{"id":59383,"date":"2023-11-10T17:08:08","date_gmt":"2023-11-10T08:08:08","guid":{"rendered":"https:\/\/monolith.law\/es\/?p=59383"},"modified":"2024-04-02T20:22:08","modified_gmt":"2024-04-02T11:22:08","slug":"capcom-information-leakage-crisis-management","status":"publish","type":"post","link":"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management","title":{"rendered":"Aprender de la gesti\u00f3n de crisis y el papel del abogado en la filtraci\u00f3n de informaci\u00f3n de Capcom"},"content":{"rendered":"\n<p>La filtraci\u00f3n de informaci\u00f3n de Capcom que ocurri\u00f3 en noviembre de 2020 (a\u00f1o 2020 del calendario gregoriano) fue causada por un ransomware personalizado, y hubo la posibilidad de que se filtraran hasta 390,000 registros de informaci\u00f3n personal.<\/p>\n\n\n\n<p>Por supuesto, es mejor que no ocurran incidentes, y lo m\u00e1s importante es establecer un sistema para prevenirlos. Sin embargo, no importa qu\u00e9 tipo de sistema se implemente, es imposible reducir la probabilidad de ocurrencia a cero.<\/p>\n\n\n\n<p>En caso de que ocurra un incidente de este tipo, \u00bfqu\u00e9 medidas e investigaciones deber\u00edan llevarse a cabo inmediatamente despu\u00e9s, y cu\u00e1ndo y c\u00f3mo deber\u00edan anunciarse?<\/p>\n\n\n\n<p>Por lo tanto, en este art\u00edculo, desde el punto de vista de la gesti\u00f3n de crisis para el incidente de &#8220;fuga de informaci\u00f3n personal por malware&#8221;, explicaremos cronol\u00f3gicamente el incidente de fuga de informaci\u00f3n de Capcom para aprender el sistema de gesti\u00f3n de crisis adecuado a partir de la respuesta de la compa\u00f1\u00eda.<\/p>\n\n\n\n<p class=\"has-very-light-gray-background-color has-background\">\u203bLos abogados tienen un alto deber de confidencialidad bajo la Ley de Abogados Japonesa para los casos en los que est\u00e1n realmente involucrados como abogados. Este art\u00edculo expresa la opini\u00f3n del abogado basada en informaci\u00f3n que ha sido publicada al p\u00fablico sobre casos pasados en los que nuestra firma no estuvo involucrada.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Deteccion_del_incidente_y_respuesta_inicial\" title=\"Detecci\u00f3n del incidente y respuesta inicial\">Detecci\u00f3n del incidente y respuesta inicial<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Gestion_de_crisis_de_relaciones_publicas_antes_de_la_deteccion_de_la_fuga_de_informacion\" title=\"Gesti\u00f3n de crisis de relaciones p\u00fablicas antes de la detecci\u00f3n de la fuga de informaci\u00f3n\">Gesti\u00f3n de crisis de relaciones p\u00fablicas antes de la detecci\u00f3n de la fuga de informaci\u00f3n<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Comunicado_de_prensa_tras_la_deteccion_de_una_filtracion_de_informacion\" title=\"Comunicado de prensa tras la detecci\u00f3n de una filtraci\u00f3n de informaci\u00f3n\">Comunicado de prensa tras la detecci\u00f3n de una filtraci\u00f3n de informaci\u00f3n<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Numero_de_casos_de_informacion_personal_que_podrian_haberse_filtrado_etc\" title=\"N\u00famero de casos de informaci\u00f3n personal que podr\u00edan haberse filtrado, etc.\">N\u00famero de casos de informaci\u00f3n personal que podr\u00edan haberse filtrado, etc.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Posible_filtracion_de_informacion_de_tarjetas_de_credito_y_medidas_tomadas\" title=\"Posible filtraci\u00f3n de informaci\u00f3n de tarjetas de cr\u00e9dito y medidas tomadas\">Posible filtraci\u00f3n de informaci\u00f3n de tarjetas de cr\u00e9dito y medidas tomadas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Orientacion_y_asesoramiento_de_abogados_externos_etc\" title=\"Orientaci\u00f3n y asesoramiento de abogados externos, etc.\">Orientaci\u00f3n y asesoramiento de abogados externos, etc.<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Fuga_de_informacion_personal_y_gestion_de_crisis\" title=\"Fuga de informaci\u00f3n personal y gesti\u00f3n de crisis\">Fuga de informaci\u00f3n personal y gesti\u00f3n de crisis<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Potencial_filtracion_de_informacion_de_solicitantes_de_empleo\" title=\"Potencial filtraci\u00f3n de informaci\u00f3n de solicitantes de empleo\">Potencial filtraci\u00f3n de informaci\u00f3n de solicitantes de empleo<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Creacion_de_la_Comision_de_Supervision_de_Seguridad_incluyendo_abogados\" title=\"Creaci\u00f3n de la Comisi\u00f3n de Supervisi\u00f3n de Seguridad, incluyendo abogados\">Creaci\u00f3n de la Comisi\u00f3n de Supervisi\u00f3n de Seguridad, incluyendo abogados<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Publicacion_del_tercer_comunicado_de_prensa\" title=\"Publicaci\u00f3n del tercer comunicado de prensa\">Publicaci\u00f3n del tercer comunicado de prensa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Sobre_la_posibilidad_de_fuga_de_informacion_personal_de_los_solicitantes_de_empleo\" title=\"Sobre la posibilidad de fuga de informaci\u00f3n personal de los solicitantes de empleo\">Sobre la posibilidad de fuga de informaci\u00f3n personal de los solicitantes de empleo<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Gestion_de_crisis_de_relaciones_publicas_basada_en_los_resultados_de_la_investigacion\" title=\"Gesti\u00f3n de crisis de relaciones p\u00fablicas basada en los resultados de la investigaci\u00f3n\">Gesti\u00f3n de crisis de relaciones p\u00fablicas basada en los resultados de la investigaci\u00f3n<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Publicacion_del_cuarto_comunicado_de_prensa\" title=\"Publicaci\u00f3n del cuarto comunicado de prensa\">Publicaci\u00f3n del cuarto comunicado de prensa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Informes_y_respuesta_sobre_el_rescate\" title=\"Informes y respuesta sobre el rescate\">Informes y respuesta sobre el rescate<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Lanzamiento_en_sitios_relacionados_etc\" title=\"Lanzamiento en sitios relacionados, etc.\">Lanzamiento en sitios relacionados, etc.<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/es\/general-corporate\/capcom-information-leakage-crisis-management\/#Resumen\" title=\"Resumen\">Resumen<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Deteccion_del_incidente_y_respuesta_inicial\"><\/span>Detecci\u00f3n del incidente y respuesta inicial<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>El incidente fue confirmado el 2 de noviembre de 2020.<\/p>\n\n\n\n<p>En ese momento, se confirm\u00f3 una falla de conexi\u00f3n con el sistema interno, y se iniciaron las acciones para desconectar el sistema y entender la magnitud del da\u00f1o.<\/p>\n\n\n\n<p>El mismo d\u00eda, se descubri\u00f3 que la causa de la falla era la encriptaci\u00f3n de archivos en dispositivos de la red debido a un ataque de ransomware.<\/p>\n\n\n\n<p>En los dispositivos afectados, se encontr\u00f3 un mensaje de amenaza de un grupo que se hace llamar &#8220;Ragnar Locker&#8221;.<\/p>\n\n\n\n<p>En este punto, Capcom ha informado a la Polic\u00eda de la Prefectura de Osaka y ha solicitado apoyo para la recuperaci\u00f3n a empresas externas.<\/p>\n\n\n\n<p>Es naturalmente necesario para la continuidad del negocio de una empresa apresurarse a restaurar el sistema en el momento del incidente. Sin embargo, si se confirma un ataque de ransomware, es muy probable que se trate de un acceso no autorizado, una acci\u00f3n prohibida por la Ley Japonesa de Prohibici\u00f3n de Acceso No Autorizado.<\/p>\n\n\n\n<p>Es importante informar r\u00e1pidamente a la polic\u00eda antes de que se confirme la filtraci\u00f3n de informaci\u00f3n confidencial, incluyendo informaci\u00f3n personal, y antes de que se identifique la ruta de intrusi\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Gestion_de_crisis_de_relaciones_publicas_antes_de_la_deteccion_de_la_fuga_de_informacion\"><\/span>Gesti\u00f3n de crisis de relaciones p\u00fablicas antes de la detecci\u00f3n de la fuga de informaci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management1.jpg\" alt=\"\" class=\"wp-image-33052\" \/><\/figure>\n\n\n\n<p>Y el d\u00eda despu\u00e9s del incidente, el 4 de noviembre, Capcom public\u00f3 su primer comunicado de prensa titulado &#8220;Anuncio sobre la aparici\u00f3n de fallos en el sistema debido a un acceso no autorizado&#8221;.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Con respecto a este fallo, hemos confirmado que se ha producido un acceso no autorizado por parte de un tercero, y hemos suspendido parcialmente la operaci\u00f3n de nuestra red interna desde ese d\u00eda. Nos disculpamos profundamente por las grandes molestias que esto puede causar a todas las partes interesadas. Adem\u00e1s, en este momento, no se ha confirmado ninguna fuga de informaci\u00f3n del cliente.<\/p>\n\n\n\n<p><\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201104.html\" target=\"_blank\" rel=\"noreferrer noopener\">Anuncio sobre la aparici\u00f3n de fallos en el sistema debido a un acceso no autorizado [ja]<\/a><\/cite><\/blockquote>\n\n\n\n<p>En este punto, se trata simplemente de la &#8220;aparici\u00f3n de fallos en el sistema&#8221; debido a un &#8220;acceso no autorizado&#8221;, y la fuga de informaci\u00f3n a\u00fan no se ha detectado.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Comunicado_de_prensa_tras_la_deteccion_de_una_filtracion_de_informacion\"><\/span>Comunicado de prensa tras la detecci\u00f3n de una filtraci\u00f3n de informaci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Numero_de_casos_de_informacion_personal_que_podrian_haberse_filtrado_etc\"><\/span>N\u00famero de casos de informaci\u00f3n personal que podr\u00edan haberse filtrado, etc.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>La filtraci\u00f3n de informaci\u00f3n se detect\u00f3 el 12 de noviembre.<\/p>\n\n\n\n<p>Se confirm\u00f3 la filtraci\u00f3n de informaci\u00f3n personal en 9 casos y de parte de la informaci\u00f3n de la empresa.<\/p>\n\n\n\n<p>Al d\u00eda siguiente, Capcom consult\u00f3 con una empresa especializada en seguridad para investigar la causa y el 16 de noviembre, public\u00f3 un comunicado de prensa confirmando la filtraci\u00f3n de informaci\u00f3n.<\/p>\n\n\n\n<p>En este punto, se distingui\u00f3 entre:<\/p>\n\n\n\n<ul>\n<li>Informaci\u00f3n confirmada como filtrada<\/li>\n\n\n\n<li>Informaci\u00f3n que podr\u00eda haberse filtrado<\/li>\n<\/ul>\n\n\n\n<p>Y para cada una de ellas, se distingui\u00f3 entre:<\/p>\n\n\n\n<ul>\n<li>Informaci\u00f3n personal (clientes, socios comerciales, etc.)<\/li>\n\n\n\n<li>Informaci\u00f3n personal (empleados y personas relacionadas)<\/li>\n\n\n\n<li>Informaci\u00f3n de la empresa (informaci\u00f3n de ventas, informaci\u00f3n de socios comerciales, materiales de ventas, materiales de desarrollo, etc.)<\/li>\n<\/ul>\n\n\n\n<p>Y se public\u00f3 el n\u00famero aproximado de casos.<\/p>\n\n\n\n<p>En este punto, se anunci\u00f3 que &#8220;hay una posibilidad de filtraci\u00f3n de informaci\u00f3n personal de hasta aproximadamente 350,000 clientes&#8221;.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Posible_filtracion_de_informacion_de_tarjetas_de_credito_y_medidas_tomadas\"><\/span>Posible filtraci\u00f3n de informaci\u00f3n de tarjetas de cr\u00e9dito y medidas tomadas<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Adem\u00e1s, al mismo tiempo, se mencion\u00f3 la posibilidad de filtraci\u00f3n de informaci\u00f3n de tarjetas de cr\u00e9dito y se dijo:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Adem\u00e1s, nuestra empresa subcontrata todos los pagos en ventas en l\u00ednea, etc., por lo que no poseemos informaci\u00f3n de tarjetas de cr\u00e9dito y no ha habido ninguna filtraci\u00f3n de dicha informaci\u00f3n.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201116.html\" target=\"_blank\" rel=\"noreferrer noopener\">Aviso y disculpa sobre la filtraci\u00f3n de informaci\u00f3n debido al acceso no autorizado[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Adem\u00e1s, se public\u00f3 informaci\u00f3n sobre:<\/p>\n\n\n\n<ul>\n<li>Medidas tomadas para las personas cuya informaci\u00f3n personal se confirm\u00f3 que se filtr\u00f3 y las que podr\u00edan haberse visto afectadas<\/li>\n\n\n\n<li>El proceso de detecci\u00f3n y respuesta<\/li>\n\n\n\n<li>Medidas futuras<\/li>\n<\/ul>\n\n\n\n<p>Y se public\u00f3 dicha informaci\u00f3n.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Orientacion_y_asesoramiento_de_abogados_externos_etc\"><\/span>Orientaci\u00f3n y asesoramiento de abogados externos, etc.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Y en el comunicado de prensa, se declar\u00f3:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Informamos la situaci\u00f3n a una gran empresa de software, un gran proveedor especializado en seguridad y un abogado externo con profundo conocimiento en ciberseguridad, y establecimos un sistema para obtener orientaci\u00f3n y asesoramiento. Comenzaremos a contactar a las personas cuya informaci\u00f3n se confirm\u00f3 que se filtr\u00f3 y a las partes relacionadas, y continuaremos investigando la informaci\u00f3n que podr\u00eda haber sido robada.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201116.html\" target=\"_blank\" rel=\"noreferrer noopener\">Aviso y disculpa sobre la filtraci\u00f3n de informaci\u00f3n debido al acceso no autorizado[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Se hizo tal declaraci\u00f3n.<\/p>\n\n\n\n<p>Adem\u00e1s, se establecieron &#8220;Puntos de contacto para consultas sobre informaci\u00f3n personal&#8221; y &#8220;Punto de contacto exclusivo para consultas sobre la filtraci\u00f3n de informaci\u00f3n de Capcom&#8221;, y se prepararon &#8220;Punto de contacto para consultas de usuarios de juegos&#8221; y &#8220;Punto de contacto para consultas generales&#8221;, ambos con n\u00fameros gratuitos.<\/p>\n\n\n\n<p>Y desde el momento en que se detect\u00f3 la filtraci\u00f3n de al menos parte de la informaci\u00f3n hasta que se public\u00f3 el comunicado de prensa anunciando la filtraci\u00f3n de informaci\u00f3n, pasaron 4 d\u00edas.<\/p>\n\n\n\n<p>Se cree que este fue un per\u00edodo necesario para verificar informaci\u00f3n detallada como la mencionada anteriormente y tomar decisiones sobre medidas futuras, etc.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fuga_de_informacion_personal_y_gestion_de_crisis\"><\/span>Fuga de informaci\u00f3n personal y gesti\u00f3n de crisis<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>A diferencia del primer informe sobre &#8220;fallas del sistema&#8221;, el segundo informe que dice &#8220;hasta 350,000 registros de informaci\u00f3n personal del cliente podr\u00edan haberse filtrado&#8221; ser\u00e1 cubierto por varios medios de comunicaci\u00f3n.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Capcom sufri\u00f3 un ataque de acceso no autorizado por ransomware personalizado de un tercero, y la informaci\u00f3n personal que posee el grupo de la compa\u00f1\u00eda se filtr\u00f3. A partir del 16 de noviembre, la informaci\u00f3n que podr\u00eda haberse filtrado, incluyendo clientes y proveedores, asciende a un m\u00e1ximo de aproximadamente 350,000 registros. Tambi\u00e9n es posible que se hayan filtrado materiales de ventas y de desarrollo.<\/p>\n<cite><a href=\"https:\/\/www.bcnretail.com\/market\/detail\/20201118_200070.html\" target=\"_blank\" rel=\"noreferrer noopener\">Capcom, fuga de hasta 350,000 registros de informaci\u00f3n personal debido a acceso no autorizado &#8220;No hay problemas con el juego&#8221; &#8211; BCN+R[ja]<\/a><\/cite><\/blockquote>\n\n\n\n<p>Sin embargo, en el momento del comunicado de prensa, tambi\u00e9n se public\u00f3 informaci\u00f3n sobre &#8220;la historia del descubrimiento y la respuesta&#8221; y &#8220;la respuesta futura&#8221;, por lo que el art\u00edculo anterior concluye con una declaraci\u00f3n como &#8220;En el futuro, adem\u00e1s de colaborar con las autoridades policiales, estableceremos una organizaci\u00f3n asesora sobre seguridad del sistema por expertos externos y nos esforzaremos por prevenir la recurrencia. No se espera que el da\u00f1o se extienda a los usuarios o al exterior a trav\u00e9s de la conexi\u00f3n a Internet para jugar a los juegos de la compa\u00f1\u00eda o el acceso a la p\u00e1gina web de la compa\u00f1\u00eda. Adem\u00e1s, se est\u00e1 llamando la atenci\u00f3n a los usuarios que podr\u00edan haber tenido una fuga de informaci\u00f3n personal, ya que podr\u00edan recibir correo no reconocido o contactos sospechosos&#8221;.<\/p>\n\n\n\n<p>En un comunicado de prensa despu\u00e9s de que se descubri\u00f3 la fuga de informaci\u00f3n personal, es importante revelar informaci\u00f3n bastante completa, incluyendo &#8220;la historia del descubrimiento y la respuesta&#8221; y &#8220;la respuesta futura&#8221;, como se mencion\u00f3 anteriormente.<\/p>\n\n\n\n<p>Y, en el momento en que se descubre la fuga de informaci\u00f3n personal,<\/p>\n\n\n\n<ul>\n<li>Grandes empresas de software<\/li>\n\n\n\n<li>Grandes vendedores especializados en seguridad<\/li>\n\n\n\n<li>Abogados externos con profundo conocimiento en ciberseguridad<\/li>\n<\/ul>\n\n\n\n<p>Es importante formar un equipo con expertos externos como los mencionados anteriormente y llevar a cabo la comunicaci\u00f3n con los clientes cuya fuga de informaci\u00f3n ha sido confirmada, la gesti\u00f3n de crisis de relaciones p\u00fablicas, etc., en paralelo con las medidas puramente de TI como la investigaci\u00f3n de la causa.<\/p>\n\n\n\n<p>Adem\u00e1s, en el caso de las empresas cotizadas, tambi\u00e9n es necesario explicar a los accionistas como parte de esta gesti\u00f3n de crisis de relaciones p\u00fablicas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Potencial_filtracion_de_informacion_de_solicitantes_de_empleo\"><\/span>Potencial filtraci\u00f3n de informaci\u00f3n de solicitantes de empleo<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management2.jpg\" alt=\"\" class=\"wp-image-33053\" \/><\/figure>\n\n\n\n<p>Adem\u00e1s, en el comunicado de prensa publicado que menciona la &#8220;informaci\u00f3n que podr\u00eda haberse filtrado&#8221; y &#8220;informaci\u00f3n personal (clientes, socios comerciales, etc.) hasta un m\u00e1ximo de aproximadamente 350,000 casos&#8221;, se plante\u00f3 una pregunta en las redes sociales en relaci\u00f3n con el hecho de que Capcom hab\u00eda indicado en su sitio web de contrataci\u00f3n que se deshac\u00eda de la &#8220;informaci\u00f3n de los solicitantes de empleo (aproximadamente 125,000 casos)&#8221;.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>En cuanto a la informaci\u00f3n de los solicitantes, Capcom hab\u00eda indicado en su sitio web de contrataci\u00f3n que &#8220;despu\u00e9s de la selecci\u00f3n, nos encargaremos de destruir responsablemente los documentos de solicitud de aquellos que no fueron contratados o que rechazaron la oferta de empleo&#8221;. Se ha planteado la cuesti\u00f3n en Twitter sobre el hecho de que la informaci\u00f3n personal que deber\u00eda haber sido destruida no lo fue. Capcom se disculp\u00f3 diciendo: &#8220;Hemos digitalizado los curr\u00edculums de los solicitantes y los hemos almacenado durante un cierto per\u00edodo de tiempo. No mencionamos la digitalizaci\u00f3n y la expresi\u00f3n fue insuficiente, lo que caus\u00f3 un malentendido. Nos disculpamos&#8221;. En cuanto a la raz\u00f3n de la gesti\u00f3n, explicaron: &#8220;Algunos solicitantes solicitan varias veces. Fue para verificar el historial de solicitudes anteriores de manera fluida&#8221;. En cuanto a si se almacenaron todos los datos de los solicitantes, dijeron: &#8220;No est\u00e1 claro en este momento&#8221;.<\/p>\n<cite><a href=\"https:\/\/www.itmedia.co.jp\/news\/articles\/2011\/20\/news141.html\" target=\"_blank\" rel=\"noreferrer noopener\">Capcom, no destruy\u00f3 los documentos de solicitud de los no contratados. Aunque se indic\u00f3 en la p\u00e1gina de contrataci\u00f3n que &#8220;se destruir\u00e1 con responsabilidad&#8221;, existe la posibilidad de una fuga de informaci\u00f3n debido a un ciberataque &#8211; ITmedia NEWS[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Es incierto si Capcom hab\u00eda previsto estas preguntas, pero si existe informaci\u00f3n que &#8220;no deber\u00eda existir (y es comprensible que se piense as\u00ed)&#8221; dentro de la empresa y existe la posibilidad de que se haya filtrado, ser\u00eda mejor emitir un comunicado de prensa despu\u00e9s de considerar este problema de antemano.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Creacion_de_la_Comision_de_Supervision_de_Seguridad_incluyendo_abogados\"><\/span>Creaci\u00f3n de la Comisi\u00f3n de Supervisi\u00f3n de Seguridad, incluyendo abogados<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management3.jpg\" alt=\"\" class=\"wp-image-33054\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Publicacion_del_tercer_comunicado_de_prensa\"><\/span>Publicaci\u00f3n del tercer comunicado de prensa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Adem\u00e1s, Capcom celebr\u00f3 una reuni\u00f3n preparatoria para el lanzamiento de la &#8220;Comisi\u00f3n de Supervisi\u00f3n de Seguridad&#8221;, una organizaci\u00f3n asesora sobre seguridad del sistema por expertos externos, el 21 de diciembre.<\/p>\n\n\n\n<p>El 12 de enero del a\u00f1o siguiente (2021), publicaron el tercer comunicado de prensa titulado &#8220;Anuncio y disculpa sobre la fuga de informaci\u00f3n debido al acceso no autorizado\u3010Tercer informe\u3011&#8221;,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Se confirm\u00f3 la fuga de informaci\u00f3n de 16,406 personas adicionales, lo que eleva el total desde el inicio del incidente a 16,415 personas. Adem\u00e1s, se ha descubierto que la informaci\u00f3n personal de los clientes y socios externos que podr\u00edan haberse filtrado es de un m\u00e1ximo de aproximadamente 390,000 personas (un aumento de aproximadamente 40,000 desde la \u00faltima vez).<\/p>\n<\/blockquote>\n\n\n\n<p>Adem\u00e1s, se ha publicado informaci\u00f3n actualizada a medida que avanza la investigaci\u00f3n. Adem\u00e1s, adem\u00e1s de que no se ha filtrado informaci\u00f3n de tarjetas de cr\u00e9dito,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Para jugar a nuestros juegos a trav\u00e9s de una conexi\u00f3n a Internet o para hacer compras a trav\u00e9s de descargas, originalmente no utiliz\u00e1bamos el sistema que fue atacado esta vez, sino que utiliz\u00e1bamos un servidor externo o contratado, y seguimos haci\u00e9ndolo de la misma manera. Por lo tanto, no hay ninguna relaci\u00f3n entre la conexi\u00f3n a Internet o las compras a trav\u00e9s de descargas para jugar a nuestros juegos y el ataque cibern\u00e9tico a nuestro sistema esta vez, y no habr\u00e1 ning\u00fan da\u00f1o para nuestros clientes.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/210112.html\" target=\"_blank\" rel=\"noreferrer noopener\">Anuncio y disculpa sobre la fuga de informaci\u00f3n debido al acceso no autorizado\u3010Tercer informe\u3011 | Capcom Co., Ltd. [ja]<\/a><\/cite><\/blockquote>\n\n\n\n<p>Tambi\u00e9n se ha hecho esta declaraci\u00f3n.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Sobre_la_posibilidad_de_fuga_de_informacion_personal_de_los_solicitantes_de_empleo\"><\/span>Sobre la posibilidad de fuga de informaci\u00f3n personal de los solicitantes de empleo<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Adem\u00e1s, en esta ocasi\u00f3n, como &#8220;informaci\u00f3n que se ha confirmado que podr\u00eda haberse filtrado&#8221;, se ha anunciado la posibilidad de fuga de la informaci\u00f3n personal de &#8220;aproximadamente 58,000 solicitantes de empleo&#8221; mencionados anteriormente, espec\u00edficamente &#8220;uno o m\u00e1s de nombre, direcci\u00f3n, n\u00famero de tel\u00e9fono, direcci\u00f3n de correo electr\u00f3nico, etc.&#8221;<\/p>\n\n\n\n<p>En este punto,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>En cuanto a la informaci\u00f3n del solicitante, se revel\u00f3 en noviembre que la compa\u00f1\u00eda hab\u00eda estado almacenando la informaci\u00f3n despu\u00e9s de la selecci\u00f3n sin destruirla en relaci\u00f3n con el ataque cibern\u00e9tico a la compa\u00f1\u00eda. En el &#8220;Manejo de la informaci\u00f3n personal&#8221; del sitio de contrataci\u00f3n, originalmente se dec\u00eda &#8220;Despu\u00e9s de la selecci\u00f3n, la destruiremos responsablemente en nuestra compa\u00f1\u00eda&#8221;. Luego, en diciembre de 2020, se a\u00f1adi\u00f3 la frase &#8220;Debido a que aceptamos re-aplicaciones, podemos almacenar los datos de los documentos de aplicaci\u00f3n que hemos digitalizado a partir de los medios de papel que recibimos durante un cierto per\u00edodo de tiempo para fines de uso como la confirmaci\u00f3n suave de las aplicaciones anteriores&#8221;. Seg\u00fan la compa\u00f1\u00eda, &#8220;La informaci\u00f3n personal del solicitante todav\u00eda se almacena en el sistema interno, y la operaci\u00f3n es casi la misma que antes del acceso no autorizado.<\/p>\n<cite><a href=\"https:\/\/www.itmedia.co.jp\/news\/articles\/2101\/13\/news075.html\" target=\"_blank\" rel=\"noreferrer noopener\">Capcom confirma la fuga de informaci\u00f3n personal de 16,000 personas, y tambi\u00e9n revela la posibilidad de fuga de 58,000 personas m\u00e1s en el ataque cibern\u00e9tico de noviembre de 2020 &#8211; ITmedia NEWS[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Se ha informado de esta manera.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Gestion_de_crisis_de_relaciones_publicas_basada_en_los_resultados_de_la_investigacion\"><\/span>Gesti\u00f3n de crisis de relaciones p\u00fablicas basada en los resultados de la investigaci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Publicacion_del_cuarto_comunicado_de_prensa\"><\/span>Publicaci\u00f3n del cuarto comunicado de prensa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Posteriormente, Capcom celebr\u00f3 la primera reuni\u00f3n del Comit\u00e9 de Supervisi\u00f3n de Seguridad el 18 de enero (2021), la segunda reuni\u00f3n el 25 de febrero y la tercera reuni\u00f3n el 26 de marzo, manteniendo un ritmo mensual. Adem\u00e1s, el 31 de marzo, recibi\u00f3 un informe de investigaci\u00f3n de una gran empresa especializada en seguridad y un informe de una gran empresa de software.<\/p>\n\n\n\n<p>En respuesta a esto, el 13 de abril, public\u00f3 el cuarto comunicado de prensa titulado &#8220;Informe de los resultados de la investigaci\u00f3n sobre el acceso no autorizado [4\u00ba informe]&#8221;.<\/p>\n\n\n\n<p>En este comunicado, se proporciona una explicaci\u00f3n t\u00e9cnica detallada basada en los informes mencionados anteriormente, sobre el &#8220;proceso de respuesta&#8221;, &#8220;la causa y el alcance del da\u00f1o&#8221; y &#8220;las medidas para fortalecer la seguridad para prevenir la recurrencia&#8221;. Adem\u00e1s, se menciona que se ha establecido un Comit\u00e9 de Supervisi\u00f3n de Seguridad, que incluye a un abogado que es un experto en ciberseguridad y en la ley japonesa de protecci\u00f3n de datos personales, como medida organizativa.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Informes_y_respuesta_sobre_el_rescate\"><\/span>Informes y respuesta sobre el rescate<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management4.jpg\" alt=\"\" class=\"wp-image-33055\" \/><\/figure>\n\n\n\n<p>Adem\u00e1s, el 1 de marzo, se inform\u00f3 que el grupo de cibercriminales &#8220;Ragnar Locker&#8221; hab\u00eda exigido un rescate de aproximadamente 1.150 millones de yenes a Capcom.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>El grupo de cibercriminales &#8220;Ragnar Locker&#8221; public\u00f3 archivos que afirma haber robado de empresas en su propio sitio web y exigi\u00f3 un rescate de 11 millones de d\u00f3lares en Bitcoin (aproximadamente 1.150 millones de yenes), pero Capcom se ha negado a pagar hasta ahora.<\/p>\n<cite><a href=\"https:\/\/diamond.jp\/articles\/-\/263660\" target=\"_blank\" rel=\"noreferrer noopener\">\u00a1Capcom se niega a pagar 1.150 millones de yenes! Razones por las que no se debe pagar el rescate incluso en caso de da\u00f1o por ransomware | Medidas de seguridad en la era del teletrabajo | Diamond Online[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>En respuesta a esto, en el cuarto comunicado de prensa mencionado anteriormente, tambi\u00e9n se hizo una declaraci\u00f3n sobre el rescate.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Sobre el conocimiento del monto del rescate<br>Es cierto que se dej\u00f3 un archivo de mensaje del atacante en el equipo infectado con el ransomware, y se nos pidi\u00f3 que nos pusi\u00e9ramos en contacto para negociar con el atacante, pero el archivo no conten\u00eda ninguna menci\u00f3n del monto del rescate. Como ya se ha informado, hemos decidido no negociar con el atacante despu\u00e9s de consultar con la polic\u00eda, y en realidad, no hemos intentado contactar en absoluto (ver el comunicado de prensa del 16 de noviembre de 2020), por lo que no tenemos conocimiento del monto.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/210413.html\" target=\"_blank\" rel=\"noreferrer noopener\">Informe de los resultados de la investigaci\u00f3n sobre el acceso no autorizado [4\u00ba informe] | Capcom Co., Ltd.[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Se cree que esta es una respuesta al hecho de que se mencion\u00f3 una cantidad espec\u00edfica de &#8220;1.150 millones de yenes&#8221; en los informes mencionados anteriormente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Lanzamiento_en_sitios_relacionados_etc\"><\/span>Lanzamiento en sitios relacionados, etc.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Adem\u00e1s, Capcom, el mismo d\u00eda, en sitios que no son su propio sitio corporativo, como &#8220;CAPCOM: Shadaloo Combat Research Institute&#8221; (sitio relacionado con Street Fighter 5) y &#8220;CAPCOM ONLINE GAMES&#8221;,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n[Seguimiento] Anuncio sobre la falla del sistema del grupo<br>Gracias por usar siempre &#8220;Capcom Online Games (COG)&#8221;. Hemos publicado la informaci\u00f3n m\u00e1s reciente sobre la falla del sistema del grupo debido al acceso no autorizado de terceros a nuestro sistema del grupo desde la madrugada del 2 de noviembre de 2020. Por favor, consulte aqu\u00ed para m\u00e1s detalles.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/210413.html\" target=\"_blank\" rel=\"noreferrer noopener\">Detalles del anuncio | Capcom Online Games[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Ha publicado p\u00e1ginas como esta.<\/p>\n\n\n\n<p>Como se revel\u00f3 en las primeras etapas de esta fuga de informaci\u00f3n, se trataba de &#8220;subcontrataci\u00f3n externa o uso de servidores externos&#8221;, y &#8220;no hay ninguna relaci\u00f3n entre el ataque cibern\u00e9tico a nuestro sistema y la conexi\u00f3n a Internet o la compra de descargas para jugar a los juegos, y no habr\u00e1 ning\u00fan da\u00f1o para los clientes&#8221;, pero,<\/p>\n\n\n\n<p>Se cree que se public\u00f3 un comunicado en cada sitio para no causar ansiedad a los usuarios al informar los resultados de la investigaci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Resumen\"><\/span>Resumen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Como se ha visto, en casos de grandes filtraciones de informaci\u00f3n personal, es importante:<\/p>\n\n\n\n<ul>\n<li>Informar r\u00e1pidamente a la polic\u00eda en el momento del incidente<\/li>\n\n\n\n<li>Preparar un sistema para informar la situaci\u00f3n y obtener orientaci\u00f3n y consejos de &#8220;abogados externos expertos en ciberseguridad&#8221;<\/li>\n\n\n\n<li>Gesti\u00f3n de crisis de relaciones p\u00fablicas por el equipo anterior<\/li>\n<\/ul>\n\n\n\n<p>Y, una vez que se ha recopilado suficiente informaci\u00f3n, es importante:<\/p>\n\n\n\n<ul>\n<li>Formar un comit\u00e9 de supervisi\u00f3n de seguridad que incluya abogados<\/li>\n<\/ul>\n\n\n\n<p>Podemos decir que es importante manejar la gesti\u00f3n de crisis de manera r\u00e1pida y organizada.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La filtraci\u00f3n de informaci\u00f3n de Capcom que ocurri\u00f3 en noviembre de 2020 (a\u00f1o 2020 del calendario gregoriano) fue causada por un ransomware personalizado, y hubo la posibilidad de que se filtraran hast [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":68453,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59383"}],"collection":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/comments?post=59383"}],"version-history":[{"count":3,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59383\/revisions"}],"predecessor-version":[{"id":68456,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59383\/revisions\/68456"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/media\/68453"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/media?parent=59383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/categories?post=59383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/tags?post=59383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}