7 jun 2011

Hackean Inteco


Como ya casi todo el mundo sabe, INTECO ha sufrido un ataque en su plataforma de formación, la verdad es que últimamente hay muchas noticias sobre este tipo de ataques, pero de momento creo que la respuesta ante la incidencia de seguridad por parte de INTECO está siendo ejemplar, veremos en que para y que consecuencias tiene el ataque, ya que los usuarios afectos pueden ser 20.000 y eso son muchos usuarios, pero de momento el plan de contingencia y la reacción de INTECO creo que son adecuadas.

INTECO ha reconocido su fallo o el ataque sufrido en su página web, http://www.inteco.es/

Asi mismo en su web informa de los siguientes aspectos:

06/06/2011
El Instituto está adoptando las medidas necesarias para minimizar los daños a los usuarios de la Plataforma
El hecho ha sido descubierto hoy en el curso de actuaciones que lleva a cabo regularmente INTECO, en colaboración con empresas de seguridad de la información y otros centros de respuesta a incidentes de seguridad.
Según las primeras investigaciones, la sustracción de datos podría haber afectado a parte de los 20.000 usuarios de la plataforma y la información personal que habría sido robada se refiere exclusivamente a los siguientes datos, en el caso de que hubieran sido aportados por los usuarios:
  • Nombre y apellidos.
  • Número de teléfono.
  • DNI.
  • Correo electrónico.
INTECO ha puesto el incidente en conocimiento de la Brigada de Investigación Tecnológica de la Policía Nacional y está preparando un comunicado personalizado a los posibles afectados alertándoles de los riesgos derivados del incidente y de la manera de protegerse.
INTECO pide disculpas a los usuarios de su plataforma de formación en línea por los inconvenientes causados.
En el sitio web de INTECO (www.inteco.es) se irá ofreciendo información actualizada sobre este incidente.
Le recomendamos que siga los siguientes consejos de seguridad:
  1. Desde INTECO nunca se le solicitará información de carácter personal por correo electrónico o teléfono. No responda a ninguna petición de información de estas características.
  2. No haga clic en enlaces incluidos en mensajes de correo electrónico, mensajes SMS o MMS cuyo origen no sea confiable.
  3. Revise el estado de seguridad de su equipo. En particular, compruebe que el sistema operativo, el navegador y otras aplicaciones (entre otras las de seguridad) están debidamente actualizadas.
  4. Ante cualquier duda, póngase en contacto con INTECO en la dirección de correo electrónico: incidencias@cert.inteco.es
Otras publicaciones han dado eco a la noticia: http://www.diariodeleon.es

Actualización 1: INTECO no es la única organización que ha sufrido un ataque en las últimas horas, El FBI atacado por hackers

Actualización 2: La AEPD abre una investigación a INTECO. Nota informativa AEPD

Actualización 3:
Han matizado cuales han sido los datos que han sustraído de INTECO, http://www.inteco.es/Prensa/Actualidad_INTECO/INTECO_incidente_Seguridad
Sí han sustraído:
Nombre y apellidos.
Número de teléfono.
Dirección.
Sexo y fecha de nacimiento.
No han sustraído el número de DNI ni el correo electrónico de los usuarios, según el análisis forense realizado en INTECO.


Actualización 4:
http://www.abc.es/agencias/noticia.asp?noticia=863078

4 comentarios:

Anónimo dijo...

¿Se sabe algo de demandas colectivas?, ¿cómo podemos reclamar una indeminzación por el daño causado?. Personalmente como afectado y especialista en seguridad me perjudica mucho esta negligencia que ha permitido que mis datos circulen sin control por la red de redes. Si esto ocurre en mi trabajo, y es por mi causa, no quiero ni imaginarme.

Jon Turrillas dijo...

Hola, en principio por el momento no me he enterado sobre si existe ya un colectivo organizado de afectados. Pero comentarte, que por un lado se podría como ya lo ha hecho de oficio la AEPD, incoar a la misma para que inicie un proceso de investigación (vía administrativa) aportando pruebas si es posible en la denuncia, aunque no tiene mucho sentido más allá de presionar a la AEPD. Por otro lado quedaría la vía judicial, para la cual si podría hacerse por medio de un colectivo de afectados unificando así poderes y recursos a la hora de iniciar el procedimiento por la vía judicial en concreto por la civil.

Anónimo dijo...

Gracias por tu respuesta

Jon Turrillas dijo...

¡De nada!
Ah y decirte que las vías son acumulativas es decir se pueden ejercer las dos a la vez o una después de la otra, pero la administrativa osea la que se presenta ante la AEPD no presta indemnizaciones a los denunciantes, solo abre una investigación y en caso de entender que por ejemplo INTECO no ha cumplido con las medidas de seguridad exigidas en el RDLOPD 1720/2007, le impondrá la sanción correspondiente. La civil si da pie a solicitar y recibir indemnizaciones.
¡Un saludo!