 2018

Género: Informativo

 

Las empresas de servicios financieros en México pierden 3.8 veces el monto del valor de cada transacción fraudulenta, pues al costo relacionado con la transacción se añade el de los gastos derivados de la investigación del ilícito, así como los intereses generados y otros más.

En América Latina, México es en términos de volumen el segundo país con mayor incidencia de fraudes digitales, después de Brasil. La principal modalidad del fraude por canales digitales es el robo de identidad. Con la sustitución de la banda magnética por chip como medida de seguridad en las tarjetas de crédito, los delincuentes realizaron el tránsito a los canales digitales, y ahora tienen en las transacciones realizadas con las tarjetas de crédito su principal objetivo. 45% del total de los fraudes se realizan contra esta forma de pago.

Las empresas de servicios financieros en México pierden 3.8 veces el monto del valor de cada transacción fraudulenta, pues al costo relacionado con la transacción se añade el de los gastos derivados de la investigación del ilícito, así como los intereses generados y otros más. Esta proporción es de 2.92 veces para el sector financiero de Estados Unidos.

Los datos están contenidos en el estudio titulado El Verdadero Costo del Fraude en México 2018, realizado por LexisNexis, firma especializada en servicios de investigación empresarial y gestión de riesgos, y publicado este martes.

Para los minoristas y el e-commerce en México, los otros dos grandes sectores afectados por los fraudes por canales digitales, la proporción de pérdidas por cada transacción fraudulenta es de 2.8 veces el monto de la operación para los primeros, y de 3.03 veces para los segundos. A las pérdidas por la transacción fraudulenta debe sumar aranceles, intereses, reemplazo de mercadería y redistribución por monto de fraude, por los cuales el comerciante es responsable.

Las empresas de servicios financieros sufren aproximadamente tres veces más transacciones fraudulentas y ocho veces el monto en pesos que las empresas minoristas y de comercio electrónico, apunta el estudio de LexisNexis.

Canales digitales

El fraude por canales digitales significa para las empresas afectadas pérdidas de 1.8% de sus ingresos al año, mismas que deben absorber. Ante la falta de implementación por parte de las empresas de un número mayor y mejores medidas de seguridad para mitigar estos riesgos, en el país, cuatro de cada 10 transacciones fraudulentas tienen éxito.

Los factores que han contribuido al crecimiento de este fenómeno en México son el tamaño de su economía, ser el líder regional en crecimiento del comercio móvil y el e-commerce, el alto volumen de bienes digitales —40% del total de e-commerce, y que se divide en música, películas, software— que se adquieren en el país, así como el hecho de que los canales para las transacciones son principalmente los digitales.

En México, 30% de las transacciones se realizan en persona, porcentaje que superan en conjunto las realizadas por el canal en línea (28%) y el canal móvil (20%), seguido de las transacciones realizadas por teléfono, con 11% del total.

Así también, el mayor porcentaje de fraudes se realiza por los canales digitales. El canal en línea (38%) de las empresas e instituciones es el más usado por los delincuentes, seguido del canal móvil (27 por ciento). Los fraudes realizados en transacciones de persona a persona alcanza la cuarta parte del total, con 25 por ciento.

Mayores pérdidas por falsos positivos de fraudes

En entrevista, Héctor Sánchez, consultor de LexisNexis y uno de los presentadores del estudio, señaló que las pérdidas para las empresas derivadas de las transacciones fraudulentas son menores a las que se siguen de un falso positivo, es decir, de cuando una transacción lícita es confundida por los filtros por una fraudulenta.

Héctor Sánchez destacó que hasta el tercer trimestre del año, las pérdidas globales por fraude fueron de 20,000 millones de dólares, pero las derivadas por los falsos positivos se calculan en 111,000 millones de dólares, por lo que indicó que las empresas deben mejorar en sus dispositivos para detectar fraudes no sólo para diminuir las pérdidas, sino también para aumentar sus ganancias al captar lo que ahora están dejando de ingresar debido a los falsos positivos.

Mitigación de fraudes por las empresas

De entre 13 soluciones de mitigación de fraudes, agrupadas en tres grupos: Verificación básica y soluciones de transacción, Soluciones de autenticación de identidades e Identidad avanzada y soluciones de verificación de transacciones, las empresas de los distintos sectores afectados por el fraude por canales digitales usan en promedio 4.6 soluciones.

El estudio indica que no es tan importante el número de soluciones usadas, como lo es el seleccionar las más adecuadas para que en combinación disminuyan los riesgos para la empresa. Como ejemplo, el uso de ID de dispositivo usado en la transacción, en combinación con la geolocalización y el seguimiento en tiempo real, puede disminuir significativamente los índices de falsos positivos.

Entre las recomendaciones para enfrentar el reto de ciberseguridad, el estudio señala que es crítico abordar tanto la identidad como el fraude relacionado con la transacción. La verificación / autenticación de la identidad puede lograrse si las empresas recurren a un proveedor de soluciones que proporcione capacidades de analítica de datos para generar algoritmos que coadyuven no sólo a disminuir los riesgos de fraude al identificar perfiles de usuario, sino también de mejorar la experiencia del usuario en las transacciones.

[hr]

Ciberseguridad

 

Gran Bretaña y Holanda multan a Uber por no proteger los datos de sus clientes

El Economista

AP

27 de noviembre de 2018

Género: Informativo

 

Las autoridades británicas mencionaron una “serie de fallas de seguridad evitables” que permitieron a los ciberpiratas descargar los datos de unos 2.7 millones de clientes durante un incidente en 2016.

Uber Technologies Inc. recibió una multa equivalente a casi 1.2 millones de dólares de las autoridades británicas y holandesas por no proteger los datos de sus clientes durante un ciberataque en 2016.

La Comisión Británica de Información informó el martes que le aplicó una multa de 385,000 libras (491,000 dólares) y Holanda de 600,000 euros (679,000 dólares) por violar las leyes de protección.

Las autoridades británicas mencionaron una “serie de fallas de seguridad evitables” que permitieron a los hackers descargar los datos de unos 2.7 millones de clientes durante un incidente en octubre y noviembre del 2016.

El director de investigaciones de la comisión de información, Steve Eckersley, dijo que Uber demostró “un descuido total hacia los clientes y choferes cuya información personal fue robada” en el incidente.

“En ese momento no se tomó medida alguna para informar a los afectados por la falla de seguridad, ni se les ofreció ayuda o apoyo”, declaró el funcionario. “Ello los dejó vulnerables”.

Funcionarios holandeses dijeron que Uber no denunció la falla de seguridad en las 72 horas siguientes como exige la ley. La falla afectó a 174,000 usuarios, añadieron.

Uber declaró en un comunicado que “se complace en cerrar este capítulo sobre lo ocurrido en el 2016”.

Añadió que desde entonces ha implementado una serie de medidas de seguridad.

“Aprendemos de nuestros errores”, dijo la empresa estadounidense, enumerando una serie de modificaciones que ha hecho a nivel gerencial en los meses recientes.

[hr]

Ciberseguridad

 

Directores, responsables de reacción ante ciberataques

El Economista

Edgar Juárez

27 de noviembre de 2018

Género: Informativo

 

Deberán contar con un oficial en jefe de seguridad de la información, cargo de primer nivel.

La Comisión Nacional Bancaria y de Valores (CNBV) publicó este martes las nuevas reglas que deberán cumplir, de forma escalonada, los bancos en materia de ciberseguridad.

Entre estas medidas destaca que los bancos deberán contar con un oficial en jefe de seguridad de la información, que estará en los más altos niveles de la organización, sólo por debajo del director general, al cual le rendirá cuentas.

También se establece que el director será el responsable de la implementación del sistema de control interno en materia de seguridad de la información; lo mismo que de aprobar el plan director de seguridad y contratar hackers éticos; además de informar, de forma rápida, cualquier incidencia, entre otras medidas.

Estos cambios se dan luego de los ciberataques que sufrieron los sistemas de conexión de algunos bancos entre abril y mayo de este año, y que derivaron en pérdidas para las instituciones por alrededor de 300 millones de pesos.

“A fin de estar en condiciones de hacer frente a riesgos y ataques informáticos que pudieran ocasionar afectaciones a las instituciones de crédito y a la realización de operaciones con los clientes, resulta conveniente fortalecer el marco normativo sobre seguridad de sus sistemas e infraestructuras tecnológicas, así como los controles internos”, refiere el documento publicado en el Diario Oficial de la Federación (DOF).

En las nuevas disposiciones la CNBV explica que las instituciones deberán contar con una persona que se desempeñe como oficial en jefe de seguridad de la información, la cual será designada por el director general y ocupará el nivel inmediato inferior al de éste, debiéndole reportar de manera directa.

“Será el responsable en materia de seguridad de la información de la institución y deberá responder a los requerimientos formulados por las autoridades y al interior de la institución en dicha materia”, apunta el órgano regulador.

Entre otras tareas del oficial en jefe están: elaborar el plan director de seguridad, gestionar las alertas, así como los incidentes y coordinar y presidir el equipo para la detección y respuesta de éstos, entre otras.

“El oficial en jefe de seguridad de la información podrá apoyarse, para el ejercicio de sus funciones, en representante de las diferentes unidades de negocio”, precisa.

Estrategia desde arriba

Las nuevas disposiciones emitidas por la CNBV refieren que el director general de la institución será responsable también de la implementación del Sistema de Control Interno en materia de seguridad de la información que procure su confidencialidad, integridad y disponibilidad, y que cumpla ciertos requisitos como cifrado de la información, evite accesos no autorizados y otros controles que permitan evitar la filtración.

De igual forma, el director será responsable de aprobar el plan de seguridad, el cual debe estar alineado con la estrategia de negocio de la institución, así como definir y priorizar los proyectos, con el objetivo de reducir la exposición a los riesgos tecnológicos y la materialización de incidentes, hasta niveles aceptables en los términos que defina el consejo, a partir de un análisis de la situación.

“Para la aprobación de dicho plan, el director general deberá verificar que contenga las iniciativas dirigidas a mejorar los métodos de trabajo existentes, y podrá contemplar los controles requeridos conforme a las disposiciones aplicables. El director general deberá informar al consejo el contenido del plan y contar con evidencia de su implementación”.

También tendrá que contratar a un tercero independiente, con personal que cuente con capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia, para la realización de pruebas de penetración en los diferentes sistemas y aplicativos de la institución, con la finalidad de detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga o pueda poner en riesgo la información y patrimonio de los clientes y de la propia entidad.

“Tal revisión deberá incluir la verificación de la integridad de los componentes de hardware y software que permitan detectar alteraciones a éstos”, refiere.

De igual forma, deberá realizar la búsqueda de alertas de fraude, así como de amenazas, tales como campañas de correos fraudulentos, sitios de Internet falsos, divulgación de bases de datos con información del público usuario, alteración de cajeros automáticos o terminales punto de venta y suplantación de identidad, entre otros.

Informar de manera inmediata

El documento agrega que, en caso de que se presente un incidente de seguridad de la información, el director general deberá prever lo necesario para hacer del conocimiento de la CNBV de forma inmediata. Ahí se deberá indicar la fecha y hora del inicio y, en su caso, la indicación de si continúa o ha concluido.

Los incidentes de seguridad de la información que deberán reportarse de forma inmediata serán aquellos que generen pérdidas económicas, de información o interrupción de los servicios; su modo de operación, incluyendo las vulnerabilidades explotadas que puedan replicarse a otras instituciones; y que puedan representar una afectación a los clientes, a la estabilidad del sistema financiero de pagos, o bien los sistemas centrales de pagos, a sus prestadores de servicios, cámaras de compensación o a las instituciones para el depósito de valores.

También, se deberá llevar a cabo una investigación inmediata sobre las causas que generaron el incidente de seguridad de la información, y establecer un plan de trabajo que describa las acciones a implementar para eliminar o mitigar los riesgos y vulnerabilidades que lo propiciaron.

[hr]

Ciberseguridad

 

Uso de dispositivos móviles eleva riesgo de fraude en comercio electrónico: estudio

Milenio

Míriam Ramírez

28 de noviembre de 2018

Informativo

 

Las transacciones a través de dispositivos móviles aumentan el riesgo de fraude en México, un mercado que hoy ocupa el segundo lugar en vulnerabilidad a ciberataques en América Latina, reveló el estudio El verdadero costo del fraude en México.

El documento que presentó la firma LexisNexis Risk, refiere que 68 por ciento de los minoristas mexicanos que utilizan canal móvil, venden productos y servicios digitales; 58 por ciento acepta dichas transacciones móviles con la finalidad de crecer el negocio, mientras que 52 por ciento lo hace por comodidad del cliente.

“Siendo el canal móvil y digital el menos seguro, aquellos que venden productos o servicios digitales enfrentan el desafío de tener una mayor necesidad de detectar los fraudes y la verificación de identidad en tiempo real”, indicó Daniel Ortiga, director de Desarrollo de Negocio para América Latina de la firma.

Manifestó que a nivel mundial, durante el primer trimestre de este 2018 se reportaron 200 billones de dólares en pérdidas por fraude en transacciones de comercio electrónico; además, un análisis posterior reveló que se perdieron 111 billones por transacciones erróneas.

Y es que por cada transacción fraudulenta, el precio para las compañías o individuos es en realidad 3.75 veces el valor de la transacción perdida.

“El desafío más importante en México es la verificación de identidad del comprador, un 51 por ciento afirma que hay que prestarles mucha atención a las compras digitales y cuando éstas son por medio de dispositivos móviles, el 54 por ciento también se enfoca en rastrear posibles fraudes en los movimientos realizados”, afirma el estudio.

Es de destacar que esta primera edición se realizó en septiembre de 2018 con 337 entrevistas en 5 mercados de América Latina; en México se llevaron a cabo 75 entrevistas con especialistas de tres sectores: menudeo, comercio electrónico y servicios financieros.

 

 

etius

noviembre 28, 2018

0 Comments

Contenido relacionado

Vinculación

Vinculación Tienes ideas para un torrente de iniciativas:  eventos, intervenciones, actividades. Incitas a la gente a pensar y debatir. Colaborar con otros estudiantes creativos y con productores e investigadores profesionales te motiva. El PAP ETIUS Comunicación y...

Producción

Habilidad: Producción Tienes ideas flamantes. Eres ágil produciendo contenido original y quieres un trabajo creativo, pero con fondo y complejidad. En el PAP ETIUS Comunicación y cultura puedes desarrollar esta habilidad, además de participar en debates de temas...

Investigación

Habilidad: Investigación Tienes la semillita de analizar todo, estás al pendiente de los temas recientes e identificar fake news como si hicieras fotosíntesis. En ETIUS Comunicación y Cultura hay un lugar para que desarrolles y compartas esta habilidad además de...