{"id":59269,"date":"2023-11-10T17:08:04","date_gmt":"2023-11-10T08:08:04","guid":{"rendered":"https:\/\/monolith.law\/es\/?p=59269"},"modified":"2024-04-01T13:37:55","modified_gmt":"2024-04-01T04:37:55","slug":"trends-in-personal-information-leakage-and-loss-accidents-in-2019","status":"publish","type":"post","link":"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019","title":{"rendered":"Tendencias en incidentes de filtraci\u00f3n y p\u00e9rdida de informaci\u00f3n personal en el a\u00f1o 2019 (A\u00f1o 31 de la era Heisei)"},"content":{"rendered":"\n<p>Seg\u00fan Tokyo Shoko Research, en 2019, 66 empresas cotizadas y sus filiales anunciaron incidentes de filtraci\u00f3n y p\u00e9rdida de informaci\u00f3n personal. El n\u00famero de incidentes fue de 86, y la cantidad de informaci\u00f3n personal filtrada alcanz\u00f3 los 9.031.734 individuos. En 2019, hubo dos incidentes importantes en los que se filtr\u00f3 m\u00e1s de un mill\u00f3n de registros de informaci\u00f3n personal. El servicio de pago &#8216;7pay&#8217; introducido por el gigante minorista Seven &amp; I Holdings fue forzado a cerrar debido a su uso fraudulento, destacando una vez m\u00e1s la importancia de las medidas de seguridad.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#En_el_caso_de_%E2%80%9CTakuhai_File_Bin%E2%80%9D\" title=\"En el caso de &#8220;Takuhai File Bin&#8221;\">En el caso de &#8220;Takuhai File Bin&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#El_caso_de_Toyota_Mobility\" title=\"El caso de Toyota Mobility\">El caso de Toyota Mobility<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#El_caso_de_%E2%80%9C7pay_%E3%82%BB%E3%83%96%E3%83%B3%E3%83%9A%E3%82%A4%E2%80%9D\" title=\"El caso de &#8220;7pay (\u30bb\u30d6\u30f3\u30da\u30a4)&#8221;\">El caso de &#8220;7pay (\u30bb\u30d6\u30f3\u30da\u30a4)&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#El_caso_de_Uniqlo\" title=\"El caso de Uniqlo\">El caso de Uniqlo<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Caso_de_la_Prefectura_de_Kanagawa\" title=\"Caso de la Prefectura de Kanagawa\">Caso de la Prefectura de Kanagawa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Otros_casos_de_acceso_no_autorizado\" title=\"Otros casos de acceso no autorizado\">Otros casos de acceso no autorizado<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#En_el_caso_de_una_empresa_de_venta_de_productos_para_automoviles\" title=\"En el caso de una empresa de venta de productos para autom\u00f3viles\">En el caso de una empresa de venta de productos para autom\u00f3viles<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#El_caso_de_%E2%80%9CLibros_de_Odontologiacom%E2%80%9D\" title=\"El caso de &#8220;Libros de Odontolog\u00eda.com&#8221;\">El caso de &#8220;Libros de Odontolog\u00eda.com&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Caso_de_%E2%80%9CGaleria_de_Nanatsuboshi%E2%80%9D\" title=\"Caso de &#8220;Galer\u00eda de Nanatsuboshi&#8221;\">Caso de &#8220;Galer\u00eda de Nanatsuboshi&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#En_el_caso_del_servicio_de_encuestas_%E2%80%9CAn_y_Kate%E2%80%9D\" title=\"En el caso del servicio de encuestas &#8220;An y Kate&#8221;\">En el caso del servicio de encuestas &#8220;An y Kate&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Caso_de_%E2%80%9CYamada_Webcom_%E2%80%93_Yamada_Mall%E2%80%9D\" title=\"Caso de &#8220;Yamada Webcom &#8211; Yamada Mall&#8221;\">Caso de &#8220;Yamada Webcom &#8211; Yamada Mall&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#En_el_caso_de_la_tarjeta_Aeon\" title=\"En el caso de la tarjeta Aeon\">En el caso de la tarjeta Aeon<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#En_el_caso_de_la_aplicacion_%E2%80%9CVpass%E2%80%9D_de_la_tarjeta_Mitsui_Sumitomo\" title=\"En el caso de la aplicaci\u00f3n &#8220;Vpass&#8221; de la tarjeta Mitsui Sumitomo\">En el caso de la aplicaci\u00f3n &#8220;Vpass&#8221; de la tarjeta Mitsui Sumitomo<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#En_el_caso_del_%E2%80%98J-Coin_Pay%E2%80%99_del_Banco_Mizuho\" title=\"En el caso del &#8216;J-Coin Pay&#8217; del Banco Mizuho\">En el caso del &#8216;J-Coin Pay&#8217; del Banco Mizuho<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#En_el_caso_de_%E2%80%9C10mois_WEBSHOP%E2%80%9D\" title=\"En el caso de &#8220;10mois WEBSHOP&#8221;\">En el caso de &#8220;10mois WEBSHOP&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Caso_del_sitio_web_oficial_de_Kyoto_Ichinoden\" title=\"Caso del sitio web oficial de Kyoto Ichinoden\">Caso del sitio web oficial de Kyoto Ichinoden<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Caso_de_%E2%80%9CCompras_con_Zojirushi%E2%80%9D\" title=\"Caso de &#8220;Compras con Zojirushi&#8221;\">Caso de &#8220;Compras con Zojirushi&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Caso_del_servicio_de_novelas_electronicas_%E2%80%9CNovelba%E2%80%9D\" title=\"Caso del servicio de novelas electr\u00f3nicas &#8220;Novelba&#8221;\">Caso del servicio de novelas electr\u00f3nicas &#8220;Novelba&#8221;<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/monolith.law\/es\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Resumen\" title=\"Resumen\">Resumen<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"En_el_caso_de_%E2%80%9CTakuhai_File_Bin%E2%80%9D\"><\/span>En el caso de &#8220;Takuhai File Bin&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>El 22 de enero de 2019, se descubri\u00f3 una fuga de informaci\u00f3n en el servicio de transferencia de archivos &#8220;Takuhai File Bin&#8221;, desarrollado por OGIS Research Institute, una subsidiaria 100% de Osaka Gas. Se encontr\u00f3 un archivo sospechoso en el servidor, y tras una investigaci\u00f3n adicional, se confirmaron registros de acceso sospechosos. Para prevenir m\u00e1s da\u00f1os, el servicio se detuvo el 23 de enero y se emiti\u00f3 un primer informe. El 25 de enero, se confirm\u00f3 la fuga de informaci\u00f3n.<\/p>\n\n\n\n<p>El n\u00famero de casos de fuga fue de 4,815,399 (22,569 miembros de pago, 4,753,290 miembros gratuitos, 42,501 ex miembros), y la informaci\u00f3n filtrada inclu\u00eda nombres, direcciones de correo electr\u00f3nico para iniciar sesi\u00f3n, contrase\u00f1as, fechas de nacimiento, g\u00e9nero, ocupaci\u00f3n\/industria\/posici\u00f3n, y el nombre de la prefectura de residencia. Este n\u00famero de casos de fuga es el segundo m\u00e1s alto en la historia, despu\u00e9s de la adquisici\u00f3n ilegal de informaci\u00f3n personal de 35.04 millones de personas por un empleado subcontratado en Benesse en 2014.<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/corporate\/risk-of-company-personal-information-leak-compensation-for-damages\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/corporate\/risk-of-company-personal-information-leak-compensation-for-damages[ja]<\/a><\/p>\n\n\n\n<p>Posteriormente, OGIS Research Institute consider\u00f3 la recuperaci\u00f3n y fortaleci\u00f3 la seguridad, pero no se pudo prever la reconstrucci\u00f3n del sistema, y se anunci\u00f3 el 14 de enero de 2020 que el servicio se terminar\u00eda el 31 de marzo de 2020.<\/p>\n\n\n\n<p>Si est\u00e1 utilizando otros servicios web con la misma direcci\u00f3n de correo electr\u00f3nico y contrase\u00f1a registradas en &#8220;Takuhai File Bin&#8221;, existe el riesgo de que un tercero que haya obtenido la informaci\u00f3n filtrada inicie sesi\u00f3n ilegalmente en esos servicios web, o acceda a ellos mediante la suplantaci\u00f3n de identidad.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"El_caso_de_Toyota_Mobility\"><\/span>El caso de Toyota Mobility<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_1035140923-1024x583.jpg\" alt=\"Tendencias de incidentes de p\u00e9rdida y filtraci\u00f3n de informaci\u00f3n personal en 2019\" class=\"wp-image-7479\" \/><figcaption class=\"wp-element-caption\"> Presentamos el caso de Toyota Mobility. <\/figcaption><\/figure>\n\n\n\n<p>Toyota Mobility, una subsidiaria de ventas de Toyota Motor, sufri\u00f3 un ciberataque el 21 de marzo de 2019 (a\u00f1o 31 de la era Heisei). Se anunci\u00f3 que un total de ocho empresas de ventas relacionadas, que comparten la misma infraestructura de sistemas, fueron atacadas, y que hasta 3.1 millones de registros de informaci\u00f3n personal podr\u00edan haberse filtrado desde el servidor de red. Afortunadamente, se ha anunciado que la informaci\u00f3n de las tarjetas de cr\u00e9dito no se ha filtrado, por lo que es posible que el incidente no evolucione directamente en problemas financieros. Sin embargo, se trata de informaci\u00f3n de clientes que compraron autom\u00f3viles, por lo que existe la posibilidad de que se est\u00e9 negociando a precios altos entre los operadores de listas, y no se puede garantizar que no se produzcan da\u00f1os.<\/p>\n\n\n\n<p>A pesar de haber obtenido la Marca de Privacidad (P Mark, &#8216;Japanese Privacy Mark&#8217;), Toyota Mobility se enfrenta a decisiones importantes en t\u00e9rminos de medidas de seguridad en el futuro, ya que este incidente ha llevado a problemas de filtraci\u00f3n de informaci\u00f3n personal. Adem\u00e1s, la filtraci\u00f3n de informaci\u00f3n personal en este caso demuestra que las medidas de seguridad existentes no han podido prevenirla. Es probable que sea necesario implementar un sistema de gesti\u00f3n de protecci\u00f3n de informaci\u00f3n personal de un nivel m\u00e1s alto que el sistema de seguridad que ha obtenido la Marca de Privacidad (P Mark).<\/p>\n\n\n\n<p>Como en el caso de Benesse, si se determina que el sistema de gesti\u00f3n de protecci\u00f3n de informaci\u00f3n personal no es suficiente en el futuro, podr\u00eda resultar en la p\u00e9rdida de la Marca de Privacidad (P Mark). Si se pierde la Marca de Privacidad (P Mark), existe el riesgo de perder la confianza, lo que ser\u00eda un gran problema.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"El_caso_de_%E2%80%9C7pay_%E3%82%BB%E3%83%96%E3%83%B3%E3%83%9A%E3%82%A4%E2%80%9D\"><\/span>El caso de &#8220;7pay (\u30bb\u30d6\u30f3\u30da\u30a4)&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>El servicio de pago &#8220;7pay&#8221; introducido por Seven &amp; i Holdings recibi\u00f3 consultas de los usuarios el d\u00eda despu\u00e9s de su lanzamiento, el 2 de julio de 2019 (a\u00f1o 31 de la era Heisei), diciendo que hab\u00eda transacciones que no reconoc\u00edan. El 3 de julio, se llev\u00f3 a cabo una investigaci\u00f3n interna y se descubri\u00f3 un uso fraudulento.<\/p>\n\n\n\n<p>Inmediatamente se suspendieron temporalmente los cargos desde tarjetas de cr\u00e9dito y d\u00e9bito, y desde el 4 de julio, tambi\u00e9n se suspendi\u00f3 temporalmente el registro de nuevos servicios. Ese mismo d\u00eda, se decidi\u00f3 suspender temporalmente todos los cargos.<\/p>\n\n\n\n<p>Se anunci\u00f3 que el n\u00famero de v\u00edctimas de acceso no autorizado era de 808 y el monto del da\u00f1o era de 38,615,473 yenes. Se consider\u00f3 que el m\u00e9todo de acceso no autorizado era probablemente un ataque de tipo lista. Un ataque de tipo lista es un m\u00e9todo que introduce autom\u00e1ticamente ID y contrase\u00f1as que se hab\u00edan filtrado en l\u00ednea desde otras empresas en el pasado. Se dice que se intent\u00f3 al menos decenas de millones de veces, y el n\u00famero de inicios de sesi\u00f3n exitosos super\u00f3 las 808 incidencias de uso fraudulento. Las razones por las que no se pudo prevenir el hacking de cuentas de tipo lista incluyen la falta de medidas adecuadas contra el inicio de sesi\u00f3n desde m\u00faltiples dispositivos, la falta de consideraci\u00f3n de autenticaci\u00f3n adicional como la autenticaci\u00f3n de dos factores, y la incapacidad para verificar adecuadamente la optimizaci\u00f3n de todo el sistema.<\/p>\n\n\n\n<p>El 1 de agosto, Seven &amp; i Holdings celebr\u00f3 una conferencia de prensa de emergencia en Tokio y anunci\u00f3 que &#8220;7pay&#8221; terminar\u00eda a las 24:00 del 30 de septiembre. Las siguientes tres razones se citan para la discontinuaci\u00f3n del servicio:<br> <\/p>\n\n\n\n<ul>\n<li>Se espera que se necesite un tiempo considerable para completar las medidas radicales necesarias para reanudar todos los servicios, incluyendo los cargos, en 7pay.<\/li>\n\n\n\n<li>Si se continuara el servicio durante ese tiempo, tendr\u00eda que ser en una forma incompleta, es decir, &#8220;s\u00f3lo para uso (pago)&#8221;.<\/li>\n\n\n\n<li>Los clientes todav\u00eda tienen preocupaciones sobre este servicio.<\/li>\n<\/ul>\n\n\n\n<p>La falta de conciencia sobre la seguridad en Internet de Seven &amp; i Holdings y la mala coordinaci\u00f3n dentro del grupo se han revelado una tras otra, lo que ha llevado a un retiro inusualmente r\u00e1pido. El tropiezo de un gran distribuidor ha llevado a la ansiedad sobre los pagos sin efectivo, que el gobierno est\u00e1 promoviendo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"El_caso_de_Uniqlo\"><\/span>El caso de Uniqlo<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_196775048-1024x683.jpg\" alt=\"Tendencias de filtraci\u00f3n y p\u00e9rdida de informaci\u00f3n personal en 2019\" class=\"wp-image-7480\" \/><figcaption class=\"wp-element-caption\"> Presentamos un caso que ocurri\u00f3 en el sitio web de Uniqlo. <\/figcaption><\/figure>\n\n\n\n<p>El 10 de mayo de 2019, se confirm\u00f3 que se hab\u00eda producido un inicio de sesi\u00f3n no autorizado por parte de terceros en el sitio de la tienda en l\u00ednea operado por Uniqlo.<\/p>\n\n\n\n<p>Desde el 23 de abril hasta el 10 de mayo, el n\u00famero de cuentas que fueron accedidas de manera no autorizada mediante un ataque de tipo lista fue de 461,091, registradas en la tienda oficial en l\u00ednea de Uniqlo y GU. La informaci\u00f3n personal de los usuarios que podr\u00eda haber sido vista incluye: nombre, direcci\u00f3n (c\u00f3digo postal, ciudad, distrito, pueblo, n\u00famero de casa, n\u00famero de habitaci\u00f3n), n\u00famero de tel\u00e9fono, n\u00famero de tel\u00e9fono m\u00f3vil, direcci\u00f3n de correo electr\u00f3nico, g\u00e9nero, fecha de nacimiento, historial de compras, nombre y tama\u00f1o registrados en &#8220;Mi tama\u00f1o&#8221;, y parte de la informaci\u00f3n de la tarjeta de cr\u00e9dito (nombre del titular, fecha de vencimiento, parte del n\u00famero de la tarjeta de cr\u00e9dito).<\/p>\n\n\n\n<p>Se identific\u00f3 y bloque\u00f3 el origen de la comunicaci\u00f3n donde se intent\u00f3 el inicio de sesi\u00f3n no autorizado, y se intensific\u00f3 la vigilancia de otros accesos. Sin embargo, para las ID de usuario que podr\u00edan haber tenido su informaci\u00f3n personal vista, se desactivaron las contrase\u00f1as el 13 de mayo y se contact\u00f3 individualmente a cada usuario por correo electr\u00f3nico para solicitar el restablecimiento de la contrase\u00f1a. Adem\u00e1s, se inform\u00f3 de este incidente a la Polic\u00eda Metropolitana de Tokio.<\/p>\n\n\n\n<p>Este caso es notable y preocupante no solo porque se filtr\u00f3 informaci\u00f3n personal b\u00e1sica como nombre, direcci\u00f3n, n\u00famero de tel\u00e9fono, n\u00famero de tel\u00e9fono m\u00f3vil, direcci\u00f3n de correo electr\u00f3nico y fecha de nacimiento, sino tambi\u00e9n informaci\u00f3n privada como el historial de compras y el nombre y tama\u00f1o registrados en &#8220;Mi tama\u00f1o&#8221;.<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/reputation\/personal-information-and-privacy-violation\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/reputation\/personal-information-and-privacy-violation[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Caso_de_la_Prefectura_de_Kanagawa\"><\/span>Caso de la Prefectura de Kanagawa<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Se descubri\u00f3 el 6 de diciembre de 2019 que la informaci\u00f3n, incluyendo documentos administrativos y datos personales, se hab\u00eda filtrado debido a la reventa de un HDD (Disco Duro) que se utilizaba en la Prefectura de Kanagawa. La Prefectura de Kanagawa y Fujitsu Lease, que tiene un contrato de arrendamiento para servidores, retiraron el HDD de los servidores que hab\u00edan arrendado en la primavera de 2019 y encargaron su disposici\u00f3n a una empresa de reciclaje. Un empleado de esta empresa se llev\u00f3 parte del HDD y lo revendi\u00f3 en Yahoo Auctions sin inicializarlo. Un hombre que dirige una empresa de TI compr\u00f3 nueve de estos y al revisar su contenido, descubri\u00f3 datos que parec\u00edan ser documentos oficiales de la Prefectura de Kanagawa. Inform\u00f3 a un peri\u00f3dico, que confirm\u00f3 con la prefectura, revelando la filtraci\u00f3n.<\/p>\n\n\n\n<p>Seg\u00fan el anuncio de la prefectura el 6 de diciembre, se llevaron un total de 18 HDD, nueve de los cuales ya se hab\u00edan recuperado, y los otros nueve tambi\u00e9n se recuperaron posteriormente. Los datos filtrados incluyen notificaciones de impuestos con nombres de individuos y empresas, notificaciones despu\u00e9s de las inspecciones fiscales con nombres de empresas, registros de pago de impuestos de veh\u00edculos con nombres y direcciones de individuos, documentos presentados por empresas, registros de trabajo y listas de empleados de la prefectura, etc. Cada uno de los HDD llevados tiene una capacidad de almacenamiento de 3TB, por lo que un total de 54TB de datos podr\u00edan haberse filtrado con 18 unidades.<\/p>\n\n\n\n<p>La Prefectura de Kanagawa cometi\u00f3 errores b\u00e1sicos como:<\/p>\n\n\n\n<ul>\n<li>No considerar suficientemente la encriptaci\u00f3n a nivel de hardware para el servidor de archivos donde se almacenan los documentos administrativos, y configurarlo para almacenar datos en bruto.<\/li>\n\n\n\n<li>A pesar de que se supone que deben eliminar todos los datos con la inicializaci\u00f3n antes de devolver el equipo que almacena informaci\u00f3n importante a la empresa de arrendamiento, no recibieron un certificado de finalizaci\u00f3n de la eliminaci\u00f3n de datos.<\/li>\n\n\n\n<li>Permitir que una empresa de reciclaje de la que no ten\u00edan conocimiento recogiera el equipo arrendado.<\/li>\n<\/ul>\n\n\n\n<p>Y Fujitsu Lease tambi\u00e9n cometi\u00f3 errores b\u00e1sicos como:<\/p>\n\n\n\n<ul>\n<li>Delegar completamente la disposici\u00f3n del equipo (reciclaje) a la empresa de reciclaje.<\/li>\n\n\n\n<li>Aunque el contrato de arrendamiento estipulaba que deb\u00edan presentar un certificado a la prefectura que demostrara que los datos hab\u00edan sido completamente eliminados, no hab\u00edan solicitado a la empresa de reciclaje que emitiera dicho certificado.<\/li>\n<\/ul>\n\n\n\n<p>No hace falta decir nada sobre la empresa de reciclaje.<\/p>\n\n\n\n<p>Creo que la falta de conciencia sobre la seguridad y la irresponsabilidad de delegar tareas en las tres organizaciones involucradas han llevado a este lamentable resultado.<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/corporate\/act-on-the-protection-of-personal-information-privacy-issues\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/corporate\/act-on-the-protection-of-personal-information-privacy-issues[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Otros_casos_de_acceso_no_autorizado\"><\/span>Otros casos de acceso no autorizado<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_1521212090-1-1024x557.jpg\" alt=\"Tendencias de filtraci\u00f3n y p\u00e9rdida de informaci\u00f3n personal en 2019\" class=\"wp-image-7482\" \/><figcaption class=\"wp-element-caption\">Los incidentes causados por accesos no autorizados est\u00e1n aumentando a\u00f1o tras a\u00f1o, y la respuesta a la creaci\u00f3n de sistemas de seguridad y gesti\u00f3n de la informaci\u00f3n es un desaf\u00edo para el futuro.<\/figcaption><\/figure>\n\n\n\n<p>Los incidentes causados por accesos no autorizados que tienen un gran impacto y afectan a un amplio rango est\u00e1n aumentando a\u00f1o tras a\u00f1o. En 2019, se produjeron un r\u00e9cord de 41 incidentes (en 32 empresas) en los ocho a\u00f1os desde que Tokyo Shoko Research comenz\u00f3 su investigaci\u00f3n. Esto representa casi la mitad de los 86 incidentes de filtraci\u00f3n y p\u00e9rdida de informaci\u00f3n en 2019, con un n\u00famero de filtraciones y p\u00e9rdidas de 8,902,078, que representan el 98.5% del total (9,031,734) en 2019. Adem\u00e1s de los ejemplos mencionados anteriormente, hubo muchos accesos no autorizados revelados en 2019, incluyendo los siguientes casos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"En_el_caso_de_una_empresa_de_venta_de_productos_para_automoviles\"><\/span>En el caso de una empresa de venta de productos para autom\u00f3viles<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 26 de febrero, se produjo un acceso no autorizado en la tienda en l\u00ednea operada por la empresa japonesa de venta de productos para autom\u00f3viles, Hase-Pro Co., Ltd., debido a la explotaci\u00f3n de una vulnerabilidad en el sitio. Se mostr\u00f3 una pantalla de pago falsa y se filtr\u00f3 la informaci\u00f3n de la tarjeta de cr\u00e9dito ingresada por los usuarios.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"El_caso_de_%E2%80%9CLibros_de_Odontologiacom%E2%80%9D\"><\/span>El caso de &#8220;Libros de Odontolog\u00eda.com&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 25 de marzo, se produjo un acceso no autorizado al servidor web de &#8220;Libros de Odontolog\u00eda.com&#8221;, operado por Quintessence Publishing Co., Ltd., una editorial especializada en odontolog\u00eda. Como resultado, se filtr\u00f3 la informaci\u00f3n personal de los usuarios del sitio. Para los clientes que utilizaron el pago con tarjeta de cr\u00e9dito, tambi\u00e9n se filtr\u00f3 la informaci\u00f3n de la tarjeta de cr\u00e9dito, incluido el c\u00f3digo de seguridad. Adem\u00e1s, se filtr\u00f3 la informaci\u00f3n personal de los usuarios de otros sitios, como sitios de empleo en odontolog\u00eda y la Conferencia Internacional de Odontolog\u00eda de Jap\u00f3n, con un total de hasta 23,000 registros de informaci\u00f3n personal.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Caso_de_%E2%80%9CGaleria_de_Nanatsuboshi%E2%80%9D\"><\/span>Caso de &#8220;Galer\u00eda de Nanatsuboshi&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 12 de abril, se produjo un acceso no autorizado en &#8220;Galer\u00eda de Nanatsuboshi&#8221;, el sitio de venta por correspondencia de productos relacionados con el tren de crucero &#8220;Nanatsuboshi en Kyushu&#8221; de la compa\u00f1\u00eda de ferrocarriles de pasajeros de Kyushu, y se filtr\u00f3 informaci\u00f3n personal que incluye informaci\u00f3n de tarjetas de cr\u00e9dito de los clientes. Se anunci\u00f3 que existe la posibilidad de que tambi\u00e9n se incluya el c\u00f3digo de seguridad en 3086 miembros que registraron informaci\u00f3n de tarjetas de cr\u00e9dito, y que tambi\u00e9n existe la posibilidad de fuga de informaci\u00f3n en relaci\u00f3n con 5120 casos, incluyendo miembros que no registraron informaci\u00f3n de tarjetas y usuarios que utilizaron el sitio.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"En_el_caso_del_servicio_de_encuestas_%E2%80%9CAn_y_Kate%E2%80%9D\"><\/span>En el caso del servicio de encuestas &#8220;An y Kate&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 23 de mayo, se produjo un acceso no autorizado que explot\u00f3 la vulnerabilidad del servidor en el servicio de encuestas &#8220;An y Kate&#8221;, operado por la empresa Marketing Applications. Se filtr\u00f3 la informaci\u00f3n personal de 770,740 cuentas registradas, que inclu\u00eda datos como direcciones de correo electr\u00f3nico, g\u00e9nero, profesi\u00f3n, lugar de trabajo e informaci\u00f3n relacionada con cuentas bancarias.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Caso_de_%E2%80%9CYamada_Webcom_%E2%80%93_Yamada_Mall%E2%80%9D\"><\/span>Caso de &#8220;Yamada Webcom &#8211; Yamada Mall&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 29 de mayo, se produjo un acceso no autorizado en &#8220;Yamada Webcom &#8211; Yamada Mall&#8221;, operado por la empresa Yamada Denki. La aplicaci\u00f3n de pago fue alterada y se filtr\u00f3 un m\u00e1ximo de 37,832 registros de informaci\u00f3n de clientes que se hab\u00edan registrado durante ese per\u00edodo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"En_el_caso_de_la_tarjeta_Aeon\"><\/span>En el caso de la tarjeta Aeon<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 13 de junio, se produjo un inicio de sesi\u00f3n fraudulento en la tarjeta Aeon de Aeon Credit Service Co., Ltd. debido a un ataque de lista de contrase\u00f1as. Se confirm\u00f3 que se pod\u00eda iniciar sesi\u00f3n de manera fraudulenta en 1917 cuentas, y se produjo un inicio de sesi\u00f3n fraudulento en 708 de ellas, resultando en un da\u00f1o total de aproximadamente 22 millones de yenes debido al uso fraudulento. Se cree que el atacante obtuvo ilegalmente la informaci\u00f3n de la cuenta del usuario al lanzar un ataque de lista de contrase\u00f1as en &#8220;Aeon Square&#8221; del sitio oficial, cambi\u00f3 a otro contacto utilizando la funci\u00f3n de cambio de informaci\u00f3n de registro de la aplicaci\u00f3n oficial, y utiliz\u00f3 fondos a trav\u00e9s de la funci\u00f3n de pago vinculada.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"En_el_caso_de_la_aplicacion_%E2%80%9CVpass%E2%80%9D_de_la_tarjeta_Mitsui_Sumitomo\"><\/span>En el caso de la aplicaci\u00f3n &#8220;Vpass&#8221; de la tarjeta Mitsui Sumitomo<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/03\/shutterstock_72295576-1024x684.jpg\" alt=\"\" class=\"wp-image-7702\" \/><figcaption class=\"wp-element-caption\">El acceso ilegal a las tarjetas tambi\u00e9n est\u00e1 causando da\u00f1o.<\/figcaption><\/figure>\n\n\n\n<p>El 23 de agosto, Mitsui Sumitomo Card Co., Ltd. anunci\u00f3 que podr\u00eda haber habido un acceso ilegal a un m\u00e1ximo de 16,756 ID de clientes en su aplicaci\u00f3n para smartphones dirigida a miembros, &#8220;Vpass App&#8221;. Se confirm\u00f3 el acceso ilegal a trav\u00e9s de la encuesta de monitoreo que la compa\u00f1\u00eda realiza regularmente, y al investigar la causa, se encontr\u00f3 que la mayor\u00eda de los aproximadamente 5 millones de intentos de inicio de sesi\u00f3n no estaban registrados en el servicio, por lo que se considera un ataque de tipo lista de contrase\u00f1as.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"En_el_caso_del_%E2%80%98J-Coin_Pay%E2%80%99_del_Banco_Mizuho\"><\/span>En el caso del &#8216;J-Coin Pay&#8217; del Banco Mizuho<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 4 de septiembre, el Grupo Financiero Mizuho (Banco Mizuho) anunci\u00f3 que el sistema de prueba relacionado con la gesti\u00f3n de tiendas afiliadas a &#8216;J-Coin Pay&#8217;, un servicio que proporcionan, sufri\u00f3 un acceso no autorizado, resultando en la filtraci\u00f3n de informaci\u00f3n de 18,469 tiendas afiliadas a J-Coin.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"En_el_caso_de_%E2%80%9C10mois_WEBSHOP%E2%80%9D\"><\/span>En el caso de &#8220;10mois WEBSHOP&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 19 de septiembre, se anunci\u00f3 que la tienda en l\u00ednea &#8220;10mois WEBSHOP&#8221; de la compa\u00f1\u00eda de responsabilidad limitada Ficelle sufri\u00f3 un acceso no autorizado, resultando en la filtraci\u00f3n de 108,131 registros de informaci\u00f3n personal de los clientes y 11,913 registros de informaci\u00f3n de tarjetas de cr\u00e9dito. La informaci\u00f3n de las tarjetas de cr\u00e9dito inclu\u00eda tambi\u00e9n c\u00f3digos de seguridad.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Caso_del_sitio_web_oficial_de_Kyoto_Ichinoden\"><\/span>Caso del sitio web oficial de Kyoto Ichinoden<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 8 de octubre, se produjo un acceso no autorizado al sitio web oficial de la empresa Kyoto Ichinoden, conocida por su producto Nishikyo Tsuke, y se alter\u00f3 el formulario de pago. Se filtraron 18,855 registros de informaci\u00f3n de tarjetas de cr\u00e9dito, incluyendo c\u00f3digos de seguridad, y 72,738 registros de informaci\u00f3n de miembros e historial de env\u00edos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Caso_de_%E2%80%9CCompras_con_Zojirushi%E2%80%9D\"><\/span>Caso de &#8220;Compras con Zojirushi&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 5 de diciembre, se anunci\u00f3 que se hab\u00eda producido un acceso no autorizado a &#8220;Compras con Zojirushi&#8221;, operado por Zojirushi Mahobin Co., Ltd., y que hab\u00eda la posibilidad de que se hubieran filtrado hasta 280,052 registros de informaci\u00f3n de clientes. Se cree que la causa del acceso no autorizado es una vulnerabilidad dentro del sitio, y la compa\u00f1\u00eda ha suspendido la publicaci\u00f3n del sitio de compras desde el 4 de diciembre.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Caso_del_servicio_de_novelas_electronicas_%E2%80%9CNovelba%E2%80%9D\"><\/span>Caso del servicio de novelas electr\u00f3nicas &#8220;Novelba&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El 25 de diciembre, se produjo un acceso no autorizado al servicio de novelas electr\u00f3nicas &#8220;Novelba&#8221;, operado por la empresa Beaglee Inc., y se filtraron 33,715 registros de informaci\u00f3n personal, incluyendo las direcciones de correo electr\u00f3nico de los usuarios registrados. Adem\u00e1s, existe la posibilidad de que tambi\u00e9n se haya filtrado la informaci\u00f3n de las cuentas de 76 usuarios que estaban registrados en el programa de recompensas, lo que podr\u00eda dar lugar a da\u00f1os secundarios.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Resumen\"><\/span>Resumen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>La implementaci\u00f3n de medidas adecuadas para prevenir la filtraci\u00f3n y p\u00e9rdida de informaci\u00f3n se ha convertido en un asunto crucial para todas las organizaciones y empresas que manejan informaci\u00f3n personal. En particular, para los peque\u00f1os negocios que tienen menos recursos financieros y humanos en comparaci\u00f3n con las empresas cotizadas, un incidente de filtraci\u00f3n puede causar un da\u00f1o fatal a la gesti\u00f3n. Es esencial tomar medidas de seguridad y establecer un sistema de gesti\u00f3n de informaci\u00f3n. Con el uso creciente de big data, la importancia de la informaci\u00f3n personal est\u00e1 aumentando. Al mismo tiempo, las medidas de seguridad contra el acceso no autorizado cada vez m\u00e1s sofisticado y la estricta gesti\u00f3n de la informaci\u00f3n se han convertido en una premisa importante para la gesti\u00f3n de riesgos. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seg\u00fan Tokyo Shoko Research, en 2019, 66 empresas cotizadas y sus filiales anunciaron incidentes de filtraci\u00f3n y p\u00e9rdida de informaci\u00f3n personal. El n\u00famero de incidentes fue de 86, y la cantidad de inf [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":68223,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59269"}],"collection":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/comments?post=59269"}],"version-history":[{"count":1,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59269\/revisions"}],"predecessor-version":[{"id":68224,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59269\/revisions\/68224"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/media\/68223"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/media?parent=59269"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/categories?post=59269"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/tags?post=59269"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}