Transparencia y privacidad

¿Cómo hackear una caja popular? — Newsletter 98°

José Soto Galindo

5 septiembre, 2023

Les recuerdo lo que les dijo La Rochefoucauld: “Nadie merece ser alabado por su bondad si no tiene la fuerza de ser malo. Cualquier otro tipo de bondad no es, la mayoría de las veces, más que pereza o impotencia de la voluntad”.

Economicón es la newsletter de privacidad y sociedad de la información de México. La escribo yo, José Soto Galindo. Bienvenidos a la edición 98°

Principales incidentes cibernéticos relevantes ocurridos en 2023 en el sistema financiero nacional que han sido reportados al Banco de México.
Principales incidentes cibernéticos relevantes ocurridos en 2023 en el sistema financiero nacional que han sido reportados al Banco de México.

🛑 ¿Cómo hackear una caja popular?

La Caja Popular Mexicana sufrió un ataque cibernético que bloqueó su banca por internet, el servicio en sus 484 sucursales físicas, las transferencias electrónicas de los clientes y la operación de sus cajeros automáticos

No se reportaron pérdidas de dinero de los clientes, de acuerdo con el Banco de México. (Banxico) Se desconoce si hubo pérdida de datos personales y otra información confidencial.

  • La Caja Popular Mexicana es una ​​cooperativa de ahorro y préstamo con 3.37 millones de clientes y activos por 92,000 millones de pesos. (Expansión)

Las afectaciones se registraron en julio y los sistemas todavía no se reactivan plenamente. Mes y medio después, el regulador financiero CNBV confirmó que “las fallas en los servicios financieros se debieron a un incidente de ciberseguridad”. (CNBV)

El ataque se hizo con BlackCat, una familia de programas informáticos para el secuestro de información que se ofrece como ransomware-as-a-service: la ejecución de ataques por contrato.

Escribí en mayo, sobre el informe sobre el Dark Web Price Index 2023:

  • “🚨 La peor noticia para usuarios, compañías privadas y gobiernos: la contratación de servicios criminales en línea fue más barata, lo que significa una mayor posibilidad para adquirirlos y dañar a terceros”. (Mercado negro de datos personales)

Es el cuarto ataque relevante contra el sistema financiero de México en lo que va de 2023 y el de mayor envergadura por el alcance de sus daños, todavía no dimensionados en su totalidad.

  • Con excepción de uno, todos los incidentes se produjeron con la inyección de códigos maliciosos (malware) en los sistemas de las entidades afectadas.

🛑 Así regreso a la pregunta inicial: ¿cómo hackear una caja popular?

Parece que lo más sencillo y posiblemente más barato sea contratar los servicios de un hacker.

😷 Las entidades financieras deben robustecer su seguridad cibernética. Siempre.

  • El ciberataque a la Caja Popular Mexicana es otra llamada de atención.
George Costanza comiendo palomitas.
George Costanza comiendo palomitas.

🏇 A la velocidad del Inai: resolver 1,000 quejas por hora

La agencia de transparencia y privacidad de México resolvió 6,000 reclamos ciudadanos en una sesión de 6 horas, a un ritmo de 1,000 quejas por hora o 3 por minuto. (Inai en YouTube)

El contexto:

  1. La junta general de la agencia, conocida por el acrónimo Inai, estuvo impedida de sesionar durante 5 meses por una falta de quórum legal.
  2. El pleno se reactivó la semana pasada, luego de que una sala de la Suprema Corte suspendió la aplicación de la ley que le impide sesionar con menos de 5 comisionados. (SCJN)
  3. Desde abril, el Inai sólo tiene 4 comisionados por la falta de nombramientos en el Senado de la República para cubrir 3 vacantes.
  4. ❄️ Durante el tiempo en que la junta general estuvo en la congeladora se acumularon 8,000 reclamos ciudadanos por negativas de acceso a la información pública o por posibles violaciones al derecho de protección de datos.

😮‍💨 En su primera sesión de trabajo, el 30 de agosto, el Inai resolvió 5,993 expedientes. La sesión duró 6 horas con 10 minutos.

En Economicón:

Algunos asuntos resueltos en la sesión del 30 de agosto de 2023:

Datos personales

Transparencia

Ley de Servicios Digitales (o DSA, por la sigla en inglés de Digital Services Act) será obligatoria para todos los proveedores a partir de marzo de 2024. Collage original de El Economista
Ley de Servicios Digitales (o DSA, por la sigla en inglés de Digital Services Act) será obligatoria para todos los proveedores a partir de marzo de 2024. Collage original de El Economista

Los desafíos de la nueva ley de internet de la Unión Europea

La Unión Europea estrenó una nueva ley de internet, en otro esfuerzo por crear un marco de control comunitario sobre la operación de las transnacionales tecnológicas. 

  • La ley se llama DSA, por la sigla en inglés de Digital Services Act (Ley de Servicios Digitales), y crea una serie de nuevas obligaciones para grandes y pequeños proveedores.
  • Hay 19 Big Tech obligadas al cumplimiento en una primera etapa, en los sectores de buscadores, redes sociales, tiendas de aplicaciones, comercio electrónico e información general.

La ley tiene buenas intenciones para fortalecer la privacidad y garantizar mayor transparencia de los proveedores de servicios digitales en publicidad, algoritmos y combate al contenido ilegal. 

Nuevas obligaciones de la Digital Services Act de la Unión Europea.
Nuevas obligaciones de la Digital Services Act de la Unión Europea.

Los desafíos mayores no están del lado de las tecnológicas:

  1. ¿Las autoridades nacionales tendrán la capacidad de vigilar que la ley se cumpla por miles de proveedores con servicios de lo más variopinto: comercio electrónico, medios de comunicación, préstamos de libros, entregas a domicilio?
  2. ¿Los proveedores pequeños podrán cumplir con una ley que, aunque tiene distintos niveles de obligaciones, impondrá nuevas tareas periódicas y de vigilancia de contenido?
  3. ¿La ley provocará mayor concentración de las Big Tech y reducción del emprendimiento emergente debido a la facilidad que las Big Tech ofrecerán a los proveedores pequeños para garantizar el cumplimiento de la DSA?

Te invito a leer mi análisis completo aquí: La Unión Europea estrena una ley de internet; autoridades y proveedores pequeños, con el mayor reto

Conecta con la comunidad Economicón

  • Conecta con los profesionales del derecho, la tecnología y los medios.
  • La newsletter Economicón te ayuda a pulir tus ideas y a comunicarlas a la comunidad correcta.

Revisa aquí mi política de publicidad.

  • ¿Tienes información sobre filtraciones de datos?
  • ¿Quieres anunciarte en Economicón?

Escríbeme a soto.galindo@gmail.com

Newsletters anteriores:

Otras noticias

América

  • Colombia: Polémica por millonario contrato para cámaras de identificación facial en Medellín (Semana)
  • Apple le pide al colombiano Wilmer Becerra que deje de reparar iPhones (Enter.co)
  • Chile: Comisión contra la Desinformación presentó su primer informe (Observacom)
  • Estados Unidos: Former BBC and NYT boss Mark Thompson named CEO and chair of CNN (PressGazette)
  • Estados Unidos: The Washington Post lays off staff from tech arm (Semafor)
  • Why is .US Being Used to Phish So Many of Us? (Krebs on Security)

Europa

  • Unión Europea: How Europe’s new digital privacy act will change Big Tech regulation (Quartz)
  • Unión Europea: Who’s Afraid of the DSA? (Tech Policy Pres)

Global

  • ‘A self-inflicted injury’: judge dismisses lawsuit claiming Yesterday trailer tricked Ana de Armas fans (The Guardian)

Otras lecturas

Mis redes sociales

YouTubeFacebook y Twitter.

Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.

Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.

Comentarios

economicon

Newsletter

Youtube / Spotify / TwitterFacebook