MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Aprender de la gestión de crisis y el papel del abogado en la filtración de información de Capcom

General Corporate

Aprender de la gestión de crisis y el papel del abogado en la filtración de información de Capcom

La filtración de información de Capcom que ocurrió en noviembre de 2020 (año 2020 del calendario gregoriano) fue causada por un ransomware personalizado, y hubo la posibilidad de que se filtraran hasta 390,000 registros de información personal.

Por supuesto, es mejor que no ocurran incidentes, y lo más importante es establecer un sistema para prevenirlos. Sin embargo, no importa qué tipo de sistema se implemente, es imposible reducir la probabilidad de ocurrencia a cero.

En caso de que ocurra un incidente de este tipo, ¿qué medidas e investigaciones deberían llevarse a cabo inmediatamente después, y cuándo y cómo deberían anunciarse?

Por lo tanto, en este artículo, desde el punto de vista de la gestión de crisis para el incidente de “fuga de información personal por malware”, explicaremos cronológicamente el incidente de fuga de información de Capcom para aprender el sistema de gestión de crisis adecuado a partir de la respuesta de la compañía.

※Los abogados tienen un alto deber de confidencialidad bajo la Ley de Abogados Japonesa para los casos en los que están realmente involucrados como abogados. Este artículo expresa la opinión del abogado basada en información que ha sido publicada al público sobre casos pasados en los que nuestra firma no estuvo involucrada.

Detección del incidente y respuesta inicial

El incidente fue confirmado el 2 de noviembre de 2020.

En ese momento, se confirmó una falla de conexión con el sistema interno, y se iniciaron las acciones para desconectar el sistema y entender la magnitud del daño.

El mismo día, se descubrió que la causa de la falla era la encriptación de archivos en dispositivos de la red debido a un ataque de ransomware.

En los dispositivos afectados, se encontró un mensaje de amenaza de un grupo que se hace llamar “Ragnar Locker”.

En este punto, Capcom ha informado a la Policía de la Prefectura de Osaka y ha solicitado apoyo para la recuperación a empresas externas.

Es naturalmente necesario para la continuidad del negocio de una empresa apresurarse a restaurar el sistema en el momento del incidente. Sin embargo, si se confirma un ataque de ransomware, es muy probable que se trate de un acceso no autorizado, una acción prohibida por la Ley Japonesa de Prohibición de Acceso No Autorizado.

Es importante informar rápidamente a la policía antes de que se confirme la filtración de información confidencial, incluyendo información personal, y antes de que se identifique la ruta de intrusión.

Gestión de crisis de relaciones públicas antes de la detección de la fuga de información

Y el día después del incidente, el 4 de noviembre, Capcom publicó su primer comunicado de prensa titulado “Anuncio sobre la aparición de fallos en el sistema debido a un acceso no autorizado”.

Con respecto a este fallo, hemos confirmado que se ha producido un acceso no autorizado por parte de un tercero, y hemos suspendido parcialmente la operación de nuestra red interna desde ese día. Nos disculpamos profundamente por las grandes molestias que esto puede causar a todas las partes interesadas. Además, en este momento, no se ha confirmado ninguna fuga de información del cliente.

Anuncio sobre la aparición de fallos en el sistema debido a un acceso no autorizado [ja]

En este punto, se trata simplemente de la “aparición de fallos en el sistema” debido a un “acceso no autorizado”, y la fuga de información aún no se ha detectado.

Comunicado de prensa tras la detección de una filtración de información

Número de casos de información personal que podrían haberse filtrado, etc.

La filtración de información se detectó el 12 de noviembre.

Se confirmó la filtración de información personal en 9 casos y de parte de la información de la empresa.

Al día siguiente, Capcom consultó con una empresa especializada en seguridad para investigar la causa y el 16 de noviembre, publicó un comunicado de prensa confirmando la filtración de información.

En este punto, se distinguió entre:

  • Información confirmada como filtrada
  • Información que podría haberse filtrado

Y para cada una de ellas, se distinguió entre:

  • Información personal (clientes, socios comerciales, etc.)
  • Información personal (empleados y personas relacionadas)
  • Información de la empresa (información de ventas, información de socios comerciales, materiales de ventas, materiales de desarrollo, etc.)

Y se publicó el número aproximado de casos.

En este punto, se anunció que “hay una posibilidad de filtración de información personal de hasta aproximadamente 350,000 clientes”.

Posible filtración de información de tarjetas de crédito y medidas tomadas

Además, al mismo tiempo, se mencionó la posibilidad de filtración de información de tarjetas de crédito y se dijo:

Además, nuestra empresa subcontrata todos los pagos en ventas en línea, etc., por lo que no poseemos información de tarjetas de crédito y no ha habido ninguna filtración de dicha información.

Aviso y disculpa sobre la filtración de información debido al acceso no autorizado[ja]

Además, se publicó información sobre:

  • Medidas tomadas para las personas cuya información personal se confirmó que se filtró y las que podrían haberse visto afectadas
  • El proceso de detección y respuesta
  • Medidas futuras

Y se publicó dicha información.

Orientación y asesoramiento de abogados externos, etc.

Y en el comunicado de prensa, se declaró:

Informamos la situación a una gran empresa de software, un gran proveedor especializado en seguridad y un abogado externo con profundo conocimiento en ciberseguridad, y establecimos un sistema para obtener orientación y asesoramiento. Comenzaremos a contactar a las personas cuya información se confirmó que se filtró y a las partes relacionadas, y continuaremos investigando la información que podría haber sido robada.

Aviso y disculpa sobre la filtración de información debido al acceso no autorizado[ja]

Se hizo tal declaración.

Además, se establecieron “Puntos de contacto para consultas sobre información personal” y “Punto de contacto exclusivo para consultas sobre la filtración de información de Capcom”, y se prepararon “Punto de contacto para consultas de usuarios de juegos” y “Punto de contacto para consultas generales”, ambos con números gratuitos.

Y desde el momento en que se detectó la filtración de al menos parte de la información hasta que se publicó el comunicado de prensa anunciando la filtración de información, pasaron 4 días.

Se cree que este fue un período necesario para verificar información detallada como la mencionada anteriormente y tomar decisiones sobre medidas futuras, etc.

Fuga de información personal y gestión de crisis

A diferencia del primer informe sobre “fallas del sistema”, el segundo informe que dice “hasta 350,000 registros de información personal del cliente podrían haberse filtrado” será cubierto por varios medios de comunicación.

Capcom sufrió un ataque de acceso no autorizado por ransomware personalizado de un tercero, y la información personal que posee el grupo de la compañía se filtró. A partir del 16 de noviembre, la información que podría haberse filtrado, incluyendo clientes y proveedores, asciende a un máximo de aproximadamente 350,000 registros. También es posible que se hayan filtrado materiales de ventas y de desarrollo.

Capcom, fuga de hasta 350,000 registros de información personal debido a acceso no autorizado “No hay problemas con el juego” – BCN+R[ja]

Sin embargo, en el momento del comunicado de prensa, también se publicó información sobre “la historia del descubrimiento y la respuesta” y “la respuesta futura”, por lo que el artículo anterior concluye con una declaración como “En el futuro, además de colaborar con las autoridades policiales, estableceremos una organización asesora sobre seguridad del sistema por expertos externos y nos esforzaremos por prevenir la recurrencia. No se espera que el daño se extienda a los usuarios o al exterior a través de la conexión a Internet para jugar a los juegos de la compañía o el acceso a la página web de la compañía. Además, se está llamando la atención a los usuarios que podrían haber tenido una fuga de información personal, ya que podrían recibir correo no reconocido o contactos sospechosos”.

En un comunicado de prensa después de que se descubrió la fuga de información personal, es importante revelar información bastante completa, incluyendo “la historia del descubrimiento y la respuesta” y “la respuesta futura”, como se mencionó anteriormente.

Y, en el momento en que se descubre la fuga de información personal,

  • Grandes empresas de software
  • Grandes vendedores especializados en seguridad
  • Abogados externos con profundo conocimiento en ciberseguridad

Es importante formar un equipo con expertos externos como los mencionados anteriormente y llevar a cabo la comunicación con los clientes cuya fuga de información ha sido confirmada, la gestión de crisis de relaciones públicas, etc., en paralelo con las medidas puramente de TI como la investigación de la causa.

Además, en el caso de las empresas cotizadas, también es necesario explicar a los accionistas como parte de esta gestión de crisis de relaciones públicas.

Potencial filtración de información de solicitantes de empleo

Además, en el comunicado de prensa publicado que menciona la “información que podría haberse filtrado” y “información personal (clientes, socios comerciales, etc.) hasta un máximo de aproximadamente 350,000 casos”, se planteó una pregunta en las redes sociales en relación con el hecho de que Capcom había indicado en su sitio web de contratación que se deshacía de la “información de los solicitantes de empleo (aproximadamente 125,000 casos)”.

En cuanto a la información de los solicitantes, Capcom había indicado en su sitio web de contratación que “después de la selección, nos encargaremos de destruir responsablemente los documentos de solicitud de aquellos que no fueron contratados o que rechazaron la oferta de empleo”. Se ha planteado la cuestión en Twitter sobre el hecho de que la información personal que debería haber sido destruida no lo fue. Capcom se disculpó diciendo: “Hemos digitalizado los currículums de los solicitantes y los hemos almacenado durante un cierto período de tiempo. No mencionamos la digitalización y la expresión fue insuficiente, lo que causó un malentendido. Nos disculpamos”. En cuanto a la razón de la gestión, explicaron: “Algunos solicitantes solicitan varias veces. Fue para verificar el historial de solicitudes anteriores de manera fluida”. En cuanto a si se almacenaron todos los datos de los solicitantes, dijeron: “No está claro en este momento”.

Capcom, no destruyó los documentos de solicitud de los no contratados. Aunque se indicó en la página de contratación que “se destruirá con responsabilidad”, existe la posibilidad de una fuga de información debido a un ciberataque – ITmedia NEWS[ja]

Es incierto si Capcom había previsto estas preguntas, pero si existe información que “no debería existir (y es comprensible que se piense así)” dentro de la empresa y existe la posibilidad de que se haya filtrado, sería mejor emitir un comunicado de prensa después de considerar este problema de antemano.

Creación de la Comisión de Supervisión de Seguridad, incluyendo abogados

Publicación del tercer comunicado de prensa

Además, Capcom celebró una reunión preparatoria para el lanzamiento de la “Comisión de Supervisión de Seguridad”, una organización asesora sobre seguridad del sistema por expertos externos, el 21 de diciembre.

El 12 de enero del año siguiente (2021), publicaron el tercer comunicado de prensa titulado “Anuncio y disculpa sobre la fuga de información debido al acceso no autorizado【Tercer informe】”,

Se confirmó la fuga de información de 16,406 personas adicionales, lo que eleva el total desde el inicio del incidente a 16,415 personas. Además, se ha descubierto que la información personal de los clientes y socios externos que podrían haberse filtrado es de un máximo de aproximadamente 390,000 personas (un aumento de aproximadamente 40,000 desde la última vez).

Además, se ha publicado información actualizada a medida que avanza la investigación. Además, además de que no se ha filtrado información de tarjetas de crédito,

Para jugar a nuestros juegos a través de una conexión a Internet o para hacer compras a través de descargas, originalmente no utilizábamos el sistema que fue atacado esta vez, sino que utilizábamos un servidor externo o contratado, y seguimos haciéndolo de la misma manera. Por lo tanto, no hay ninguna relación entre la conexión a Internet o las compras a través de descargas para jugar a nuestros juegos y el ataque cibernético a nuestro sistema esta vez, y no habrá ningún daño para nuestros clientes.

Anuncio y disculpa sobre la fuga de información debido al acceso no autorizado【Tercer informe】 | Capcom Co., Ltd. [ja]

También se ha hecho esta declaración.

Sobre la posibilidad de fuga de información personal de los solicitantes de empleo

Además, en esta ocasión, como “información que se ha confirmado que podría haberse filtrado”, se ha anunciado la posibilidad de fuga de la información personal de “aproximadamente 58,000 solicitantes de empleo” mencionados anteriormente, específicamente “uno o más de nombre, dirección, número de teléfono, dirección de correo electrónico, etc.”

En este punto,

En cuanto a la información del solicitante, se reveló en noviembre que la compañía había estado almacenando la información después de la selección sin destruirla en relación con el ataque cibernético a la compañía. En el “Manejo de la información personal” del sitio de contratación, originalmente se decía “Después de la selección, la destruiremos responsablemente en nuestra compañía”. Luego, en diciembre de 2020, se añadió la frase “Debido a que aceptamos re-aplicaciones, podemos almacenar los datos de los documentos de aplicación que hemos digitalizado a partir de los medios de papel que recibimos durante un cierto período de tiempo para fines de uso como la confirmación suave de las aplicaciones anteriores”. Según la compañía, “La información personal del solicitante todavía se almacena en el sistema interno, y la operación es casi la misma que antes del acceso no autorizado.

Capcom confirma la fuga de información personal de 16,000 personas, y también revela la posibilidad de fuga de 58,000 personas más en el ataque cibernético de noviembre de 2020 – ITmedia NEWS[ja]

Se ha informado de esta manera.

Gestión de crisis de relaciones públicas basada en los resultados de la investigación

Publicación del cuarto comunicado de prensa

Posteriormente, Capcom celebró la primera reunión del Comité de Supervisión de Seguridad el 18 de enero (2021), la segunda reunión el 25 de febrero y la tercera reunión el 26 de marzo, manteniendo un ritmo mensual. Además, el 31 de marzo, recibió un informe de investigación de una gran empresa especializada en seguridad y un informe de una gran empresa de software.

En respuesta a esto, el 13 de abril, publicó el cuarto comunicado de prensa titulado “Informe de los resultados de la investigación sobre el acceso no autorizado [4º informe]”.

En este comunicado, se proporciona una explicación técnica detallada basada en los informes mencionados anteriormente, sobre el “proceso de respuesta”, “la causa y el alcance del daño” y “las medidas para fortalecer la seguridad para prevenir la recurrencia”. Además, se menciona que se ha establecido un Comité de Supervisión de Seguridad, que incluye a un abogado que es un experto en ciberseguridad y en la ley japonesa de protección de datos personales, como medida organizativa.

Informes y respuesta sobre el rescate

Además, el 1 de marzo, se informó que el grupo de cibercriminales “Ragnar Locker” había exigido un rescate de aproximadamente 1.150 millones de yenes a Capcom.

El grupo de cibercriminales “Ragnar Locker” publicó archivos que afirma haber robado de empresas en su propio sitio web y exigió un rescate de 11 millones de dólares en Bitcoin (aproximadamente 1.150 millones de yenes), pero Capcom se ha negado a pagar hasta ahora.

¡Capcom se niega a pagar 1.150 millones de yenes! Razones por las que no se debe pagar el rescate incluso en caso de daño por ransomware | Medidas de seguridad en la era del teletrabajo | Diamond Online[ja]

En respuesta a esto, en el cuarto comunicado de prensa mencionado anteriormente, también se hizo una declaración sobre el rescate.

Sobre el conocimiento del monto del rescate
Es cierto que se dejó un archivo de mensaje del atacante en el equipo infectado con el ransomware, y se nos pidió que nos pusiéramos en contacto para negociar con el atacante, pero el archivo no contenía ninguna mención del monto del rescate. Como ya se ha informado, hemos decidido no negociar con el atacante después de consultar con la policía, y en realidad, no hemos intentado contactar en absoluto (ver el comunicado de prensa del 16 de noviembre de 2020), por lo que no tenemos conocimiento del monto.

Informe de los resultados de la investigación sobre el acceso no autorizado [4º informe] | Capcom Co., Ltd.[ja]

Se cree que esta es una respuesta al hecho de que se mencionó una cantidad específica de “1.150 millones de yenes” en los informes mencionados anteriormente.

Lanzamiento en sitios relacionados, etc.

Además, Capcom, el mismo día, en sitios que no son su propio sitio corporativo, como “CAPCOM: Shadaloo Combat Research Institute” (sitio relacionado con Street Fighter 5) y “CAPCOM ONLINE GAMES”,

[Seguimiento] Anuncio sobre la falla del sistema del grupo
Gracias por usar siempre “Capcom Online Games (COG)”. Hemos publicado la información más reciente sobre la falla del sistema del grupo debido al acceso no autorizado de terceros a nuestro sistema del grupo desde la madrugada del 2 de noviembre de 2020. Por favor, consulte aquí para más detalles.

Detalles del anuncio | Capcom Online Games[ja]

Ha publicado páginas como esta.

Como se reveló en las primeras etapas de esta fuga de información, se trataba de “subcontratación externa o uso de servidores externos”, y “no hay ninguna relación entre el ataque cibernético a nuestro sistema y la conexión a Internet o la compra de descargas para jugar a los juegos, y no habrá ningún daño para los clientes”, pero,

Se cree que se publicó un comunicado en cada sitio para no causar ansiedad a los usuarios al informar los resultados de la investigación.

Resumen

Como se ha visto, en casos de grandes filtraciones de información personal, es importante:

  • Informar rápidamente a la policía en el momento del incidente
  • Preparar un sistema para informar la situación y obtener orientación y consejos de “abogados externos expertos en ciberseguridad”
  • Gestión de crisis de relaciones públicas por el equipo anterior

Y, una vez que se ha recopilado suficiente información, es importante:

  • Formar un comité de supervisión de seguridad que incluya abogados

Podemos decir que es importante manejar la gestión de crisis de manera rápida y organizada.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba