Análisis sobre la notificación de LinkedIn respecto de la fuga de passwords

De -
Análisis sobre la notificación de LinkedIn respecto de la fuga de passwords
Los artículos 64, 65 y 66 de Reglamento de la Ley Federal de Protección de Datos personales en Posesión de los Particulares establecen medidas que hay que tomar posteriores a una vulneración.


“Notificación de vulneraciones de seguridad
Artículo 64. El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.”
En particular el 65 habla sobre el contenido mínimo que debe comunicarle el responsable a los titulares en caso de vulneración.
“Información mínima al titular en caso de vulneraciones de seguridad
Artículo 65. El responsable deberá informar al titular al menos lo siguiente:
I. La naturaleza del incidente;
II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener más información al respecto.”


El día de ayer recibí un correo de parte de LinkedIn notificando sobre la vulneración que recientemente ocurrió. Vamos a analizarlo con respecto de los términos establecidos en el reglamento.

 [Modificación del 27 de Mayo de 2016: gracias a mi amigo Thalles de Paula que me mandó la notificación en español]
De: LinkedIn Legal <legalnotice@linkedin.com>
Fecha: 25 de mayo de 2016, 4:31:54 p.m. GMT-5


LinkedIn
https://lh4.googleusercontent.com/qF-PNP-4KFO7iXFGiuYQL_VwZIp6jxtB_vUaaG0g0waHRVNH-O4UqqEb5W7ENn5eoskeEEAMq-CKroJMM0fcdCrz1XFS0hmpZ9s-yGpDT8kCfo7Wxn3lCDnTsH1l0ePFRRLhpKUSyViBA0ipmw
Asunto: Información importante sobre tu cuenta de LinkedIn
Aviso de filtración de datos
Puede que hayas oído recientemente noticias referentes a un problema de seguridad en LinkedIn. Queremos asegurarnos de que cuentas con los hechos de lo sucedido, qué tipo de información resultó afectada y qué pasos estamos dando para protegerte.
https://lh3.googleusercontent.com/MJS1Ag5Qx_ewROqJhJuYdczu8DEhTRppWBqZvsNYBHDrg8qj4aZoZoqcKHqkAEh8TLhVAGWRBR1jU7PjaPCs6-Kc-Au4DgwOhAvuNUOJVRBzj2mjhEMtnLn8vnslRcFFHfqQXragixmNUeFvAw

Qué sucedió
El 17 de mayo de 2016 llegó a nuestro conocimiento que datos robados de LinkedIn en 2012 se habían publicado en Internet. No fue un fallo de seguridad o acto pirateo nuevo. Tomamos inmediatamente medidas para invalidar las contraseñas de todas las cuentas de LinkedIn que creíamos que podrían estar en peligro. Dichas cuentas se habían creado antes del fallo de seguridad de 2012 y no habían restablecido sus contraseñas desde entonces.
https://lh6.googleusercontent.com/FRi20RndqzM0CjnTmcA3NFiZ_DVMBuZXgkigc1iefXyAcFpVmir0OLbnWvQfFsFpgTclxo8c5IuwZlZNZ8Z7UNvTZ47mCrDZAVY50We-YWNyjNrOAqcJsggZ4l9Hf1TU8URu9WU3DmUc7ePl-A


Qué información resultó afectada
Direcciones de correo electrónico de los miembros, contraseñas codificadas (hashed) y números de identificación de miembro de LinkedIn (un código interno que LinkedIn asigna a cada perfil de miembro) de 2012.

https://lh3.googleusercontent.com/_0GWEsalnyNYBKG8OtGDC5Rr2wMR_hSrPEj0HnFhGvjrLjkeUk9puwvRaGiJHH1lRt7Ja5L8wI0RlkwRtPCJZu4ZZmX3oEvNSxZx9fyfxVYcsFuGMasBzD2Z64mn-I0U9DiRFr9paaJIrjjGHA

Qué medidas estamos tomando
Hemos invalidado las contraseñas de todas las cuentas de LinkedIn creadas antes del fallo de seguridad de 2012 que no habían sido restablecidas desde el incidente. Además, hemos creado herramientas automatizadas para tratar de identificar y bloquear cualquier actividad sospechosa que pudiera afectar a las cuentas de LinkedIn. Estamos asimismo colaborando con las fuerzas del orden.
LinkedIn ha tomado medidas importantes para fortalecer la seguridad de las cuentas desde 2012. Por ejemplo, ahora utilizamos criptografía con sal para almacenar las contraseñas y ofrecemos a los miembros la opción de aplicar la verificación en dos pasos como medida de seguridad adicional.
https://lh5.googleusercontent.com/b1hx0CUfOoIWvSqg_-E-EofGZUob6Bdadk6LQ0HWxEBjZnGqGPUfMIYILlewodqFz7d7pEtV-FTwN9M9gAB6bYU1loevJqb40hiCtlaMVAAm9H2m-uI0jFren-HWliXTK75uMM2_LtCFJXxGcA

Qué puedes hacer
Tenemos varios equipos dedicados a asegurarnos de que la información que los miembros proporcionan a LinkedIn esté segura. Al mismo tiempo, siempre sugerimos que nuestros miembros visiten el Centro de seguridad para informarse de cómo habilitar la verificación en dos pasos y crear contraseñas fuertes para que sus cuentas permanezcan lo más seguras posible. Te recomendamos que cambies la contraseña de LinkedIn a menudo y, si empleas la misma contraseña o una parecida en otros sitios web, que establezcas nuevas contraseñas para esas cuentas.
https://lh5.googleusercontent.com/f3xyLx9Ex_AUOm3xyRjUIwWgZzIk-bVFHF1aYyX28ryw_z0NV4mgD3VtT4OBxy_paIGdxHc8tTgAehYb4qmm4cGsMPxtsToW-jy0a5ikZClE9QnklJn3OzAxUaJ-LNaaybdVotm2seJmla5N3Q
Para más información
Si tienes cualquier pregunta, no dudes en comunicarte con nuestro equipo de Confianza y seguridad: tns-help@linkedin.com. Para más información, visita nuestro blog oficial.



Aquí la misma notificación recibida en inglés

LinkedIn
Notice of Data Breach
You may have heard reports recently about a security issue involving LinkedIn. We would like to make sure you have the facts about what happened, what information was involved, and the steps we are taking to help protect you.
https://lh6.googleusercontent.com/mN37mJnSVVTwEap3gKYL7geS6HYYqCYewUuRsh8lZ4fHvr3bVcGjegFfTnRsZ8697ppnLBZplgubzl-7JhRzh8FEhi71lskHzfRsAlfzsKaXkQGXo6wEoVSiYMVV6nZyD_Iu_kPnEznULPwJlwWhat Happened?
On May 17, 2016, we became aware that data stolen from LinkedIn in 2012 was being made available online. This was not a new security breach or hack. We took immediate steps to invalidate the passwords of all LinkedIn accounts that we believed might be at risk. These were accounts created prior to the 2012 breach that had not reset their passwords since that breach.
What Information Was Involved?
https://lh6.googleusercontent.com/Zy_YDm-KQqSPfE0juYrULSF42aBEPPPAeFx36UHJGBwyIjdCuwpHwzXIW_SxDIF6-uXhcOpxYJd2oHocY6sm7Z47TEZs-T7EQ--atRIqAspmd9hvgfvKy5ISKlggsHHfvabtY6vSaqCYN1KTjQ
Member email addresses, hashed passwords, and LinkedIn member IDs (an internal identifier LinkedIn assigns to each member profile) from 2012.
What We Are Doing
https://lh3.googleusercontent.com/3PZGa713XVb5HxeEOZ2_PLnTGWnncQvRzvIsmu-7VwN0tnSitdyDfJr70kUKXvqbyvX48XFfks3_-k-6UOCuOiRujtAbRHoOMWuCKjVeoTOCjFLGqJgf07E6PZYHdQj_GhYC2eyHhaB4YD39MQ

We invalidated passwords of all LinkedIn accounts created prior to the 2012 breach that had not reset their passwords since that breach. In addition, we are using automated tools to attempt to identify and block any suspicious activity that might occur on LinkedIn accounts. We are also actively engaging with law enforcement authorities.
LinkedIn has taken significant steps to strengthen account security since 2012. For example, we now use salted hashes to store passwords and enable additional account security by offering our members the option to use two-step verification.

What You Can Do
https://lh5.googleusercontent.com/b1hx0CUfOoIWvSqg_-E-EofGZUob6Bdadk6LQ0HWxEBjZnGqGPUfMIYILlewodqFz7d7pEtV-FTwN9M9gAB6bYU1loevJqb40hiCtlaMVAAm9H2m-uI0jFren-HWliXTK75uMM2_LtCFJXxGcA
We have several dedicated teams working diligently to ensure that the information members entrust to LinkedIn remains secure. While we do all we can, we always suggest that our members visit our Safety Center to learn about enabling two-step verification, and implementing strong passwords in order to keep their accounts as safe as possible. We recommend that you regularly change your LinkedIn password and if you use the same or similar passwords on other online services, we recommend you set new passwords on those accounts as well.
For More Information
https://lh5.googleusercontent.com/f3xyLx9Ex_AUOm3xyRjUIwWgZzIk-bVFHF1aYyX28ryw_z0NV4mgD3VtT4OBxy_paIGdxHc8tTgAehYb4qmm4cGsMPxtsToW-jy0a5ikZClE9QnklJn3OzAxUaJ-LNaaybdVotm2seJmla5N3Q
If you have any questions, please feel free to contact our Trust & Safety team at tns-help@linkedin.com. To learn more visit our official blog.
Por lo anterior, la notificación cubre los 5 elementos que exige el artículo 65. Ahora algunos comentarios extra:
  • Interesante que no traiga ligas externas que pudieran convertirse en phishing
  • Hablan sobre medidas de seguridad nuevas como el uso de “Salted password hashes” que ya está relacionado con el artículo 66
“Medidas correctivas en caso de vulneraciones de seguridad
Artículo 66. En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.”
Recomendaciones finales:

- cambien su contraseña de LinkedIn
- cambien la contraseña de cualquier sitio que tenga la misma contraseña
- revisen qué dispositivos han accedido su cuenta


Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

Plausibilidad técnica vs prudencia analítica: mi análisis sobre el caso del presunto uso de Claude para vulnerar datos en México

De -
Imagen
  El reportaje de Bloomberg sobre un atacante que habría utilizado Claude, de Anthropic, para comprometer información sensible de instituciones mexicanas merece una lectura más cuidadosa de la que normalmente producen los titulares virales. La nota sostiene, con base en investigadores de Gambit Security, que se extrajeron alrededor de 150 GB de datos y que el ataque afectó registros fiscales, padrones electorales y otros archivos públicos. Pero es de resaltar que el mismo 25 de febrero de 2026, Reuters reportó que Gambit salió de “stealth mode” y anunció una ronda de 61 millones de dólares, mientras que el propio comunicado de la empresa ligó explícitamente ese financiamiento con la divulgación de “nueva investigación” sobre la ruta del ataque en México. Esa coincidencia no invalida por sí sola el hallazgo, pero creo que obliga a separar evidencia técnica de la narrativa comercial. La primera distinción importante es entre lo técnicamente posible y lo específicamente probado. H...
Leer más