¿Cómo hackear una caja popular? — Newsletter 98°
José Soto Galindo
5 septiembre, 2023Les recuerdo lo que les dijo La Rochefoucauld: “Nadie merece ser alabado por su bondad si no tiene la fuerza de ser malo. Cualquier otro tipo de bondad no es, la mayoría de las veces, más que pereza o impotencia de la voluntad”.
Economicón es la newsletter de privacidad y sociedad de la información de México. La escribo yo, José Soto Galindo. Bienvenidos a la edición 98°.
- ¿Ya recibes Economicón en tu correo? Regístrate aquí.
🛑 ¿Cómo hackear una caja popular?
La Caja Popular Mexicana sufrió un ataque cibernético que bloqueó su banca por internet, el servicio en sus 484 sucursales físicas, las transferencias electrónicas de los clientes y la operación de sus cajeros automáticos
No se reportaron pérdidas de dinero de los clientes, de acuerdo con el Banco de México. (Banxico) Se desconoce si hubo pérdida de datos personales y otra información confidencial.
- La Caja Popular Mexicana es una cooperativa de ahorro y préstamo con 3.37 millones de clientes y activos por 92,000 millones de pesos. (Expansión)
Las afectaciones se registraron en julio y los sistemas todavía no se reactivan plenamente. Mes y medio después, el regulador financiero CNBV confirmó que “las fallas en los servicios financieros se debieron a un incidente de ciberseguridad”. (CNBV)
El ataque se hizo con BlackCat, una familia de programas informáticos para el secuestro de información que se ofrece como ransomware-as-a-service: la ejecución de ataques por contrato.
Escribí en mayo, sobre el informe sobre el Dark Web Price Index 2023:
- “🚨 La peor noticia para usuarios, compañías privadas y gobiernos: la contratación de servicios criminales en línea fue más barata, lo que significa una mayor posibilidad para adquirirlos y dañar a terceros”. (Mercado negro de datos personales)
Es el cuarto ataque relevante contra el sistema financiero de México en lo que va de 2023 y el de mayor envergadura por el alcance de sus daños, todavía no dimensionados en su totalidad.
- Con excepción de uno, todos los incidentes se produjeron con la inyección de códigos maliciosos (malware) en los sistemas de las entidades afectadas.
🛑 Así regreso a la pregunta inicial: ¿cómo hackear una caja popular?
Parece que lo más sencillo y posiblemente más barato sea contratar los servicios de un hacker.
😷 Las entidades financieras deben robustecer su seguridad cibernética. Siempre.
- El ciberataque a la Caja Popular Mexicana es otra llamada de atención.
🏇 A la velocidad del Inai: resolver 1,000 quejas por hora
La agencia de transparencia y privacidad de México resolvió 6,000 reclamos ciudadanos en una sesión de 6 horas, a un ritmo de 1,000 quejas por hora o 3 por minuto. (Inai en YouTube)
El contexto:
- La junta general de la agencia, conocida por el acrónimo Inai, estuvo impedida de sesionar durante 5 meses por una falta de quórum legal.
- El pleno se reactivó la semana pasada, luego de que una sala de la Suprema Corte suspendió la aplicación de la ley que le impide sesionar con menos de 5 comisionados. (SCJN)
- Desde abril, el Inai sólo tiene 4 comisionados por la falta de nombramientos en el Senado de la República para cubrir 3 vacantes.
- ❄️ Durante el tiempo en que la junta general estuvo en la congeladora se acumularon 8,000 reclamos ciudadanos por negativas de acceso a la información pública o por posibles violaciones al derecho de protección de datos.
😮💨 En su primera sesión de trabajo, el 30 de agosto, el Inai resolvió 5,993 expedientes. La sesión duró 6 horas con 10 minutos.
En Economicón:
Algunos asuntos resueltos en la sesión del 30 de agosto de 2023:
Datos personales
- IMSS debe entregar documento que contenga resolución de pensión por invalidez de persona fallecida
- IMSS debe entregar versión pública de documentos presentados para trámite de pensión de viudez de persona víctima de robo de identidad
- IMSS debe proporcionar a una persona información de su historial laboral
- IMSS debe rectificar datos de derechohabiente para acceder a prestaciones
- ISSSTE debe entregar a derechohabiente formato RT-09, en el que se dictamina invalidez por enfermedad o accidente
- Secretaría de Bienestar debe entregar información sobre pago de Pensión Universal para Personas Adultas Mayores a persona beneficiaria
- CNBV debe informar a una persona si se encuentra registrada en listas de sanciones y/o personal inhabilitado
Transparencia
- INAH debe informar, en Lengua Maya, sobre cuidado de caminos que recorre peregrinación, en Quintana Roo, que cruza vías del Tren Maya
- Sipinna debe entregar información sobre menores huérfanos por feminicidio
- FGR debe entregar versiones públicas de las tres órdenes de aprehensión contra de Genaro García Luna
- SSPC debe dar a conocer fundamento legal que permite uso de gas lacrimógeno en sus operativos
- Profepa debe informar sobre reparación de daños tras la caza ilegal de totoaba
- ISSSTE debe dar a conocer las estadísticas de riesgos de trabajo, enfermedad profesional e invalidez de 2016 a 2022
- Secretaría de Bienestar debe informar montos del Programa Sembrando Vida, suministrados a dependencias estatales
Los desafíos de la nueva ley de internet de la Unión Europea
La Unión Europea estrenó una nueva ley de internet, en otro esfuerzo por crear un marco de control comunitario sobre la operación de las transnacionales tecnológicas.
- La ley se llama DSA, por la sigla en inglés de Digital Services Act (Ley de Servicios Digitales), y crea una serie de nuevas obligaciones para grandes y pequeños proveedores.
- Hay 19 Big Tech obligadas al cumplimiento en una primera etapa, en los sectores de buscadores, redes sociales, tiendas de aplicaciones, comercio electrónico e información general.
La ley tiene buenas intenciones para fortalecer la privacidad y garantizar mayor transparencia de los proveedores de servicios digitales en publicidad, algoritmos y combate al contenido ilegal.
Los desafíos mayores no están del lado de las tecnológicas:
- ¿Las autoridades nacionales tendrán la capacidad de vigilar que la ley se cumpla por miles de proveedores con servicios de lo más variopinto: comercio electrónico, medios de comunicación, préstamos de libros, entregas a domicilio?
- ¿Los proveedores pequeños podrán cumplir con una ley que, aunque tiene distintos niveles de obligaciones, impondrá nuevas tareas periódicas y de vigilancia de contenido?
- ¿La ley provocará mayor concentración de las Big Tech y reducción del emprendimiento emergente debido a la facilidad que las Big Tech ofrecerán a los proveedores pequeños para garantizar el cumplimiento de la DSA?
Te invito a leer mi análisis completo aquí: La Unión Europea estrena una ley de internet; autoridades y proveedores pequeños, con el mayor reto
Conecta con la comunidad Economicón
- Conecta con los profesionales del derecho, la tecnología y los medios.
- La newsletter Economicón te ayuda a pulir tus ideas y a comunicarlas a la comunidad correcta.
Revisa aquí mi política de publicidad.
- ¿Tienes información sobre filtraciones de datos?
- ¿Quieres anunciarte en Economicón?
Escríbeme a soto.galindo@gmail.com
Newsletters anteriores:
- 😵💫 La encrucijada del Inai
- 🗞️ Pagar por las noticias
- 🎁 Hola, Temu, bienvenido a México
- La Ciudad de México gana un round contra los cables
- El IFT gana un round a Guadalajara
Otras noticias
América
- Colombia: Polémica por millonario contrato para cámaras de identificación facial en Medellín (Semana)
- Apple le pide al colombiano Wilmer Becerra que deje de reparar iPhones (Enter.co)
- Chile: Comisión contra la Desinformación presentó su primer informe (Observacom)
- Estados Unidos: Former BBC and NYT boss Mark Thompson named CEO and chair of CNN (PressGazette)
- Estados Unidos: The Washington Post lays off staff from tech arm (Semafor)
- Why is .US Being Used to Phish So Many of Us? (Krebs on Security)
Europa
- Unión Europea: How Europe’s new digital privacy act will change Big Tech regulation (Quartz)
- Unión Europea: Who’s Afraid of the DSA? (Tech Policy Pres)
Global
- ‘A self-inflicted injury’: judge dismisses lawsuit claiming Yesterday trailer tricked Ana de Armas fans (The Guardian)
Otras lecturas
- Mark Thompson: ¿el súper ejecutivo que salvará a CNN?, de Mauricio Cabrera (StoryBaker)
- El mundo de los libros que nunca se abrieron, de Mariana Toro Nader (Ethic)