www.rocksolidario.org

Otro año más y con éste ya son 5, me complace anunciar que vamos a celebrar el concierto Rock&Roll solidario, el mejor regalo de Reyes.

• Un concierto en beneficio, una vez más, de asociaciones relacionadas con las enfermedades infantiles
• Viernes 3 de enero a las 7 de la tarde en la sala Stage Live de Bilbao
• Con las actuaciones de Reverendo G´s Band. The Associados y Rufus
• Entradas por 10 € en www.entradium.com y Golfo Norte (también disponible fila 0). La recaudación íntegra se destinará a beneficio de Asociación Desafía Dravet, Aspanovas y Voluntechies.

El próximo 3 de enero de 2025 se celebrara por cuarto año consecutivo lo que ya viene convirtiéndose en una tradición: el concierto solidario en el que unos grupos de rock, aficionados o semiprofesionales y un público entregado donan su tiempo y la pequeña contribución de la entrada a la solidaridad con los más pequeños.

Con dedicación, pocos medios y de forma desinteresada, un puñado de personas convirtieron esta pequeña ilusión en un evento que se consolida año tras año y al que poco a poco, medios y entidades de todo tipo contribuyen para que crezca y renueve su primer éxito.

 

En beneficio de:

 

ADD. Asociación desafía Dravet, asociación cuyo objetivo es mejorar la calidad de vida de los niños afectados por el Síndrome de DRAVET y enfermedades asociadas así como promover proyectos de investigación para lograr una cura.

El síndrome de Dravet es una de las llamadas enfermedades “raras”, una canalopatía infantil con crueles consecuencias en el día a día de las familias en las que está presente y con un progresivo y acusado deterioro cognitivo y motriz de los niños que hoy día no tiene cura y en muchos casos fatales consecuencias.

www.desafiadravet.com

Aspanovas Bizkaia. Asociación de padres de niños con cáncer de Bizkaia. El colectivo objeto de intervención de ASPANOVAS Bizkaia es el menor y su familia en su dimensión psicosocial, poniendo énfasis en la mejora de la calidad de vida de todos los niños afectados de cáncer, dirigiendo sus esfuerzos a la normalización en todas las facetas de su vida diaria.

Así, trabaja para que la atención sanitaria, social y educativa llegue en igualdad de condiciones a todos los niños y conseguir crear y potenciar foros de encuentro y actividades que ayuden al entendimiento y sensibilización de la problemática con la que una familia se encuentra cuando un hijo es diagnosticado de cáncer.

aspanovas.org

Voluntechies. Talleres de realidad virtual para ayudar a las personas

En Voluntechies se utilizan las nuevas tecnologías para mejorar la vida de las personas, y en particular de aquellos que más lo necesitan como los niños hospitalizados y también personas mayores.

A través de talleres con Realidad Virtual ofrece una innovadora experiencia inmersiva  para que estas personas puedan olvidarse por un momento del dolor, la enfermedad o la soledad, para disfrutar y evadirse de su realidad cotidiana.

www.voluntechies.org/

Estas asociaciones sin ánimo de lucro percibirán de forma equitativa todo lo recaudado en el evento.

 

Grupos Participantes :

 

Los 3 grupos colaboradores son

Reverendo G´s Band grupo aficionado country-folk quienes colaborán con el evento Rock&Roll Solidario.

The Associados. Grupo de rock; sexteto de versiones de grandes clásicos del Rock desde los años 70 en adelante. También presente en las anteriores ediciones.

Entre el repertorio caben destacar temas de ZZ Top, Rolling Stones, Pink Floyd, Stereophonics, Dire Straits, Police, Bruce Sprinsteen, Tom Petty, The Doors…… o alguna versión de la Creedence y de Neil Young

Rufus. Se forma a principios de 1.980 como derivación del grupo «Rufus T. Farfly», enmarcado dentro de un estilo de finales de 1.970 denominado Rock Sinfónico. A partir de ese momento con el quinteto definido y con el nombre reducido a RUFUS, el grupo comienza a evolucionar musicalmente pasando del rock sinfónico hacia formatos cada vez mas pop-rock, hasta llegar en su evolución a la practica de una música que podíamos denominar como «POP-DURO».

 

Fecha, Hora y Lugar:

 

El 3 de enero de 2025 a las 19 horas en la Sala Stage Live, en Uribitarte 8, BILBAO.

En los cambios de grupo se sortearán los regalos donados incluyendo alguna sorpresa. Entradas : https://entradium.com/events/5-edicion-rock-roll-solidario-eurengatik-por-ellos-bilbao

 

Tenia pendiente el escribir una pequeña crónica de lo que ha sido mi paso por el ISMS Forum Euskadi de este año.

Agradecer la invitación a Kerman Arcelay, a los organizadores por la excelente gestión del evento y a los ponentes por dedicar su tiempo en compartir tan preciado conocimiento.

Creo importantes este tipo de eventos que permiten interactuar y discutir ideas con compañeros que se enfrentan a los mismos retos de seguridad. La vorágine del día muchas veces nos hace permanecer atrincherados en nuestros zulos llegando a perder el contacto con esa realidad física que tanto siempre nos aporta.

Remarcar que toda la información viene derivada de mis notas por lo que disculparme todos los ponentes por los errores que pueda contener  el relato.

Abría el evento con una presentación y bienvenida Alberto Bernáldez , CISO, Liberty Seguros; Board Member, ISMS Forum Euskadi quien daba paso al primero de los ponentes:

---

CIBERSEGURIDAD INDUSTRIAL: ESTRATEGIA, RIESGO E INVERSIÓN,
Eduardo D., Managing Partner, EDAN Ventures

---

• Estrategia del miedo
• Gasto de X€ en auditorias que luego no se les da continuidad
• Proyectos de seguridad a 3 años. ¿tienen sentido?
• Zero trust / Desconocimiento / La gente lo confunde con un producto
• Empresas se alían con un fabricante que les promete el pack completo. ¿Es interesante esta postura?

NUEVA ESTRATEGIA

• • Tenemos mucha información que no podemos procesar.
  • Enviar solo lo necesario al SIEM y filtrar antes de enviar.
  • Tener un único punto de control (Dashboard)
  • Recursos limitados/negocio/vulnerabilidades. Priorizar y centrarse en lo importante
  • Los presupuestos para seguridad no son ilimitados
  • Disponer de KPI a alto nivel mas allá de eventos del SIEM y vulnerabilidades
  • Contar con el apoyo de la dirección
  • Con el 80% de esfuerzo conseguir el 20% necesario
  • CISO: Buscar balance entre empresas grandes y Startups
  • Las grandes empresas tienen productos que cubren necesidades actuales pero les cuesta innovar
  • Las Startups mas alineadas con el mercado

CONCLUSION

• • • La estrategia del miedo se acabo
    • Desafíos en la gestión del dato
    • Visión integral y global para CISO con KPI más allá de los técnicos
    • StartUps ayudan en el proceso de innovación

Leer más…

Parte 1

Mejores prácticas de preparación, prevención y mitigación

del Ransomware y la extorsión de datos

 

Me hago ECO de la actualización (Mayo 2023) de un documento muy interesante que publicó CISA (https://www.cisa.gov) en el 2020, en el que nos marcan una serie de pautas de como debiéramos prepáranos a fin de mitigar y responder ante un ataque de Ransomware.

Os dejo un resumen con los titulares y los puntos que me parecen más interesantes. Al final de la publicación esta el link al documento original y otro para descargar el documento traducido.

 Preparación para incidentes de Ransomware y extorsión de datos 

 

• Mantener copias de seguridad fuera de línea y cifradas de los datos críticos
  • Probar los procedimientos de forma regular
  • Mantener plantillas que permitan reconstruir el sistema.
  • Utilizar una solución multi-nube
  • Almacenamiento inmutable

• Crear, mantener y ejercitar regularmente un plan básico de respuesta a incidentes cibernéticos (IRP) y un plan de comunicaciones asociado que incluya procedimientos de respuesta y notificación para incidentes de ransomware y extorsión/violación de datos
  • Disponer una copia offline e impresa
  • Notificar en caso de robo de información personal
  • Tener desarrollado un plan de respuesta ante incidentes

• Implantar una arquitectura de confianza cero para impedir el acceso no autorizado a datos y servicios. Hacer que la aplicación del control de acceso sea lo más granular posible.

Prevención y mitigación de incidentes de Ransomware y extorsión de datos

 

• Llevar a cabo un escaneo regular de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet, para limitar la superficie de ataque

• Parchee y actualice periódicamente el software y los sistemas operativos a las últimas versiones disponibles.

• • Priorizar dispositivos con conexiones a Internet

• Asegúrese de que todos los dispositivos locales, de servicios en la nube, móviles y personales (es decir, traiga su propio dispositivo [BYOD]) estén configurados correctamente y que las funciones de seguridad estén activadas.

• Limite el uso de RDP y otros servicios de escritorio remoto.

• • Aplicar bloqueos de cuentas, auditar eventos e implementar 2FA
  • Hacer uso de VPN

• Deshabilite las versiones 1 y 2 del protocolo Server Message Block (SMB)
  • Implementar firma SMB
  • Bloquear cuando se pueda puerto tcp 445 / 137 / 138
  • Registrar y supervisar en busca de comportamiento anómalo 

Vector de acceso inicial: Credenciales comprometidas

 

•  Implantar una MFA resistente al phishing para todos los servicios, en particular para el correo electrónico, las VPN y las cuentas que acceden a sistemas críticos
  • Implementar sistema por 2 o mas factores de verificación (Pin, reconocimiento facial…)

• Considere la posibilidad de suscribirse a servicios de supervisión de credenciales que vigilan la Dark Web en busca de credenciales comprometidas.

• Implantar sistemas de gestión de identidades y accesos (IAM)

• Implantar un control de acceso de confianza cero creando políticas de acceso sólidas para restringir el acceso de usuario a recurso y de recurso a recurso.

• Cambiar los nombres de usuario y contraseñas de administrador por defecto.

• No utilices cuentas de acceso root para las operaciones cotidianas.

• Implemente políticas de contraseñas que requieran contraseñas únicas de al menos 15 caracteres.

• Implementar gestores de contraseñas.

• Aplicar políticas de bloqueo de cuentas después de un cierto número de intentos fallidos de inicio de sesión.

• Almacene las contraseñas en una base de datos segura y utilice algoritmos hash potentes.

• Desactivar el almacenamiento de contraseñas en el navegador en la consola de administración de directivas de grupo.

• Implemente la solución de contraseña de administrador local (LAPS)

• Protección contra el dumping del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS):

• • Implementar la regla de Reducción de Superficie de Ataque (ASR) para LSASS.
  • Implemente Credential Guard para Windows 10 y Server 2016.

• Eduque a todos los empleados sobre la seguridad adecuada de las contraseñas en su formación anual sobre seguridad, haciendo hincapié en no reutilizar las contraseñas y no guardarlas en archivos locales.

• Utilice Windows PowerShell Remoting, Remote Credential Guard o RDP con modo de administración restringido cuando establezca una conexión remota para evitar la exposición directa de las credenciales.

• Separar las cuentas de administrador de las cuentas de usuario
  • Solo utilizar cuantas de administrador con propósitos administrativos que las requeran.

 

Vector de acceso inicial: Phishing 

 

• Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios

• Marcar los correos electrónicos externos en los clientes de correo electrónico

• Implementar filtros en el gateway de correo electrónico para filtrar correos electrónicos con indicadores maliciosos conocidos

• Habilite los filtros de archivos adjuntos comunes para restringir los tipos de archivos que suelen contener malware y que no deben enviarse por correo electrónico

• Implantación de la política de autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) y verificación para reducir los costes.

• Asegúrese de que las secuencias de comandos de macros están desactivadas para los archivos de Microsoft Office transmitidos por correo electrónico.

• Desactivar el alojamiento de scripts de Windows (WSH).

 

Vector de acceso inicial: Infección de malware precursor 

 

• Utilice actualizaciones automáticas para su software antivirus y antimalware y sus firmas.
  • Utilizar solución antivirus gestionada de forma centralizada

• Utilice listas de aplicaciones permitidas y/o soluciones de detección y respuesta de puntos finales (EDR) en todos los activos
  • WDAC o AppLocker
  • Utilizar listas de aplicaciones permitidas

• Considere la posibilidad de implantar un sistema de detección de intrusiones (IDS)

• Supervise los indicadores de actividad y bloquee la creación de archivos maliciosos con la utilidad Sysmon de Windows.

 

Vector de acceso inicial: Formas avanzadas de ingeniería social

 

• Crear políticas que incluyan formación sobre ciberseguridad
  • Repetir periódicamente la formación

• Implantar un Sistema de Nombres de Dominio (DNS) protector.
  • Bloquear consultas DNS maliciosas

• Considere la posibilidad de implantar navegadores aislados

 

Vector de acceso inicial: Terceros y proveedores de servicios gestionados 

 

• Considerar las prácticas de gestión de riesgos e higiene cibernética de terceros o servicios gestionados.

• Garantice el uso del mínimo privilegio y la separación de funciones a la hora de configurar el acceso de terceros.

• Considere la posibilidad de crear políticas de control de servicios (SCP) para los recursos basados en la nube con el fin de impedir que los usuarios o las funciones, en toda la organización, puedan acceder a servicios específicos o tomar acciones específicas dentro de los servicios.

 

Buenas prácticas generales y orientaciones sobre refuerzo 

 

• Asegúrese de que su organización cuenta con un enfoque integral de gestión de activos
  • Inventariado de activos
  • Conocer cuales son los sistemas más críticos y sus dependencias

• Aplicar el principio de mínimo privilegio a todos los sistemas y servicios
  • Restringir permisos para instalar/ejecutar software
  • Auditar los Controladores de Dominio
  • Auditar de forma periódica en busca de cuentas inactivas o no autorizadas

• Asegúrese de que todas las máquinas virtuales e hipervisores están actualizados.

• Aproveche las mejores prácticas y active la configuración de seguridad en asociación con entornos en la nube, como Microsoft Office 365.

• Mitigar el uso malintencionado del software de acceso remoto y de supervisión y gestión remotas (RMM)

• Auditar herramientas de Acceso Remoto que se estén utilizando

• Emplear medios lógicos o físicos de segmentación de red implementando ZTA y separando varias unidades de negocio o recursos departamentales de TI dentro de su organización y mantener la separación entre TI y tecnología operativa

• Elabore y actualice periódicamente diagramas de red exhaustivos que describan los sistemas y flujos de datos dentro de la red o redes de su organización

• Restrinja el uso de PowerShell a usuarios específicos caso por caso mediante la directiva de grupo.

• • Permitir PS solo a usuarios administradores
  • Permitir solo últimas versiones
  • Activar auditorias sobre su uso (Ps Windows Event” “PS Operational”)
  • Monitorizar estos registros en busca de acciones maliciosas

• Asegurar los controladores de dominio (DC).
  • Realizar auditorias para comprobar la robusted de los mismos
  • Controlar grupos administradores y restringir acceso a los mismos
  • Impedir acceso a Internet.
  • Limitar autenticación NTLM y WDigest
  • Activar EPA (Extended Protection Authentication)
  • Rechazar respuesta LM y NTLM
  • Activar protecciones adicionales para Autenticación LSA para prevenir inyección de código

• Conserve y proteja adecuadamente los registros de dispositivos de red, hosts locales y servicios en la nube.
  • Gestión centralizada de eventos.

• Establezca una línea de base de seguridad del tráfico de red normal y ajuste los dispositivos de red para detectar comportamientos anómalos.

• Realizar evaluaciones periódicas para garantizar que los procesos y procedimientos están actualizados y pueden ser seguidos por el personal de seguridad y los usuarios finales.

 Parte 2

 

Lista de comprobación de la respuesta al Ransomware

 

y la extorsión de datos

Detección y análisis

 

1. Determinar qué sistemas se han visto afectados y aislarlos inmediatamente.
   1. Tener definido un plan para aislar sistemas críticos
   2. Los malos pueden estar monitorizando nuestras acciones para ver si han sido detectados(utilizar otros canales de comunicación)

2. Apague los dispositivos si no puede desconectarlos de la red para evitar una mayor propagación de la infección del ransomware
   1. Solo si no podemos desconectar los equipos de la red para evitar perder evidencias

3. Clasificación de los sistemas afectados para su restauración y recuperación
   1. Priorizar los sistemas críticos a restaurar en base a una lista definida.

4. Examinar los sistemas de detección o prevención existentes en la organización (por ejemplo, antivirus, EDR, IDS, sistema de prevención de intrusiones) y los registros.
   1. Buscar el vector de entrada y bloquearlo
   2. Estar seguridad de erradicar el malware antes de restaurar sistemas.

5. Reúnase con su equipo para desarrollar y documentar una comprensión inicial de lo ocurrido basada en el análisis inicial.

6. Iniciar actividades de caza de amenazas.

1. 1. Cuentas AD recién creadas privilegiadas
   2. Inicios sesión VPN sospechosos
   3. Uso indebido de herramientas de sistema
   4. Evidencias de herramientas C&C
   5. Uso de Powershell
   6. Enumeración de Credenciales
   7. Comunicaciones inesperadas
   8. Indicios de filtración de datos
   9. Servicios Recién creados, tareas programadas, software instalado…
   10. En la nube
       1. Detectar modificaciones en los recursos

 Informes y notificaciones

 

7. Siga los requisitos de notificación descritos en su plan de comunicación y respuesta a incidentes cibernéticos para involucrar a los equipos internos y externos y a las partes interesadas con una comprensión de lo que pueden proporcionar para ayudarle a mitigar, responder y recuperarse del incidente.
   1. Compartir información y mantener informadas a todas las partes de forma periódica
   2. Notificar el incidente a los organismos que competan.
   3. Recuperar todas la evidencias (archivos maliciosos, RAM,registros, IOC…)

8. Si el incidente ha dado lugar a una violación de datos, siga los requisitos de notificación establecidos en sus planes de comunicación y respuesta a incidentes cibernéticos.

 

Contención y erradicación

 

9. Tomar una imagen del sistema y una captura de memoria de una muestra de dispositivos afectados. (por ejemplo, estaciones de trabajo, servidores, servidores virtuales y servidores en la nube).

10. Consulte a las fuerzas de seguridad federales, incluso si es posible adoptar medidas paliativas, sobre los posibles descifradores disponibles,

 

Seguir tomando medidas para contener y mitigar el incidente

 

11. Busque orientaciones fiables para la variante concreta de ransomware y siga los pasos adicionales recomendados para identificar y contener los sistemas o redes que se haya confirmado que están afectados.

12. Identifique los sistemas y cuentas implicados en la violación inicial.

13. Sobre la base de los detalles de la violación o compromiso determinados anteriormente, contener los sistemas asociados que puedan utilizarse para un acceso no autorizado posterior o continuado.

1. 1. Desactivar redes virtuales, accesos remotos…

14. Si una estación de trabajo infectada está cifrando datos del lado del servidor, siga los pasos de identificación rápida del cifrado de datos del lado del servidor.
    1. Revisar las sesiones de quien esta accediendo
    2. Revisar los eventos

15. Realizar un análisis ampliado para identificar los mecanismos de persistencia «outside-in» y «inside-out»

16. Reconstruir los sistemas basándose en la priorización de los servicios críticos

17. Emitir restablecimientos de contraseñas para todos los sistemas afectados y abordar cualquier vulnerabilidad asociada y brecha en la seguridad o visibilidad una vez que el entorno haya sido completamente limpiado y reconstruido,

18. La autoridad de TI o de seguridad de TI designada declara el incidente de ransomware finalizado en función de los criterios establecidos, que pueden incluir la adopción de las medidas anteriores o la búsqueda de ayuda externa. 

 

Recuperación y actividad posterior al incidente

 

19. Reconectar los sistemas y restaurar los datos a partir de copias de seguridad encriptadas fuera de línea, basándose en una priorización de los servicios críticos.

20. Documentar las lecciones aprendidas del incidente y de las actividades de respuesta asociadas

21. Considere la posibilidad de compartir las lecciones aprendidas y los indicadores de compromiso relevantes

Fuente Original: https://www.cisa.gov/sites/default/files/2023-05/StopRansomware_Guide_508c%20%281%29.pdf

Documento traducido: StopRansomware_Guide_508c-ES

www.rocksolidario.org

Otro año más y con éste ya son 4, me complace anunciar que vamos a celebrar el concierto Rock&Roll solidario, el mejor regalo de Reyes.

• Un concierto en beneficio, una vez más, de asociaciones relacionadas con las enfermedades infantiles
• Tendrá lugar el viernes 13 de enero a las 7 de la tarde en la sala Stage Live de Bilbao
• Con las actuaciones de Reverendo G´s Band. The Associados y Rufus
• Entradas por 10 € en www.entradium.com y Golfo Norte (también disponible fila 0). La recaudación íntegra se destinará a beneficio de Asociación Desafía Dravet, Aspanovas y Voluntechies.

El próximo 13 de enero de 2023 se celebrara por cuarto año consecutivo lo que ya viene convirtiéndose en una tradición: el concierto solidario en el que unos grupos de rock, aficionados o semiprofesionales y un público entregado donan su tiempo y la pequeña contribución de la entrada a la solidaridad con los más pequeños.

Con dedicación, pocos medios y de forma desinteresada, un puñado de personas convirtieron esta pequeña ilusión en un evento que se consolida año tras año y al que poco a poco, medios y entidades de todo tipo contribuyen para que crezca y renueve su primer éxito.

 

En beneficio de:

 

ADD. Asociación desafía Dravet, asociación cuyo objetivo es mejorar la calidad de vida de los niños afectados por el Síndrome de DRAVET y enfermedades asociadas así como promover proyectos de investigación para lograr una cura.

El síndrome de Dravet es una de las llamadas enfermedades “raras”, una canalopatía infantil con crueles consecuencias en el día a día de las familias en las que está presente y con un progresivo y acusado deterioro cognitivo y motriz de los niños que hoy día no tiene cura y en muchos casos fatales consecuencias.

www.desafiadravet.com

Aspanovas Bizkaia. Asociación de padres de niños con cáncer de Bizkaia. El colectivo objeto de intervención de ASPANOVAS Bizkaia es el menor y su familia en su dimensión psicosocial, poniendo énfasis en la mejora de la calidad de vida de todos los niños afectados de cáncer, dirigiendo sus esfuerzos a la normalización en todas las facetas de su vida diaria.

Así, trabaja para que la atención sanitaria, social y educativa llegue en igualdad de condiciones a todos los niños y conseguir crear y potenciar foros de encuentro y actividades que ayuden al entendimiento y sensibilización de la problemática con la que una familia se encuentra cuando un hijo es diagnosticado de cáncer.

aspanovas.org

Voluntechies. Talleres de realidad virtual para ayudar a las personas

En Voluntechies se utilizan las nuevas tecnologías para mejorar la vida de las personas, y en particular de aquellos que más lo necesitan como los niños hospitalizados y también personas mayores.

A través de talleres con Realidad Virtual ofrece una innovadora experiencia inmersiva  para que estas personas puedan olvidarse por un momento del dolor, la enfermedad o la soledad, para disfrutar y evadirse de su realidad cotidiana.

www.voluntechies.org/

Estas asociaciones sin ánimo de lucro percibirán de forma equitativa todo lo recaudado en el evento.

 

Grupos Participantes :

 

Los 3 grupos colaboradores son

Reverendo G´s Band grupo aficionado country-folk quienes colaborán con el evento Rock&Roll Solidario.

The Associados. Grupo de rock; sexteto de versiones de grandes clásicos del Rock desde los años 70 en adelante. También presente en las anteriores ediciones.

Entre el repertorio caben destacar temas de ZZ Top, Rolling Stones, Pink Floyd, Stereophonics, Dire Straits, Police, Bruce Sprinsteen, Tom Petty, The Doors…… o alguna versión de la Creedence y de Neil Young

Rufus. Se forma a principios de 1.980 como derivación del grupo «Rufus T. Farfly», enmarcado dentro de un estilo de finales de 1.970 denominado Rock Sinfónico. A partir de ese momento con el quinteto definido y con el nombre reducido a RUFUS, el grupo comienza a evolucionar musicalmente pasando del rock sinfónico hacia formatos cada vez mas pop-rock, hasta llegar en su evolución a la practica de una música que podíamos denominar como «POP-DURO».

 

Fecha, Hora y Lugar:

 

El 13 de enero de 2020 a las 19 horas en la Sala Stage Live, en Uribitarte 8, BILBAO.

En los cambios de grupo se sortearán los regalos donados incluyendo alguna sorpresa. Entradas : https://entradium.com/events/4-edicion-rock-roll-solidario-eurengatik-por-ellos-bilbao

---

FNAC + CELSIDE + HUBSIDE

---

 

Esto que voy a contar es real y lo hago con un doble propósito.

Por un lado, el advertir a la gente ahora que estamos en post Black Friday, que si se han pasado por el FNAC y además del dispositivo que iban buscando han salido con el paquete seguro CELSIDE + HUBSIDE, estén atentos por favor a los que voy a contar para evitar el desgaste que puede suponer a futuro.

Por otro lado me parece un caso muy trabajado de ingeniería Social adaptado al negocio moderno con un gran trabajo de malas prácticas a fin de conseguir beneficios.

Y lo voy a ir describiendo en tiempo real a modo de estudio según vayan aconteciendo los hechos.

Como para mi es algo nuevo, quiero comprobar las herramientas de que disponemos los usuarios para lidiar con este tipo de triquiñuelas.

Esta historia que os voy a contar empieza en el mes de Marzo de lo más normal. Una empresa que transmite confianza como FNAC intentado vender un valor añadido a un producto a través de un seguro (CELSIDE), más un paquete que no está muy claro que ofrece (HUBSIDE) pero que en ese momento parece formar parte del mismo seguro.

Lo cierto es que los nombres generan cierta confusión CEL – HUB + SIDE. Luego ya me entero que forman parte del mismo grupo (SFAM) y que son uno de los mayores acciones de FNAC.

Tal como te lo vende el empleado de FNAC no se ven más que ventajas. Quizás note excesivo interés e ímpetu en la venta de estos servicios. Luego también uno se entera de esa comisión por venta de contrato y como son adoctrinados para ello.

Primer mes gratis con el contrato CELSIDE (Intensive plus) (19.99€)  + HUBSIDE Exclusive (24,99€) y antes de que finalice el mes debiendo llamar para cancelar, modificar o continuar. Todo ello con una oferta de bienvenida de 30€, por no hablar del móvil que se supone me iban a regalan y tenia que escoger de un amplio catálogo:).

Simplemente con el primer despiste en esa primera llamada por parte de muchos la jugada puede empezar a ser maestra y rentable (nada nuevo), pero en mi caso me apunte la fecha para intentar no caer, y llegado el momento modificar ese contrato premium por el Small (3,90€) que cubría mis intereses.

Y efectivamente así lo hice. Por un lado llamar para modificar el seguro al paquete básico, y por otro cancelar el paquete HUBSIDE ESCLUSIV que personalmente no me aportaba nada.

Hasta este momento todo parecía normal. Pero compañeros aquí es donde se empieza a torcer todo.

No quiero entrar muy en detalle porque tiene mucha más miga el asunto (regalo de móvil o servicio de sustitución pasado el año por uno superior), pero de repente de deber estar pagando esa pequeña cantidad pactada, se convierte en algo variable dependiendo del mes y las llamadas para reclamar el asunto. Por ejemplo 3,90€ + 9,99€ + 29,90€ + 29,90€ en Junio + el contrato de HUBSIDE (24,99€) que sigue coleando.

La primera explicación que se me ofrece por parte de CELSIDE es la de que han migrado mi contrato de forma unilateral a otro más ventajoso (entiendo que para ellos), y por ende mucho más caro.

Según me informan en una de las varias reclamaciones, han intentado contactar conmigo por correo y teléfono sin éxito para informarme del cambio que de una manera unilateral habían decidió por su parte. Supongo que no tendrán problema en presentar todos esos correos y llamadas como justificación.

Eso se podría discutir, pero donde no hay discusión alguna es en que yo haya firmado ningún tipo de modificación de contrato.

De todas formas amablemente me comentan que solucionaran el malentendido generado, y que en un plazo de 3 semanas iba a disponer del ingreso pertinente en mi cuenta. Supongo que serán semanas en otro plano de tiempo astral porque de esto último han pasado unos cuantos meses.

A la vista de que no verse una solución, vuelta a llamar repitiendo el proceso hasta en 4 ocasiones y en todas ellas nuevamente la misma respuesta.

Y es curioso porque me intentan convencer, y una vez vuelto a explicar todo con evidencias, nuevamente misma respuesta: En el plazo de 24/48 horas nos pondremos en contacto con usted para darle una respuesta.

Curioso es que tampoco se me da opción de poner ninguna reclamación ni se me facilite ningún tipo número de incidencia para poder seguir el caso.

Precisamente hoy he vuelto a llamar porque sigue sin solucionarse el asunto. Y sabéis que…misma respuesta.

Como tengo una nariz muy grande que supongo me ayuda a desarrollar mi olfato, me da por aplicar conceptos avanzados de OSINT y lanzar una simple consulta en Google: fnac celside hubside.

Y que es lo que primero que me encuentro. Frases como el timo de HUBSIDE y CELSIDE, reclamación a FNAC a la OCU, muchas páginas en las que la gente describe como ha sido victima por comprar en Fnac…

Pero hay una noticia del ya por aquel 2019 que tiene como titular lo siguiente:

«Fnac «regala» el seguro para móviles de una empresa sancionada por prácticas engañosas en Francia»

Y que cuenta cosas tan interesantes como las siguientes:

«La Dirección de Competencia y Asuntos del Consumidor de su gobierno investigó y el pasado mes de junio impuso una multa de 10 millones de euros a la aseguradora, llamada SFAM, que ha debido reembolsar todos los cargos no deseados. Para los investigadores, las técnicas de venta eran engañosas. También encontraron documentos que probaban que la compañía «trabajó deliberadamente» para suscribir a clientes sin su consentimiento expreso»

Ahora la pregunta que me lanzo es la siguiente: ¿Estamos tan indefensos como consumidores que no podemos hacer nada al respecto con todo lo presentado por tanta gente?.

Evidentemente la respuesta tiene que ser NO.

También me lanzo otro tipo de preguntas:

¿De verdad que para empresas como FNAC son ventajosas a futuro este tipo de practicas?.

Igual es que estoy muy centrado en la tecnología y este tipo de asuntos escapan a mi compresión.

 

ACTUALIZACIÓN 04/12/2021

Siguiendo con la saga, y no siendo necesario el ser un lince, esa esperada y prometida llamada que iba a recibir en 24/48 horas, parece que ha vuelto a quedar en saco roto.

Como consumidor medio inexperto ante situaciones de este tipo, mi siguiente acción es recurrir a terceros actores para agilizar y mediar ante esta desagradable situación. Uno ya tiene una edad en la que además es necesario el comprar algo de tiempo.

Y lo hago por un doble sentido: Por un lado repartir el desgaste al que someten al consumidor apoyándome en empresas mas versadas en estos menesteres, a la vez que quiero dejar esa miga de pan que pueda marcar el camino a futuras personas que puedan vivir situaciones similares.

Por ello expongo mi caso ante la OCU a fin de que actúen como mediadores.

Sabiéndolo de antemano, no es ninguna sorpresa el enterarme de no ser el primero en ejecutar una denuncia contra ese holding FNAC/CELSIDE/HUBSIDE (SFAM).

Es mas, navegando por Internet veo que Manuel Burque comparte una experiencia similar en la que expone como ha sido estafado por comprar en FNAC.

Sin realizar mucho esfuerzo en mis búsquedas, veo mucha gente contando experiencias desagradables vividas con CELSIDE.

Ya no solo es el que te cobren lo que quieran o no te hagan caso alguno a tus reclamaciones, sino que si tienes la mala suerte de sufrir un siniestro no parecen ser muy resolutivos que parezca: https://es.trustpilot.com/review/www.celside.com

Esta claro que mi caso simplemente es esa punta que asoman de ese gran Iceberg.

Desde la web SegurosNews veo que también publican un articulo en la que SFAM (que es quien me factura) cuyo titular es:

El Consejo General denuncia un intento de fraude de SFAM al comercializar seguros para móviles.

Como he prometido seguiré informando de los devenires de este asunto por parecerme importante dar la visibilidad que se merece.

Espero a su vez que sirva para mostrar una foto de la realidad que uno vive cuando tiene que mediar con un problema de este tipo.

 

ACTUALIZACIÓN 21/12/2021

Continuando con esta saga, comentar que hace un par de semanas ambas empresas se pusieron con contacto conmigo.

Desde Celside Insurance Spain se me informo y confirmo que ya estaba el tema aclarado y solucionado, a la vez que se me aseguro firmemente que se iba efectuar el ingreso de una determinada cantidad que ellos habían estimado.

En esa misma llamada ya quedo claro que esa cantidad estimada no estaba bien calculada, pero me confirmaron que ese primer ingreso se iba a realizar de forma inmediata a la vez que iban a revisar el resto de recibos los cuales envié extracto para que dispusieran del detalle y pudiesen atinar en las cuentas (esto último no es la primera vez que lo hago).

Desde HUBSIDE también se pusieron en contacto conmigo, y de igual modo me confirmaron que iban a realizar una gesto comercial hacia mi persona en forma de devolución de todos los recibos pagados.

A día de hoy, es decir 2 semanas más tarde, y entendiendo por mi parte que ha pasado un tiempo mas que prudencial aun sigo esperando ambos ingresos.

Sin dedicar mucho tiempo a pensar uno llega de forma sencilla a la conclusión de la cantidad de dinero que estás empresas pueden llegar a obtener simplemente por la vía del agotamiento al consumidor, a sabiendas de que este justifica con pruebas solidas su razonamientos quedando evidenciadas malas prácticas o de índole muy dudosa.

Pero es claro que este no va a ser el escenario para conmigo. Me gusta sentir que puedo defenderme ante acciones injustas. En reiteradas ocasiones he comentado la rabia que me generan los abusos de poder ante situaciones poco equilibradas entre ambas partes.

Grandes empresas apoyándose en ese musculo que les gusta desplegar a fin de amedrentar al pequeño consumidor quien se siente completamente desprotegido y sin opciones.

Además me alucina que sigan saliendo casos y casos, y se publiquen noticias y noticias al respecto y no se tome ningún tipo de medida al respecto. Internamente la verdad es que me surgen ciertas preguntas a las que me cuesta dar respuesta.

Desde Hipertextual por ejemplo han publicado un interesante articulo que titulan «HUBSIDE, EL REGALO ENVENENADO QUE TE CUEKA FNAC CON UN SEGURO PARA MÓVILES» (https://lnkd.in/d2FAEPwu) en el que dan una muestra de las practicas engañosas ya denunciadas en Francia y por la que ya recibieron una multa de 10 millones de Euros en el 2019.

Quien sabe. Igual simplemente lo estén dilatando en el tiempo para que cuadre como regalo de navidad.

 

ACTUALIZACIÓN 08/02/2022

Antes de nada dar las gracias a todos los que estáis siguiendo este hilo. A ver si poco a poco llegamos a los 10k.

Lo cierto es que es una pena el seguir recibiendo mensajes de gente desesperada, frustrada e impotente que se encuentra en mi misma situación.

A todos vosotros os confirmo que ni mucho menos he desistido, sino que sigo en plena batalla entiendo dando los pasos necesarios a fin de dar respuesta a esta incomprensible situación.

Lo último que os comente es que había puesto en manos de la OCU la reclamación (Expediente: 03162950). En su momento me informaron de la necesidad de dejar ese margen de 30 días que iba a necesitar antes de recibir respuesta.

Y esa respuesta llego ayer y os la adjunto literal.

Según Hubside : En cuanto a la solicitud de devolución de cuotas, al no haber utilizado de forma activa su contrato, nuestros asesores procedieron a validar un reembolso por valor de 74,97€ a fecha 7 de diciembre de 2021. Este importe será ingresado en un plazo estimado de 35 días hábiles.

Según Celside : Nuestros asesores procedieron a validar un reembolso por valor de 74.97€ en concepto de prestaciones de servicio y su evolución a fecha 7 de diciembre de 2021. Este importe será ingresado en un plazo estimado de 35 días hábiles. En cuanto a la oferta de bienvenida de 30€, esta únicamente es disponible para modalidades INTENSE. Al cambiar de modalidad, ya no es elegible para la oferta.

Dos servicios completamente «independientes» en los que recibo una respuesta sospechosamente similar. Se ve que mucho interés no están poniendo en resolverlo.

Como se puede ver el departamento jurídico de ambas empresas dicta que la cantidad que se me debe reembolsar es de 74,97€ y en las mismas fechas.

¿No os suena raro?. Además para ser una aseguradora no parece que se les den bien las cuentas porque no han dado una, o quizás se les den demasiado bien:) ¿De dónde habrá salido ese importe?.

Por otro lado el discurso que le dan a la OCU como estáis viendo es el mismo que llevo escuchando los últimos meses. A 7 de Diciembre en el plazo de 35 días se ejecutara el ingreso.

Estamos a 08/02 y en mi cuenta no ha entrado nada.

Esta claro que Intentan desesperar a la gente a fin de que desista.

Yo soy mas de vías amistosas, pero visto que no termina de avanzar la película y su predisposición en ayudar, ahora toca arrancar la vía judicial además de poner denuncia por ESTAFA ante la unidad de Delitos Telemáticos UCO – Guardia Civil, porque ahora si que realmente me esta pareciendo una verdadera estafa.

Supongo que les debe de salir rentable el seguir con este tipo de practicas con las que parecen campar impunemente. Entiendo que a Celside y Hubside seguro, ¿pero a un Fnac le compensa la imagen que esta proyectando?.

Supongo que serán nuevas estrategias de Marketing y comunicación de tiempos modernos que no termino de entender.

ACTUALIZACIÓN 27/05/2022

Recupero este hilo porque parece que no termino de cerrar este tema.

Algo hemos avanzado porque al menos HUBSIDE ha devuelto lo que no era suyo, pero de momento no escucho mas que promesas por parte de Celside Insurance Spain que apelando al buen afán de las personas siguen con promesas incumplidas.

En vez de devolverme lo que realmente se me debe, lo hacen con cacahuetes a lo mono complaciente aplaudiendo se deben de pensar.

Exactamente me han devuelto la friolera de 74,97€. Evidentemente es una forma clara de asumir su culpa, pero unas matemáticas de primero les debieran dar para entender que las cuentas no terminan de cuadrar.

Algo que empieza a molestarme porque recibo llamadas complacientes en las que se repite su discurso una tras otra vez. «No se preocupe caballero que el rembolso completo esta aceptado y lo vera aplicado en su cuenta en pocos días». Reconozco que esa parte la tienen muy bien trabajada.

A saber en que cuenta termina aterrizando ese dinero. Lo que tengo claro es que no es la mía.

Dicho esto, Celside Insurance Spain voy a recuperar lo que indique en el último mensaje publicado al respecto:

«Yo soy mas de vías amistosas, pero visto que no termina de avanzar la película y su predisposición en ayudar, ahora toca arrancar la vía judicial además de poner denuncia por ESTAFA ante la unidad de Delitos Telemáticos UCO – Guardia Civil porque ahora si que realmente me esta pareciendo una verdadera estafa.»

Y lo hago porque ya son varias las personas que se han puesto en contacto conmigo indicándome que les esta pasando esto mismo.

Es más, los mismo trabajadores los se empiezan quejarse de las prácticas abusivas que les obligan a aplicar desde Celside Insurance Spain.

To be continued…

 

ACTUALIZACIÓN 02/12/2022

Vuelvo a recuperar este hilo porque sois muchos los que me estáis preguntando en relación a la estafa que vengo sufriendo por parte de la empresa SFAM LIMITED.

Empresa que después de liarla en Francia, recibiendo una multa de 10 millones de euros por malas prácticas, decide aterrizar en España de la mano de HUBSIDE y Celside Insurance operando con la misma mala praxis e impunidad.

Si seguís el hilo os acordareis que personalmente el regalo envenenado me llego por parte de Fnac quien forma parte del grupo SFAM, y a quienes consideraba tener la suficiente elegancia como empresa como para tener que rebajarse a ese tipo de prácticas con sus clientes.

Bien es cierto que a raíz de los miles de denuncias que han venido sufriendo por parte de los usuarios, parece que su relación ya no es tan cordial y es el propio Fnac quien rompe vínculos aconsejando cancelar los seguros contratados con Celside Insurance y HUBSIDE.

A esto sumamos que otras empresas, como la de la manzana mordida que también operaban con ellos al menos en determinadas tiendas oficiales, a día de hoy no quieren ni oir hablar de SFAM dada su nefasta experiencia.

Por no hablar de algún toque que la Agencia Española de Protección de Datos por denuncia de usuaria, canales de Telegram con cientos de afectados, peticiones en plataformas como change.org o cualquier tipo de medio por el que los usuarios comparten nefastas experiencias a fin de poder terminar con esta amarga pesadilla.

Dicho esto y habiendo buscado una solución de forma personal y amistosa, posteriormente bajo la tutela de la OCU para buscar mediación y finalmente bajo denuncia por estafa presentada en la comisaria de la policía, y la vista de que nada de ello les ha hecho reaccionar, siguiendo los cánones establecido ahora toca presentar denuncia por vía judicial.

Denuncia que ya tengo preparada para entregar en el juzgado, y sepáis que como el importe es inferior a 2.000€ no se requiere de abogados ni procuradores.

De momento hasta aquí puedo leer pero tengo el voto de confianza que doy a la justicia, porque entiendo que esta no puede permitir que empresas poderosas puedan aplicar el mandato de su poder saltando las leyes escritas ninguneando a los consumidores.

 

ACTUALIZACIÓN 04/10/2024 – FINAL DE LA HISTORÍA

Como es la vida de caprichosa que acabo de terminar de escribir un articulo referente a ciberestafas, y allá por finales del 2021 terminaba el año con una noticia en la que explicaba la impunidad con la que parecían operar estas compañías, carentes de conciencia que se dedicaban a engañan a la gente sin mostrar moral alguna.

Por aquella época daba a conocer la estafa sufrida en primera persona, detallando desde entonces todo el proceso vivido, con el simple y único objetivo de dar a conocer las maquiavélicas técnicas de las que hacen uso para engañar a los consumidores.

Siendo neófito en estos asuntos quería comprobar si las herramientas de que disponíamos los consumidores eran efectivas, para de este modo marcar un posible camino a los miles de personas que venían sufriendo las mismas prácticas ilegales por parte de estas compañías.

Me inundaba la rabia ante la impunidad con la que parecían operar ante la justicia.

Ni os imagináis la cantidad de gente que se puso en contacto conmigo y las miles de voces que se alzaban en Internet denunciando prácticas similares.

Una simple búsqueda en Internet ya nos transmite la realidad sufrida por muchos.

Pero si de algo creo sentirme dueño y orgulloso es de una infinita paciencia, templanza y capacidad para afrontar este tipo de situaciones.

Y eso es algo importante porque como estrategia principal van a intentar aprovecharse del desgaste que acompaña al tiempo, para que finalmente desistamos por agotamiento.

Es cierto que ha sido un largo camino pero no debemos desesperar porque todos los caminos tienen un final.

Por aquel 02/12/2022 termina escribiendo:…… «Denuncia que ya tengo preparada para entregar en el juzgado, y sepáis que como el importe es inferior a 2.000€ no se requiere de abogados ni procuradores.

De momento hasta aquí puedo leer pero tengo el voto de confianza que doy a la justicia, porque entiendo que esta no puede permitir que empresas poderosas puedan aplicar el mandato de su poder saltando las leyes escritas ninguneando a los consumidores.»

Pues hoy 03/10/2024 he recibido el fallo final del juzgado en el que finalmente se me otorga la razón y se les condena a abonar la cantidad completa denunciada + los intereses, además de correr con las costas procesales.

Con esto lo que quiero es animaros a defender y pelear por lo que es justo, por muy grande que parezca el muro al que debéis enfrentaros, porque la razón y la paciencia son armas muy poderosas.

Saludos

El año pasado Mapfre tuvo la mala fortuna de sufrir un incidente de Seguridad, pero al mismo tiempo supo gestionarlo de una forma diligente y transparente.

Después de leer la resolución de la Agencia española de protección de datos del ciberincidente que sufrió, me tomo la libertad de resumir en un pequeño cronograma la información que se refleja en el informe a fin de que todos nos podamos aprovechar del buen trabajo realizado.

Por razones obvias no es sencillo encontrar tanta transparencia en este tipo de incidentes.

Este ejercicio lo veo como una forma de tomar conciencia de lo «sencillo» que puede ser el sufrir un vector de entrada de este tipo y las consecuencias que vienen derivadas del mismo.

Creo que es inteligente el asumir que cualquier empresa puede sufrir un ataque de este tipo, y en la medida de las posibilidades de cada una, debemos intentar controlarlo, mitigarlo y resolverlo de la manera más eficiente.

Es importante al menos tener constancia de que este tipo de incidentes suceden en el mundo real más a menudo de lo que nos gustaría. La técnica del avestruz no funciona muy bien en estos casos, ni tampoco el pensar el que uno nunca va a ser blanco ante este tipo de ataques.

1 Agosto

• Se captura contraseña de una colaboradora (posiblemente equipo personal infectado por campaña phishing)
• Esa contraseña permite acceso al puesto virtual

1-7 Agosto

• Accesos desde distintos países a otros servidores para recoger credenciales de usuarios privilegiados
• Se obtiene credenciales de usuario privilegiado

1-11 Agosto

• Se analiza la red, servidores de ficheros y recursos compartidos
• Se intenta Exfiltración de datos (bloqueado por Mapfre)

14 Agosto

• Atacante distribuye ejecutable map.exe asociado al Ransomware Ragnar Locker a los servidores
• Se ejecuta de forma remota el archivo
• Se identifica con la monitorización y se activa el protocolo de alto impacto.
• Se abre el procedimiento de gestión de incidentes
• Se activa el comité de crisis
• Se activan los planes de continuidad de negocio
• Se activa call permanente con personal del área de seguridad y tecnología
• Se detecta ataque de Ransomware y se dan instrucciones para contener y evitar la propagación
• Apagar todos los servidores no imprescindibles
• Sacar de línea la copia de Backup y aislar segmentos de red
• Cortar conexiones desde Mafre hacia el resto de las empresas
• Limitar el número de conexiones remotas a un reducido número de usuarios
• Se informa de la situación a los responsables de seguridad de los principales socios

15 agosto

• Empezar a recuperar puestos de trabajo y se mantiene activo el comité de crisis para continuar con toma decisiones
• Se confirma la integridad y disponibilidad del Backup
• Se trabaja en la estrategia para recuperar los servicios
• Se busca apoyo en terceras empresas
• Resetear contraseñas de administradores y reducir usuarios admin
• Se aumentan las capacidad de monitorización, detección y respuesta
• Se consigue identificar y aislar el malware, se envía para análisis
• Se trabaja con el proveedor antivirus para que este garantice que se detecta el malware enviado
• Llega personal de refuerzo a los Contact Center para atender a los clientes
• Se contacta con Incibe (Instituto Nacional de CiberSeguridad) y CCN-CERT (Centro criptológico Nacional) para informar del ciberataque
• Se publica en la Web un comunicado del ciberataque

16 Agosto

• Se notifica el incidente a la AEPD (Agencia Española de Protección de Datos)
• Se levantan nuevos puestos de usuario y se abren las comunicaciones con terceros informándoles

17 agosto

• Se presenta denuncia ante las Fuerzas y cuerpos de seguridad del estado
• Se refuerzan las medidas de seguridad entre las que se encuentran el utilizar el 2FA (Doble factor de autenticación)

19 Agosto

• Se despliegan nuevas medidas de seguridad e instalar agentes en los equipos que avisen de afectación o persistencia del virus

20 Agosto

• Se empiezan a distribuir con terceros los IOC (Indicadores de compromiso)

23 agosto

• Se coordina la implantación de las acciones de refuerzo en el resto de los países

01 Septiembre

• Todos los puestos están operativos

13 Septiembre

• Estar prácticamente todos los elementos de la red restaurados

21 septiembre

• Nueva comunicación con la AEPD para informar

23 Septiembre

• Todos los equipos en toda la organización recuperados. Finalizan las investigaciones y se da la red como segura

12 Octubre

• Se da por cerrada la recuperación de los puestos de los proveedores

26 Octubre

• Se comprueba los últimos servidores y se concluye que los atacantes no tienen acceso a ninguno de estos

28 Octubre

• Comunicación AEPD de que se ha cerrado la brecha de seguridad tras análisis forense.

13 Noviembre

• Se confirma erradicación de cualquier credencial que los atacantes pudieran haber utilizado.

CAUSAS HICIERON POSIBLE LA BRECHA

• Los atacantes crearon una muestra indetectable para el software antivirus de la compañía
• Uso de herramientas sofisticadas de hacking
• Aumento de la superficie de exposición al trabajar desde casa con equipos personales lo que permitió comprometer una cuenta para acceder a la red

MEDIDAS MITIGACIÓN

• En primera instancia para evitar la propagación al resto de la red se aislaron varios segmentos de la misma.
• Se pagaron sistemas ( esto supuso una degradación y pérdida temporal del servicio)
• Se activó el plan de continuidad del negocio
• Convocar el comité de crisis
• Se abrió un línea de trabajo para restauración de los sistemas (participan proveedores)
• Restablecer los servicios más críticos
• Desde la primera noche se contactó con CCN-CERT e INCIBE y denunciar a la Guardia Civil
• Contactar con fabricantes de seguridad para establecer un plan de refuerzo
• Refuerzo en la detección de los ataques en política Antivirus
• Mejorar la protección AntiSpam
• El uso por todos de 2FA
• Incrementar las capacidad de monitorización y respuesta ante incidentes
• Aumentar las restricciones para navegar por internet
• Incluir los IOC en todas las plataformas y filtros de Seguridad
• Mejorar la prevención de ataques DDoS
• Incrementar el nivel de control de los usuarios administradores

DATOS AFECTADOS

• IdUsuario + contraseña (Datos básicos)

COMUNICADOS

• Comunicar públicamente la situación a las pocas horas de conocerla
• Comunicado en la Web
• Locución en el Contact Center
• Mensaje en Redes Sociales
• Comunicados a empleados
• Comunicados a la AEPD

MEDIDAS IMPLANTADAS CON ANTEIORIDAD A LA BRECHA

• Gestión de identificadores de los usuarios (Exponer al mínimos datos personales)
• Para posibilidad trabajar en remoto se realizó un plan de Reconfiguración de CiberSeguridad
• Se definió un plan de auditorías

MEDIDAS POSTERIORES

• Comprobar la creación de un Golden Ticket.
• Erradicar cualquier puerta trasera en ese sentido que se pudiera haber generado

AEPD

• Determina si se disponían de medidas de seguridad razonables
• Si existen auditorias para el cumplimiento de la RGPD
• La información que se ha Exfiltrado y si esta estaba protegida.
• El volumen de información Exfiltrada, y los mecanismos para evitar el mismo
• Valora rápida actuación, notificaciones y comunicaciones a clientes proveedores y empleados

Informe AEPD