La Secretaría de Gobernación (Segob) de México anunció este jueves 1 de febrero que brinda acompañamiento a 50 periodistas, quienes consideran que podrían encontrarse en riesgo tras lo que calificó como “sustracción ilícita” de datos personales del Sistema de Acreditaciones de Presidencia, dada a conocer el viernes 26 de enero.

Informó que las y los comunicadores fueron atendidos por personal servidor público de la Subsecretaría de Derechos Humanos, Población y Migración de la Secretaría de Gobernación, a través del Mecanismo de Protección para Personas Defensoras de Derechos Humanos y Periodistas.

Asimismo, instalaron un módulo de orientación e información en Palacio Nacional, en donde se constató que ocho periodistas decidieron solicitar la entrevista para su incorporación al mecanismo.

“Como parte de las acciones de acompañamiento, 23 personas periodistas requirieron apoyo para iniciar una denuncia penal, por las posibles vulneraciones al tratamiento de sus datos personales.

“Además, se contactó a 32 periodistas que se encuentran incorporados al mecanismo y que acuden a la conferencia mañanera, para fortalecer el monitoreo de seguimiento y su plan de protección en caso de ser necesario”, dice el comunicado de la Segob.

Para los casos de personas periodistas que no cuentan con protección del mecanismo o se encuentran en riesgo de recibir alguna agresión, se ponen a disposición los siguientes datos de contacto:

Teléfono de emergencia: 55-39-58-56-29

Correo electrónico: mecanismo@segob.gob.mx

Redes sociales, en X: @Mecanismo_MX y Facebook: Mecanismo de Protección Federal

Londres 102, Col. Juárez, Alcaldía Cuauhtémoc, C.P. 06600, Ciudad de México, de lunes a viernes, de 09:00 a 18:00h.

¿Qué es el Mecanismo de Protección para Personas Defensoras de Derechos Humanos y Periodistas?

Protege a las personas defensoras de derechos humanos y periodistas que sufrieron agresión, amenaza o situación de violencia por ejercer su labor. Los tipos de agresiones considerados son física, psicológica, moral y económica, además de amenazas y hostigamientos.

El mecanismo brinda protección ante agresiones en contra de los comunicadores, su familia, compañeras, compañeros del gremio y/o de las organizaciones sociales.

Existen dos opciones para determinar la atención a cada caso: la primera es “urgente”, que analiza en un máximo de tres horas e informa la propuesta de plan de protección.

La segunda es de tipo “ordinario”, donde el mecanismo hace una evaluación a detalle y se propone un plan de protección; después, se informa a las autoridades competentes sobre las medidas del plan de protección y se da seguimiento al caso.

En tanto, la Junta de Gobierno del mecanismo y la persona periodista deciden qué medidas se pueden aplicar con base en el riesgo y vulnerabilidades.

Las medidas

Medidas urgentes

Conjunto de acciones y medios para resguardar de manera inmediata la vida, integridad y libertad de la persona beneficiaria.

Medidas de protección

Conjunto de acciones y medios de seguridad para enfrentar el riesgo y proteger los derechos a la vida, integridad, libertad y seguridad de la o el beneficiario.

Medidas preventivas

Conjunto de acciones y medios en favor de la persona beneficiaria para evitar la consumación de las agresiones.

Ler em português

En vigor desde el año pasado, la Ley General de Protección de Datos Personales (LGPD) aún no es familiar para todos los ciudadanos brasileños. Según una encuesta realizada por Procon-SP (Fundación de Protección y Defensa al Consumidor), sólo 35 por ciento de los participantes conocen la ley.

Las preguntas estuvieron disponibles en el sitio web y en las redes sociales de Procon-SP del 14 de mayo al 21 de junio y fueron respondidas por 7 mil 408 personas.

De los que conocían la LGPD, sólo 19.7 por ciento indicó la alternativa correcta en cuanto a lo que trata la legislación –“es una ley que protege los derechos fundamentales de libertad, intimidad y libre desarrollo de la personalidad de la persona natural”.

Entre los que dijeron conocer la ley, un 59.6 por ciento cree que los datos de los consumidores están más seguros con la LGPD; un 29.4 por ciento cree parcialmente; 5.8 por ciento es incrédulo; y el 5.2 por ciento dijo que no sabía opinar.

Fuga de información

La encuesta también reveló que 72.8 por ciento de los participantes dijo no haber sufrido filtraciones o exposición indebida de datos, el resto, 27.2 por ciento, sí.

El Centro de Inteligencia e Investigación de Procon explica que, en general, “los consumidores sólo se dan cuenta de que sus datos han sido filtrados o expuestos cuando reciben un mensaje o interacción de empresas o desconocidos que hacen contacto y demuestran que tienen información que no deberían conocer como teléfono, dirección, nombre completo, entre otros”.

De aquellos que sufrieron una exposición indebida de datos, el 31.8 por ciento lo supo después de ser víctima de una estafa. Otro 17.3 por ciento supo porque investigó, después de ver noticias sobre filtración de información, y 34.5 por ciento respondió “de otra forma”.

La información más filtrada fueron los documentos personales, como el CPF (registro de persona física) y la tarjeta de trabajo, mencionado por el 54.6 por ciento de las personas; para el 29 por ciento fueron datos de registro en tiendas virtuales; para el 28 por ciento fue información bancaria; y para el 22.5 por ciento, datos de aplicaciones de redes sociales.

El cuestionario también preguntó a aquellos que fueron filtrados sus datos si la exposición causó algún daño. La mayoría, 52.9 por ciento, respondió afirmativamente, siendo 46.3 por ciento pérdida económica y moral, 31.8 por ciento financiera y 21.8 por ciento moral.

Después de la filtración, sólo el 36.7 por ciento dijo haber tomado alguna acción, como registrar un informe policial en la Comisaría y quejarse ante la agencia de protección al consumidor, otro 21.1 por ciento dijo que no sirve de nada quejarse y el 42.1 por ciento no sabe a quién acudir.

El equipo responsable del estudio considera que la LGPD aún necesita una amplia difusión y que “su regulación se basa en hechos reales y de hecho aporta soluciones para evitar daños y promover la debida rendición de cuentas y reparación cuando se produzcan”.

La legislación prevé el tratamiento de la información personal en medios online y offline, por una persona física o por una persona jurídica, con el fin de proteger los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad de la persona natural.

Virgin Mobile admitió en un comunicado que dejó abierta una base de datos de marketing que contenía información de sus clientes de TV y teléfono en el Reino Unido. La base contenía datos personales de al menos 900 mil personas que estuvieron expuestos durante 10 meses.

Entre la información que contenía la base de datos se encontraban direcciones postales, correos electrónicos y números de teléfono. Sin embargo, no contenía ningún dato bancario o de tarjetas de crédito.

El proveedor móvil dijo que, según su investigación, se accedió a la base de datos al menos una vez, pero no se sabe el alcance del acceso o si realmente se utilizó la información expuesta.

La violación de seguridad podría dar pie para que la empresa reciba una multa por su negligencia. Las sanciones por transgresiones de datos en el Reino Unido pueden superar los 20 millones de euros o un 4 por ciento de la facturación anual.

El Mundo-Isabel Rubio

Una brecha de seguridad en un servidor de Decathlon España ha dejado desprotegida durante un periodo aún por determinar una base de datos con información de tiendas, empleados y clientes. Así lo revela una investigación de la empresa de ciberseguridad israelí vpnMentor, que subraya que en total se han visto expuestos 123 millones de registros. Este conjunto de datos, según los investigadores, supera los 9 GB y contiene todo tipo de información privada: desde nombres de usuarios de los empleados y contraseñas sin cifrar, a sus números de seguridad social y de teléfono, nacionalidad, dirección completa, fecha de nacimiento o detalles sobre su educación. Sin embargo, Decathlon niega que se haya visto expuesta información sensible y asegura que este fallo solo ha afectado a la compañía en España.

“Según el análisis del departamento de IT, el 99,97% son datos técnicos internos. Y el 0,03% restante son de clientes de My Decathlon”, afirma en un comunicado publicado este martes. Ese 0,03% afecta, según la compañía, a 36.704 clientes. Decathlon, que se dedica a la venta y distribución de material deportivo, no ha especificado a este periódico si se ha puesto en contacto con los usuarios afectados ni qué datos específicos se han visto expuestos. Se ha limitado a contestar que “en ningún caso se ha extraído información ni se han filtrado números de tarjetas de crédito, contraseñas, números de cuenta u otros detalles sensibles”. En cuanto a los datos técnicos internos, han explicado que “son propios del sistema y que no contienen ningún tipo de información personal”.

Los investigadores que han descubierto el fallo, sin embargo, no afirman lo mismo. Según explican en un informe publicado en su web, la base de datos de Decathlon España, que estaba en un servidor de ElasticSearch, “contiene un verdadero tesoro de información de empleados: tiene todo lo que un pirata informático malintencionado necesitaría, en teoría, para hacerse cargo de las cuentas y obtener acceso a información privada”. Detallan que se han visto comprometidos más de 20 tipos diferentes de datos y muestran algunas imágenes como ejemplo. Además de los ya citados, sostienen que también se han hecho públicas las horas laborales de los empleados, el periodo del contrato o sus roles en la empresa, correos electrónicos de clientes e información de inicio de sesión sin cifrar, tanto de compradores como de administradores.

“Pudimos acceder a la base de datos de Decathlon porque estaba completamente desprotegida y no estaba encriptada”, cuentan fuentes de vpnMentor a EL PAÍS. La empresa de ciberseguridad afirma que no puede valorar la escala real del problema: “No revisamos todos los registros y no los descargamos por razones éticas. Pero en las muestras que miramos, vimos mucha información personal identificable”.

Decathlon España subraya que “dicho incidente fue solo de exposición de información y no se produjo ninguna extracción de esta”. Los detalles citados por vpnMentor, en manos de usuarios malintencionados, podrían generar numerosos problemas a los afectados. Por ejemplo, los investigadores explican que con las claves de acceso de los administradores, un ciberdelincuente podría obtener información confidencial sobre tiendas, inventarios, empleados y clientes.

También podría lanzar ataques de phising a clientes o empleados haciéndose pasar por alguien de la empresa. O incluso ir más allá. “Conocer el nombre completo, la fecha de nacimiento y otros detalles personales de un individuo puede proporcionar a los delincuentes suficiente información para robar la identidad de esa persona. El robo de identidad no siempre significa que el ladrón afirme que es un individuo en particular en la vida real. También le permite participar en fraudes crediticios, vaciar su cuenta bancaria y estafar a familiares, amigos y otros conocidos de la víctima”, explican.

Cómo se encontró el fallo

“Decathlon podría haber evitado fácilmente esta fuga si hubiera tomado algunas medidas de seguridad básicas para protegerse”, explican los investigadores. No es la primera vez que un equipo de vpnMentor revela problemas de seguridad. En 2019, alertó de que una brecha de seguridad en un servidor privado había dejado desprotegidos millones de datos de ciudadanos ecuatorianos.

En esta ocasión, descubrió la brecha de Decathlon como parte de un enorme proyecto de mapeo web en busca de agujeros de seguridad. En estos casos, una vez que encuentran fallos en la seguridad, utilizan diferentes técnicas para verificarlo y alertar a la compañía. Cuando pueden, también alertan a los afectados.

Los expertos en ciberseguridad descubrieron el fallo el pasado 12 de febrero. Se lo notificaron a Decathlon cuatro días más tarde. La compañía francesa cerró la base de datos un día después, el 17 de febrero, y ha tomado medidas “para garantizar que el 100% de la información esté protegida”. Entre ellas, afirma haber solicitado el apoyo externo de dos proveedores especializados para “corroborar el buen estado de seguridad” de sus sistemas. También está realizando “un análisis exhaustivo” para intentar que este incidente no se vuelva a producir.

“La seguridad es una prioridad absoluta para Decathlon. El domingo 16 de febrero por la tarde se detectó un incidente puntual, dentro de la actividad habitual, y se resolvió de forma inmediata. Decathlon quiere trasladar a sus clientes sus disculpas por este incidente que va en contra de la política de protección de datos”, ha afirmado en el comunicado.

El Tiempo

La aplicación de envíos a domicilio Mensajeros Urbanos tuvo un fallo de configuración de seguridad que resultó en la filtración de 2.4 millones de datos de colombianos en la red, según reportes. 

Firmas de ciberseguridad confirmaron que dicha cantidad de información estaba alojada en una instancia de ElasticSearch, que había sido configurada de manera insegura y que se comunicaron con las organizaciones en Colombia para reparar el hecho. 

El portal especializado The Hack reveló la existencia de dos entornos vulnerables que expusieron información de millones de ciudadanos y empresas clientes, en lo que catalogan como “el mayor incidente de seguridad cibernética en la historia del país”.

The Hack asegura que las instancias pertenecen a la empresa Mensajeros Urbanos, app de origen bogotano que se especializa en la entrega de paquetes y documentos a domicilio. 

En la investigación, en colaboración con OnlineProtek (primera organización en revelar la vulnerabilidad) y Eset, se confirmó que los millones de datos estaban disponibles sin necesidad de autenticación.

Parte de los datos en información expuesta son: Nombres, números de cédula, dirección de correo y número de teléfono celular.

Este incidente deja en evidencia, nuevamente, que las empresas aún no están considerando la seguridad de los datos desde el diseño de sus implementaciones

En algunas capturas de pantalla reveladas por el medio se ven imágenes de documentos colombianos. Según confirmó Eset a EL TIEMPO, también estaban alojadas imágenes de facturas. 

Captura de pantalla de cédulas expuestas obtenidas por The Hack

La aplicación ofrece un servicio personal, de entregas particulares, pero también un segmento corporativo y comercial, que permite el envío de “documentos confidenciales” e integraciones con plataformas de comercio electrónico o restaurantes para facilidades de pedidos por internet. 

En una publicación de blog, Eset manifestó que “este incidente deja en evidencia, nuevamente, que las empresas aún no están considerando la seguridad de los datos desde el diseño de sus implementaciones. Una tecnología será tan segura como el tiempo que se le dedique para hacerla segura”.

Camilo Gutiérrez, Jefe del laboratorio de Investigación de ESET Latinoamérica, dijo a EL TIEMPO que “no se trata de una filtración, falla del servidor o vulnerabilidad sino de una mala configuración en el servicio. No es culpa de ElasticSearch sino que la forma de configuración dejo la información expuesta”. 

Lo que viene es que empresas de ciberseguridad y quienes crean estar afectados empiecen desarrollar proyectos de búsqueda (…) Si la fuga se dio, esos datos van a quedar expuestos en la darknet

Ante la pregunta sobre cómo un ciudadano podría conocer si fue víctima o no, Gutiérrez indica que la empresa debe reconocer que tuvo un error de configuración e informe directamente a los afectados.

Aunque la compañía de ciberseguridad dice que el problema se corrigió y la información ya no está expuesta, resulta imposible saber si dicha información alcanzó a llegar al mercado negro. Se estima que los datos de identidad de un usuario pueden ser vendidos por un valor cercano a los 10 dólares. 

Según el Coronel Fredy Bautista, de la organización Safe, lo que evidencia el reporte del portal brasilero son las capturas de “imágenes de cédulas de ciudadanía y datos biográficos de algunas de las personas usuarias de esta aplicación”.

Aunque la base de datos al parecer ya no está disponible, “ahora lo que viene es que empresas de ciberseguridad y quienes crean estar afectados empiecen desarrollar proyectos de búsqueda en mercados ilegales. Si la fuga se dio, esos datos van a quedar expuestos en la darknet“.