Tu suscripción será suspendida: el falso correo que utiliza logo de Netflix para robar datos

Animal Político

Redacción

08 noviembre de 2017

Netflix se ha convertido en un fenómeno de la televisión en internet: más de 110 suscriptores alrededor del mundo y producciones propias —de “Stranger Things” a “House of Cards” y “Orange is The New Black”— que se han convertido en íconos de la cultura popular.

Pero con la fama, llegaron los riesgos. Su nombre y su marca han servido también de pantalla para muchos intentos de estafa y robo de datos a través de la red.

El más reciente llegó en forma de correo electrónico. Es un mensaje que ha sido enviado a varios suscriptores del servicio en Estados Unidos con el asunto de “notificación de suspensión“.

Cuando se abre el correo, se puede leer un mensaje con el logo de la empresa donde se le informa a los usuarios que hay un “problema con el pago” y que se necesita “reiniciar su membresía” con la introducción de los datos bancarios.

El mail, que está en inglés, dice así: “No hemos podido validar tu información de pago para el siguiente ciclo de cobro de tu subscripción, por lo que vamos a tener que suspender tu cuenta si no recibimos una respuesta en las próximas 48 horas”.

Y continúa: “Obviamente queremos tenerte de vuelta, por lo que únicamente debes reiniciar tu cuenta (link) para ingresar tus datos nuevamente y de esa forma continuar disfrutando de todos las series de forma ininterrumpida”.

El mail está acompañado por varias imágenes de las series más recientes de la popular plataforma, como “The Crown” o “House of Cards”. Y al momento se desconoce si llegó a algún usuario de Netflix en América Latina.

De acuerdo al portal de noticias Deadline, el link que está en el texto, que fue enviado a partir de este domingo 5 de noviembre, conduce a una página que no es la oficial de la plataforma de televisión online.

Lo cierto es que no es la primera vez que se utiliza la marca de Netflix para inducir a una estafa.

En agosto pasado, la policía española alertó sobre el uso de una falsa cuenta de Twitter para atraer a incautos a entregar sus datos personales.

BBC Mundo se contactó con Netflix para saber si había algún pronunciamiento sobre el tema, pero aún no se ha recibido ninguna respuesta.

 

Marissa Mayer se disculpa por violaciones de seguridad en Yahoo y culpa a Rusia

CNN Expansión

Reuters

08 noviembre de 2017

La expresidenta ejecutiva de Yahoo Marissa Mayer se disculpó este miércoles por dos gigantescas violaciones de seguridad en la compañía, y culpó a agentes rusos por al menos una de ellas, en una audiencia legislativa sobre el creciente número de ciberataques contra grandes empresas estadounidenses.

“Estos robos se produjeron durante mi mandato como presidenta ejecutiva, y quiero disculparme con cada uno de nuestros usuarios”, sostuvo Mayer ante la Comisión de Comercio del Senado estadounidense.

Verizon adquirió la mayoría de los activos de Yahoo Inc en junio, el mismo mes en el que Mayer dejó su cargo. En octubre, la empresa dijo que una investigación mostró que 3,000 millones de cuentas de sus usuarios se vieron afectadas por el robo de datos en 2013, lo que triplica la estimación previa de la mayor violación de seguridad informática de la historia.

En marzo, fiscales federales acusaron a dos agentes de inteligencia rusos y a dos hackers de planear el robo de 500 millones de cuentas de Yahoo en 2014, en la primera acción de este tipo del Gobierno estadounidense contra espías rusos por delitos cibernéticos.

Esas acusaciones se dieron en medio de la controversia relativa al supuesto respaldo del Kremlin a los hackeos al proceso de la elección estadounidense en 2016 y a la posible relación entre funcionarios rusos y allegados a la campaña del presidente Donald Trump. Rusia ha negado todas las acusaciones.

El senador John Thune, el republicano que preside la comisión de Comercio, le preguntó a Mayer por qué tomó tres años identificar la violación de seguridad o cuantificarla.

Mayer dijo que Yahoo no había podido identificar cómo se había producido la violación de datos de 2013 y que se enteró del incidente cuando el Gobierno estadounidense presentó los datos en noviembre de 2016. Destacó que hasta las defensas más sólidas no son suficientes para afrontar ataques de ese tipo.

 

Antes de comprar en línea, estas son las letras chiquitas de los ecommerce

CNN Expansión

Reuters

08 noviembre de 2017

Noviembre es uno de los meses más importantes para el ecommerce en México por las diversas dinámicas y días de ofertas que celebra la industria del comercio electrónico en el país: Buen Fin, Black Friday y Cybermonday.

La euforia que desatan las ofertas disponibles durante estos días puede desviar la atención de las políticas de privacidad de los sitios de ecommerce y hacer que los usuarios entreguen sus datos sin supervisar el trato y el compromiso que cada una de las tiendas le brindan a su información personal.

Expansión hizo un análisis de las políticas de los portales de comercio electrónico más destacados en el país. A continuación los hallazgos.

MERCADO LIBRE

El sitio de comercio latinoamericano con más de 200 millones de usuarios en la región asegura contar con una serie de medidas para la protección de los datos. Sin embargo, en caso de violación de sus sistemas se aparta de la responsabilidad y del mal uso que le puedan dar a estos.

La firma precisa en su política de privacidad, vigente desde 2012, que entre los datos que recaba y almacena de los usuarios está el nombre, número de teléfono del domicilio, dirección de correo electrónico, entre otros.

En un correo electrónico en donde fue cuestionada por Expansión sobre las medidas de seguridad, Mercado Libre respondió que cuenta con diversos procesos y controles técnicos.

“Incluyendo detección de vulnerabilidades, pruebas de intrusión y proyectos de ingeniería social, siguiendo los más altos estándares de la industria de internet en el mundo”, detalló. “Dentro del área de Seguridad Informática, existen equipos especializados en proteger nuestras bases de datos, infraestructura y aplicaciones web”, agregó.

La firma también cuenta con un equipo de aseguramiento de datos dedicado a proteger los datos más sensibles de los usuarios a través de normativas internacionales, tales como PCI DSS para la protección de tarjetas de crédito.

Otras medidas que aborda es realizar pruebas de intrusión e incluso llevan a cabo pruebas internas que consiste en la formación de equipos de atacantes para detectar vulnerabilidades.

¿Pero qué pasa si violan las medidas de Mercado Libre?

En la política de privacidad, Mercado Libre confirma no hacerse responsable ante violaciones o intromisión a sus sistemas y tampoco el mal uso que se pueda dar de los datos sustraídos.

“Mercado Libre no se hace responsable por interceptaciones ilegales o violación de sus sistemas o bases de datos por parte de personas no autorizadas. MercadoLibre, tampoco se hace responsable por la indebida utilización de la información obtenida por esos medios”, precisa.

Mercado Libre explicó que, gracias a las medidas preventivas que aplican en sus procesos, no han sufrido “ninguna intromisión que ponga en riesgo los datos de nuestros usuarios”.

AMAZON

La firma fundada por Jeff Bezos recaba información similar que el mismo usuario añade para comenzar a utilizar la plataforma de comercio electrónico, de acuerdo con la Política de Privacidad. Es decir nombre, correo electrónico y otra información como puede ser datos relacionados a cuentas bancarias. Y señala que no participa en la venta de la misma a terceros y sólo comparte los datos con filiales propiedad de la empresa.

Amazon señala que para protección de los datos personales de sus usuarios hace uso del software Secure Sockets Layer (SSL) que se encarga de codificar la información que el usuario ingresa.

De acuerdo con la firma de ciberseguridad Symantec, este certificado garantiza que los datos entre usuarios y sitios se transfieran de forma segura y que sean imposible de leer. El software utiliza algoritmos de cifrado para codificar los datos en tránsito, evitando así que ante una intromisión los piratas informáticos los puedan leer.

Sin embargo la versión que utiliza Amazon no es la más actualizada de acuerdo con la firma de seguridad cibernética. “TSL (Transport Layer Security) es una actualización, más segura que la SSL”, detalla.

“Amazon innova constantemente en beneficio de sus clientes y vendedores externos, a fin de garantizar que su información es segura (…) Nuestros servidores seguros encriptan toda su información, incluyendo aquella referente a sus medios de pago y datos personales, como nombre, dirección o teléfono”, detalló Amazon a Expansión a través de correo electrónico sobre las medidas extras del sitio de ecommerce.

En el escrito, Amazon dijo también trabajar con instituciones financieras en el país y alrededor del mundo para garantizar que las transacciones sean completamente seguras.

Sobre si Amazon asume la responsabilidad ante un ataque, la firma respondió: Tomamos las medidas adecuadas para proteger la información de nuestros clientes y –en este sentido– cumplir con la legislación local referente a este tema.

La compañía descartó responder si ha sufrido algún ataque.

LINIO

En el caso de Linio, la firma se hace responsable de los datos personales (nombre, teléfonos de contacto, dirección postal, correo electrónico, datos de facturación, datos de tarjeta de crédito o débito) de sus usuarios de acuerdo con su Política de Privacidad. Sin embargo, también informa que comparte dicha información con otras organizaciones financieras para que éstas ofrezcan sus productos.

En un correo electrónico, Mariana del Río del área de Datos Personales del sitio de comercio electrónico aseguró que el tratamiento que le da Linio a los datos personales en conforme Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

La legislación, en resumen, tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Por otra parte, Linio indica a sus usuarios conforme la LFPDPPP lo recomienda, que estos autorizan al portal de ecommerce a compartir su información con instituciones financieras de banca múltiple, para contacto y comercialización de sus productos o servicios financieros.

¿QUÉ DICE LA LEGISLACIÓN?

La LFPDPPP asegura, entre otras cosas, que el responsable deberá de velar por el cumplimiento de los principios de protección de datos. Además “deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado”.

Y en caso de que se sufra un ataque o se afecte de forma significativa los derechos patrimoniales o morales de los titulares, los responsables deberán de informar de forma inmediata a los titulares de los datos.

Como sanciones, la legislación establece castigos que van de los 100 a los 320,000 días de salario mínimo.

 

Buscan hackers vulnerar a IP energética

Mural
NEGOCIOS / Staff
07 noviembre 2017

Tres de cada 10 ataques cibernéticos a empresas de energía, petróleo y gas buscan afectar su tecnología operativa y vulnerar su productividad, de acuerdo con Siemens y Tenable.

“El número de ciberataques en el mundo continúa aumentando, con las tecnologías operativas como objetivo principal y ahora representan 30 por ciento de todos los ciberataques”, afirmó Amit Yoran, director general de Tenable, firma especializada en exposición cibernética.

Las empresas que utilizan tecnología operativa afrontan un desafío de seguridad fundamental: comprender todas las exposiciones que tienen en el contexto de una superficie de ataque moderna que evoluciona, añadió el directivo.

En un comunicado emitido por Siemens, donde se anunció la alianza con Tenable en seguridad, dijo que las empresas del sector energético enfrentan ciberataques más agresivos cada día.

“Hemos sido testigos del crecimiento de la nube, los dispositivos móviles y el internet de las cosas; ahora, con la convergencia de las tecnologías de la información y las tecnologías operativas ha aumentado la vulnerabilidad de los sistemas críticos de las empresas del sector frente a ataques y adversarios cada vez más agresivos”, añadió el especialista.

Tenable desarrolló una solución que detecta y gestiona la vulnerabilidad de los activos industriales, mientras que Siemens se encargará de ofrecerla como servicio a las empresas para proteger sus activos de tecnología operativa críticos, según el comunicado.

La alianza puede ayudar a las organizaciones a abordar el reto de conocer dónde son más vulnerables, expuso Siemens.

 

Niegan que app vulnere datos personales

Mural
Héctor Gutiérrez
07 noviembre 2017

Consejeros y funcionarios del Instituto Nacional Electoral (INE) negaron que la aplicación móvil diseñada para la recolección de firmas ciudadanas vulnere los datos personales de los ciudadanos, como denunció el equipo de María de Jesús “Marichuy” Patricio.

Bárbara Zamora, abogada del Concejo Indígena de Gobierno (CIG), denunció este martes en conferencia de prensa que la herramienta digital del INE almacena ilegalmente la foto de la credencial del ciudadano que acepta firmar, así como la clave de elector, la huella y la fecha de emisión.

En la conferencia también se proyectó un video sobre carpetas que contienen los datos de los ciudadanos y que además saturan la memoria de los teléfonos.

En entrevista, el director ejecutivo de Prerrogativas y Partidos Políticos, Patricio Ballados, afirmó que los datos personales de los ciudadanos están encriptados y son borrados automáticamente del celular una vez que son enviados al INE.

Precisó que los datos de los ciudadanos sólo se almacenan en el teléfono de manera temporal y en archivos encriptados que no pueden ser abiertos cuando las firmas, por falta de conexión a internet, aún no se han enviado al organismo electoral.

“Para garantizar que no se pierda la información, los datos se quedan en el teléfono hasta que son enviados exitosamente al INE, de lo que se trata es que los auxiliares no pierdan el trabajo realizado”, dijo.

“Una vez que se concluye después de la firma un trámite, esta información se encripta y no es accesible por los auxiliares y una vez que es transmitida exitosamente se borra de los teléfonos”.

Ballados explicó que, incluso, el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI) validó el mecanismo.

“Ya hemos tenido reuniones con el propio INAI, que ha validado esta protección de los datos personales”, planteó.

“(La app) es diametral mejor que el método que teníamos antes, el método tradicional, porque ahí los auxiliares se quedaban con copia de la credencial de elector con fotografía”

El director ejecutivo del Registro Federal de Electores, René Miranda, reiteró que la información de los ciudadanos está encriptada; sin embargo, se comprometió a revisar la información presentada por el equipo de “Marichuy” Patricio.

“Con todo gusto lo reviso, la verdad es que tenemos muy probada esa cuestión del borrado de los datos, la encriptación tenemos nosotros la llave”, mencionó.

El consejero Benito Nacif, por su parte, subrayó que no se puede acceder a la información encriptada en la aplicación.

“Lo dijeron, no sé si lo demostraron, no sé cómo pueden desencriptar esa información”, dijo.

 

Una tercera parte de ataques cibernéticos busca afectar operaciones de petroleras: Siemens

MVS

Notimex

8 de noviembre de 2017

Dijo que las organizaciones que utilizan tecnología operativa afrontan un desafío de seguridad fundamental.

El 30 por ciento de los ataques cibernéticos a empresas de energía, petróleo y gas en el mundo, van dirigidos a afectar su tecnología operativa (TO) y vulnerar su productividad, advirtió la multinacional alemana Siemens.

Ante estos riesgos y la recurrencia de ataques que crecen de forma exponencial, Siemens, proveedora de diversas tecnologías al sector industrial, anunció una alianza estratégica con la estadunidense Tenable Inc., especializada en exposición cibernética.

El objetivo es lanzar la solución “Industrial Security” de Tenable, que Siemens ofrecerá como un servicio para ayudar a las empresas a asegurar y proteger sus activos de TO críticos, ya que detecta y gestiona la vulnerabilidad de los activos industriales.

Ahora que el riesgo de ciberataques contra infraestructuras críticas ha crecido exponencialmente, “los líderes mundiales en ciberseguridad y tecnología operativa se han unido para lanzar esta solución que Siemens va a ofrecer a las empresas para proteger sus activos de TO críticos, indicó.

Resaltó en un comunicado que la alianza Tenable-Siemens ayudará a las organizaciones a abordar el reto de conocer dónde son más vulnerables.

“Nunca antes ha habido tanto en juego cuando se trata de ciberseguridad de infraestructuras críticas. El número de ciberataques en todo el mundo continúa creciendo, con las TO como objetivo creciente, y ahora representan 30 por ciento de todos los ciberataques”, afirmó Amit Yoran, director General de Tenable.

Dijo que las organizaciones que utilizan tecnología operativa afrontan un desafío de seguridad fundamental: la necesidad de comprender la totalidad de sus exposiciones cibernéticas en el contexto de una superficie de ataque moderna que evoluciona constantemente.

“Hemos sido testigos del crecimiento de la nube, los dispositivos móviles y el IoT, y ahora de la convergencia de las TI y las TO, que han aumentado la vulnerabilidad de los sistemas críticos frente a ataques y adversarios cada vez más agresivos”.

 

30% de los ataques cibernéticos busca afectar tecnología operativa

Unomásuno

Redacción

8 de noviembre de 2017

El 30 por ciento de los ataques cibernéticos a empresas de energía, petróleo y gas en el mundo, van dirigidos a afectar su tecnología operativa (TO) y vulnerar su productividad, advirtió la multinacional alemana Siemens.

Ante estos riesgos y la recurrencia de ataques que crecen de forma exponencial, Siemens, proveedora de diversas tecnologías al sector industrial, anunció una alianza estratégica con la estadunidense Tenable Inc., especializada en exposición cibernética.

El objetivo es lanzar la solución “Industrial Security” de Tenable, que Siemens ofrecerá como un servicio para ayudar a las empresas a asegurar y proteger sus activos de TO críticos, ya que detecta y gestiona la vulnerabilidad de los activos industriales.

Ahora que el riesgo de ciberataques contra infraestructuras críticas ha crecido exponencialmente, “los líderes mundiales en ciberseguridad y tecnología operativa se han unido para lanzar esta solución que Siemens va a ofrecer a las empresas para proteger sus activos de TO críticos, indicó.

Resaltó en un comunicado que la alianza Tenable-Siemens ayudará a las organizaciones a abordar el reto de conocer dónde son más vulnerables.

Nunca antes ha habido tanto en juego cuando se trata de ciberseguridad de infraestructuras críticas. El número de ciberataques en todo el mundo continúa creciendo, con las TO como objetivo creciente, y ahora representan 30% de todos los ciberataques”, “, afirmó Amit Yoran, director General de Tenable.

Dijo que las organizaciones que utilizan tecnología operativa afrontan un desafío de seguridad fundamental: la necesidad de comprender la totalidad de sus exposiciones cibernéticas en el contexto de una superficie de ataque moderna que evoluciona constantemente.

Hemos sido testigos del crecimiento de la nube, los dispositivos móviles y el IoT, y ahora de la convergencia de las TI y las TO, que han aumentado la vulnerabilidad de los sistemas críticos frente a ataques y adversarios cada vez más agresivos.