viernes, 10 de mayo de 2024

RANSOMWARE: LO QUE DICE EL INSTITUTO NACIONAL DE CIBERSEGURIDAD

Seguimos sin obtener respuesta de la empresa a las preguntas que, vía comunicados a la plantilla, hemos formulado en dos ocasiones:

¿Qué información tiene Black Basta de cada uno de nosotros?

¿Tiene nuestros números de cuentas corrientes, los DNI, números de adscripción a la Seguridad Social, direcciones postales…?

La cuestión no es baladí, basta leer las recomendaciones que al respecto de la brecha de seguridad que ha sufrido AYESA da INCIBE (Instituto Nacional de Ciberseguridad):

  • Si se ha filtrado una fotocopia del DNI, sería recomendable acudir de manera presencial a interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, ellos te indicarán si sería conveniente renovar el DNI y contactar con la Central de Información de Riesgos del Banco de España (CIRBE) para comprobar si se han solicitado créditos o préstamos en tu nombre suplantando tu identidad. Puedes contactar con ellos a través del número de teléfono 91 338 6166.

  • En el caso de que tus contraseñas hayan sido filtradas, se recomienda cambiar las contraseñas cuanto antes. Configura nuevas contraseñas robustas, secretas y diferentes para cada servicio. También, se debería configurar el doble factor de autenticación en todos aquellos servicios donde esté disponible para evitar intrusiones en tus cuentas personales. Además, deberemos hacerlo tanto en el servicio que ha sufrido el ataque como en otros donde hayamos utilizado la misma clave o una parecida.

  • Revisa periódicamente tus cuentas para evitar cargos no autorizados. Si detectaras algún movimiento desconocido, contacta con tu entidad bancaria de manera inmediata para que, desde allí, se tomen las medidas oportunas. Ante cualquier actividad sospechosa, acude de manera presencial a interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.

  • Para intentar localizar usos no autorizados o publicaciones en Internet de tu información, como puede ser tu nombre, apellidos, dirección, etc. te aconsejamos:

    • Practicar egosurfing: que consiste en introducir tus datos personales en un buscador de Internet, con la finalidad de detectar si han sido publicados en sitios web sin tu consentimiento.

    • Usar la herramienta de Google Dorks o Dorking, también conocido como Google Hacking, técnica que consiste en aplicar la búsqueda avanzada de Google para conseguir encontrar en Internet información concreta a base de ir filtrando los resultados con operadores conocidos como Dorks.

    • Búsqueda por imágenes: El buscador de Google o Google Lens permite subir una fotografía o captura de pantalla de un video y buscar si esta ha sido publicada en algún sitio web.

    Si detectas cualquier tipo de información, solicita su retirada al responsable de la web, si en el plazo de un mes tu derecho no es atendido, puedes poner una reclamación ante la Agencia Española de Protección de Datos por falta de atención al derecho.

  • Si posteriormente recibes llamadas o mensajes sospechosos, nunca facilites información personal ni bancaria. Como en el resto de mensajes de carácter sospechoso o fraudulento estos no suponen una amenaza directa, siempre y cuando se ignore su contenido, no se responda a ellos ni se faciliten datos personales o bancarios. En ningún caso se debe responder a estos mensajes ni acceder a ninguno de sus enlaces o ficheros adjuntos, ya que representan un riesgo para la seguridad de los datos. Lo recomendable en estos casos es eliminar estos mensajes o marcarlos como spam (no deseados).

    Podría tratarse de un ataque dirigido con los datos que han conseguido de la filtración. En caso de duda siempre se debe contrastar la información poniéndose en contacto con la empresa o el servicio que ha contactado, siempre a través de sus canales oficiales de atención al cliente.

Es evidente que la información que da la empresa es mínima, por no decir nula, ante una situación tan grave como ésta. Nadie es inmune a un ciberataque de este tipo en el que, según la prensa, se han visto comprometidos los datos personales de la plantilla y, desde ASC, no vamos a ensañarnos en las medidas de protección para evitarlo. Pero sí debemos ser exigentes con la gestión posterior que debe hacer la empresa al respecto, y en especial, la gestión informativa a la plantilla. Y es aquí donde se ve la esencia de la empresa: oscurantismo, echar balones fuera y eludir responsabilidades. La inquietud entre la plantilla es más que evidente, puesto que todos los días acuden a nosotros compañeros preocupados por el posible uso que se puedan hacer de sus datos sensibles (nos de seguridad social, DNI digitalizados, cuentas bancarias, etc.). Es más, algún compañero nos ha indicado que ya se ha realizado un intento de suplantación de su persona enviando a otros contactos un enlace que era muy probable que fuera un intento de phishing y al que, afortunadamente, no han caído (que sepamos) los contactos que lo habían recibido. Además, nos comunican que esa persona no había recibido ningún aviso por parte de la empresa de que sus datos hubieran sido comprometidos, como es preceptivo realizar.

Y esto ocurre con un caso que hayamos conocido nosotros… ¿qué más puede estar ocurriendo que no nos hayan informado? Porque así es como actúa esta empresa desde siempre, ocultándole no solo la información a los trabajadores, sino también desviando la atención con un falso control de la situación, como evidencia el usuario de X "Cibercapitán", experto en ciberseguridad:

Imagen

Reiteramos el gran trabajo que están realizando los compañeros encargados de la seguridad y del restablecimiento de los servicios y aminorar los efectos del malware para retornar a la "normalidad" y pedimos que sean reconocidos y recompensados debidamente. Pero, a su vez, exigimos a la dirección de la empresa transparencia y que informe a toda la plantilla de la información comprometida (no nos referimos a su contenido concreto, sino a qué tipo de información ha podido tener acceso este grupo de hackers) para que los trabajadores puedan tener un mayor conocimiento de la realidad y, así, saber cómo actuar para salvaguardar su integridad y la de sus datos.

Te seguiremos informando.

 

¡FORTALECE LA ORGANIZACIÓN DE LOS TRABAJADORES, AFÍLIATE A ASC!

¡NO a los abusos laborales!

¡NO a los retrocesos laborales!

¡NO a la represión sindical!

SECCIÓN SINDICAL DE A.S.C. EN AYESA AT

0 comentarios:

Publicar un comentario

 

ASC

FSM

Enlaces de interés

XVII Convenio Consultoría (2017-19)
Estatuto de los trabajadores

ASC Atech BPO
ASC NTT Data
ASC Sevilla
Alternativa Sindical de Clase
Federación Sindical Mundial
Tus Permisos Asamblea TIC

Copyright © Sección Sindical de ASC en Atech AS Design by BTDesigner | Blogger Theme by BTDesigner | Powered by Blogger