Caso de estudio: filtración de datos de Uber y Marriot

Si yo fuera el CEO o Dir. de Seguridad:

• Escuchar la demanda que hace el atacante y corroborar que si es real el ataque.

• Paralelamente, Iniciar el plan de contingencia sobre ataque Cibernético previamente establecido. Activando los protocolos de seguridad internos.
• Incorporar mi equipo de contingencia y buscan soluciones, alternativas y el impacto del ataque.
• En caso de encuentra la vulnerabilidad en ese momento, se soluciona inmediatamente y se
  refuerzan las políticas y protocolos de seguridad.
• En caso de No encontrar la solución interna, se procede a reportar a las autoridades competentes (policía).
• Luego se estudia el impacto del ataque, para decidir en alguna de las siguientes alternativas usando el Seguro Cibernético previamente obtenido.

1. Pagar al atacante y confiar que de vuelva lo robado
2. No pagar al atacante y absorber los gasto que incurra la exhibición de los datos
3. No pagar al atacante y absorber los gasto que incurra las demandas de los usuarios y la multa de la autoridad.

• El resultado del estudio es, tomar la alternativa 3 como la mejor haciendo valer el Seguro
• Y en lo legal se incorpora una demanda al reporte de la policía contra el atacante, para dar seguimiento y dejar constancia de lo sucedido al Seguro Cibernético.
• Después del ataque y de forma inmediata, se debe documentar lo sucedido y realizar inmediatamente las actualizaciones de las políticas y protocolos de seguridad.
• Se concluye con un aviso a los clientes de lo sucedido y explicando la solución que se tomó.

Lo que hubiera hecho es responder: Uber no negocia con extorsionadores. Por lo tanto, no haremos absolutamente nada al respecto. Si quieren filtrar los datos, háganlo, pero lo que obtendrán a cambio es persecución por parte de la Ley.
En cambio, otra cosa que podemos hacer, es que el equipo que logró obtener los datos puede integrarse al equipo de desarrollo por un tiempo limitado para juntos evaluar en dónde existió ese fallo de seguridad, arreglarlo en conjunto, y firmar un documento legal de confidencialidad donde se comprometan a no dar a conocer los datos obtenidos y destruir todas las copias que tengan, sino habrá consecuencias judiciales.
Es decir, el primer camino es el de obtener problemas legales, y el segundo camino es el de obtener reconocimiento. Hagan lo que consideren mejor para sus intereses.

Considero que la acción más prudente era, notificar al CEO y superiores.
Avisar a las autoridades.
Intentar negociar con el “estafador” para ganar tiempo en lo qué se realiza la investigación.
Cruzar los dedos.
Esperar resultados y realizar un Post Mortem para optimizar, corregir y evitar que esto vuelva a pasar, si no me dan cuello jaja.

Para ser muy practico… Si ya nos robaron, ya que.

• Tapar los huecos de seguridad con el equipo de ingenieria.
• Ser mucho mas riguroso con los temas de seguridad y programar mas simuladores de ataques o cosas por el estilo mucho mas a menudo.
• Hacer publico este hecho y disculparse con los usuarios, como recomendandoles que deben cambiar contraseñas, etc…
• Ofrecer a los usuarios afectados, o si no se sabe en concreto quienes fueron, A TODOS LOS USUARIOS, bonos de descuento y beneficios gratis por un tiempo para aliviar la imagen de la marca.

No sé si ustedes se han visto el capítulo ´Shut up and dance´, de Black Mirror.
Una impresión que me dejó la historia es que si intentas negociar con el autor de un ataque cibernético, él puede extorsionarte, conseguir lo que quiere y no cumplir su parte.
¿Así funciona? ¿Respetan su palabra? Yo no soy ingeniero ni vengo del mundo de la tecnología.

💡 Decisiones que tomaría como Director de Seguridad.

Caso Uber:

1. Hacer una contingencia de seguridad de datos.
2. Cambiar el acceso a AWS y GitHub.
3. Comunicación interna con clientes afectados.

Caso Marriott:

1. Tapar el hueco de seguridad.
2. Hacer una auditoria del sistema.
3. Comunicación interna con clientes afectados.

Reportar inmediatamente al CEO y como tal a la policía o entidades encargadas de realizar estas supervisiones, lo peor en estas situaciones es no comunicar y dejar que el problema se agrande cada vez mas

Con lo delicado de la situación pediría pruebas de que tiene toda es data y si es verdad me arriesgaría a pagarles. Para no comprometer a la compañía y a los usuarios y conductores.

Contratar tres especialistas:
Uno que me ayude a identificar el mejor proceder a la hora de la negociación (Abogados técnicos etc).
Dos un equipo de seguridad informática para determinar la el origen de la fuga y la identidad de los perpetradores.
Tres relaciones publicas estrategias de minimización de impactos

En ambos casos lo mejor es asumir responsabilidades por los fallos de seguridad en los procesos internos, y buscar asesores externos que puedan ayudar a sortear la situación de la mejor manera tanto a nivel público como de tecnología. También es probable que lo mejor sea renunciar al cargo.

1. Verifico si lo que me dicen es verdad
2. analizo lo que tienen y lo que quieren.
   3.analizo riesgos de no colaborar y de colaborar.
   4.Entro a negociación con ellos.

Seria mas practico y rapido:

1. Iniciar el plan de contingencia por el ataque cibernético.
2. Al encontrar la vulnerabilidad, se buscaría solucionar internamente lo antes posible.
3. Reportar a las autoridades correspondientes.
4. Sabiendo el impacto se buscaría reforzar los protocolos de seguridad cibernética.

Lo que haría sería:

1. Leer cuales son las demandas del hacker.
2. Revisaría, junto con el equipo de seguridad interno, que fue lo que pasó, realizando un escaneo completo de todo el sistema.
3. Ir con las autoridades competentes.
4. Entender que tan serio fue el ataque, y que repercusiones trae al negocio.
5. Si encontramos el fallo de seguridad, resolverlo lo mas pronto posible.
6. No pagaría al atacante, ya que, gracias a Black Mirror, aprendí que los hackers se quedan con tu info y puede provocar extorciones futuras (Incluso aún despues de cumplir sus demandas).
7. Actualizar los protocolos de seguridad existentes.
8. Notificar a todos los usuarios.

Inmediatamente involucraria a las autoridades competentes para intentar capturar a los responsables.
Con losdelincuentes no se puede mediar pues despues de pedir un soborno y darse cuenta que pueden pedir aun más, nadie saciara esa sed de dinbero.
Por otra parte nada les impide ahora continuar con los clientes individuales que de igual manera afectaria el good will de la mepresa.

Esa es una preoupación que se debe tener siempre cuando se construye software.
Tener la noción de seguridad iinformática, invertir en una estructura de seguridad que siempre este realizando mejoras.
Se debe invertir en los mejores ingenieros de seguridad informática.
En este caso yo pagaría a una empresa de investigación para saber quienes fueron los hackers, y se que aunque yo pagara igual se llegarían a filtrar los datos tendria que hacer la compensacion a los mis usuarios

Buen caso.

Este problema tiene que ser planteado a la alta dirección y evaluar las consecuencias, todas. Aquí obviamente necesitas asesoría legal de primer nivel. Y luego ver qué correcciones hacer a futuro. Importante ver si la filtración fue desde dentro.

Concuerdo en que no se puede negociar con extorsionadores pero hay que hacer control de daños, porque a partir de esa información pueden haber muchas personas perjudicadas.

También la ley tiene que adecuarse a la protección de la información y a la no adquisición de dicha info por la competencia. Por ejemplo Hay muchas empresas que adquieren datos de manera ilegal para acceder a potenciales cliente

No tengo ninguna idea sobre seguridad informática pero desde la perspectiva legal considero debía haber estado contemplado los términos y condiciones en los que se aclare los términos en cuanto a la responsabilidad ante posibles situaciones como esta. En los términos y condiciones la empresa se puede deslindar o limitar su responsabilidad alegando por ejemplo un caso fortuito, algo como que para tal ataque se implementó tecnología desconocida. Con la aplicación del lenguaje técnico en esta industria se han burlado de los tribunales en todo el mundo, sobre todo las redes sociales.

Honestamente, sufrir de extorsión generaría mucho estrés. Es relativo a la importancia de lo que está en juego. En su caso, me iría por las decisiones legales, consultaría a mis abogados como proceder, esto para proteger tanto a la empresa como a los clientes. Claro está, una vez meditado y evaluado con el nivel jerárquico más alto de la compañía.

Los escenarios de seguridad requieren efectuar acciones de control, prevención, detección, autogestión, mitigación para garantizar la condifencialidad, integridad y disponibilidad de la información, alrededor de aspectos es importante aplicar:
1-Principio del mínimo privilegio, revisar los accesos a la información sensible, así como procesos, tecnologías,etc para restringir y controlar de forma anticipada
2-Modelo de “Need to know”, la necesidad de conocer es vital para evitar de igual forma restringir focos de riesgo
3-Rotación de responsabilidades del personal que lleva muchos años al frente de los procesos
4-Segmentación de las responsabilidades
Todo esto soportado en una metodologia de control de los activos estratégicos de la organización y procesos de ciberseguridad, control de riesgo, fraude, etc periódicos para mitigar cualquier fuga de información.

En el caso de Marriot se corregiria la brecha de seguridad , realizar ajustes al sistema de informacion, comunicar a los clientes que actualicen sus claves.

Con UBER notificarle al CEO inmediatamente aunque corra el riesgo de ser despedido, ya que el no hacerlo puede empeorar la situación y puedo ser demandado. notificarle a las autoridades del país respectivo y trabajar conjuntamente con ellos al mismo tiempo que se corrigen los fallos y se evaluan daños y se implementan nuevas medidas de seguridad

Renuncio jajaj

En este momento soy ignorante de qué protocolo se sigue en estos casos de extorsión, pero según mis convicciones me sería más importante cuidar la integridad de mis usuarios y pagaría la extorsión.

Pues si ya nos robaron, como dirían en mi país: Una vez ahogado el niño tapar el pozo.

• Lo que haría es informar el CEO y empezar a ejecutar acciones para solucionar el fallo de seguridad actual.

• Dejar bien claro con los atacantes de que no se va a pagar ningún tipo de rescate por los datos.

• Por ultimo pero no menos importante generar un plan continuo de detección de amenazas para contrarrestar la mayor cantidad que se pueda a futuro.

Algunas acciones:

• Dar a conocer el caso a nivel de Presidencia y Dirección.
• Evaluar y comparar los riesgos y consecuencias de acceder vs no acceder.
• Hacer un análisis inmediato de vulnerabilidades y acciones sobre la misma (para que la filtración no continúe).
• Realizar una comunicación oportuna a los clientes, exponiendo la situación, disculpándose por la misma, y dando guía al respecto.
• Prepararse (frente de comunicación, tecnológico, legal, operativo, procesos, financiero) para las consecuencias de cualquiera de las dos acciones (Riesgo Operativo, Financiero, Reputacional, Demandas Legales por parte de clientes o terceros afectados).

Lo que yo haría es:

Una vez tengo la notificación de atacante inmediatamente corregir la brecha de seguridad.
Cambiar contraseñas de seguridad importantes.
Comunicar al CEO del problema y las medidas que se han implementado para mitigar los problemas.
Hablar con el área legal para poder reducir las demandas por parte de clientes.
Dos puntos muy importantes:
No negociar con el atacante, no hay pago. Por que no tienes la seguridad que una vez hecho el pago va a borrar la información.
Y en los casos de que son empresas grandes y reconocidas crear una campaña de marketing para que todos los clientes realicen cambios a sus contraseñas.
El que los clientes vean que tienes una reacción rápida a este problema es buena señal de que sabes trabajar con problemas. Aceptar tus errores también da una buena impresión.
Y cambiar los métodos de seguridad en las cuentas de clientes para hacer más fuerte y seguro su ingreso.

Lo primero que haría es poner en marcha el protocolo del plan de contingencia ante un ciberataque (toda empresa debería tenerlo, es una obligación), lo segundo seria proteger las computadoras, cerrando el acceso a todo personal que no este permitido de usarlas según el protocolo de seguridad preestablecido, len tercer lugar seria revisar las contraseñas y así con el equipo de seguridad ir buscando los errores y posibles huecos, en tercer lugar formaría a los empleados para poder mantener la calma y poder continuar con el protocolo (la seguridad de un líder genera la calma en sus empleados), y finalmente se procedería con la denuncia a la policía.

Ahora, qué hacer ante situaciones como esta… me recuerda el papel de Gideon Goddard en Mr. Robot, y realmente se me hace una situación muy terrible. Imagina la carga emocional de lo que acaba de pasar, sobre todo si es por errores tontos, o por no supervisar procesos internos o por no revisar periódicamente que la gente a tu cargo haga las cosas como deben hacerse.
Porque en el caso de Uber solo bastaba con subir un commit a Github con las credenciales a AWS, aunque después se borraran, las claves quedarían ahí en la historia del proyecto. O sea, bastó solo un desliz de un programador para exponer toda la base de datos a alguien que tuviera acceso al repositorio de Github, tal vez obteniendo el acceso al repositorio por un robo de un laptop.
Sin duda denunciar a la policia de cibercrimen del país respectivo y contratar expertos y/o hackers éticos para que nos puedan brindar un diagnóstico real de los daños y un plan de acción, tanto de la empresa como de lo usuarios afectados (por ejemplo, decirles que cambien la contraseña de todas sus cuentas que usen la contraseña comprometida)

1.-Analisar la situación y comprobar si efectivamente es verdad el ataque.
2.-Iniciar el protocolo de seguridad de ataques ciberneticos
3.-Incorporar al equipo de seguridad cibernetica

Si yo fuera el CEO

1. Denunciar inmediatamente a las autoridades
2. Plan de Contingencia para cerrar las brechas de seguridad
3. Validar la responsabilidad de los trabajadores de la empresa
4. Planear la estrategia legal para afrntar la crisis

Seguramente para el calibre de empresa que es UBER y la experiencia de sus ejecutivos y consultores, etc. Ya debe existir un protocolo ante CRISIS como estas. También, seguramente en los DISCLAIMERS que firmamos sin leer los usuarios vendrá algo que exima a UBER ante sus clientes. Lo que haría sería Notificar al CEO para activas el protocolo ante contingencias, notificar a las autoridades correspondientes, en EU existen departamentos súper avanzados de ciber seguridad.

En el caso de Uber creo que hubiese accedido a su petición. Cometer errores no es gratis, pero prefiero perder dinero antes que la reputación de mi empresa.
En el caso Marriot. Es muy difícil ya que no tiene mucha solución que darle. Lo único que quedaría es ser honestos y salvar la poca reputación que te quedaría e informar a todos de la grave filtración que tuvieron para que las consecuencias no lleguen a ser peores. Esto me recuerda a china, que quisieron ocultar el brote del corona-virus desde septiembre del 2019. Si hubiesen sido transparente desde el principio, esto no se hubiera salido de control. Ahora la reputación de china esta por los suelos.

Evaluar que tan grande es el error con los especialistas. Definir soluciones y comunicar a los usuarios sobre este problema. Estoy pensando contratar a los hackers, pero lo de la extorsión se que son personas con una moral baja

Uber

• Pagar por el rescate no es la solución, nada te garantiza que no volverán a pedir dinero y que la información por la cual te están pidiendo dinero será borrada.
• Habriá que informar al CEO de inmediato para ejecutar un plan de acción en caso de que, en efecto se filtre toda la información; y entre tanto ganar todo el tiempo posible con los extorsionadores.
• En paralelo, trabajar para mitigar, solventar o corregir el problema en lo posible y evitar que sigan teniendo algún tipo de acceso a la información.
• Ajustar políticas y procedimientos de seguridad, concientización a los usuarios para que el error (claves en código) no suceda nuevamente.

1. No pago la extorsión, informo inmediátamente al CEOy que pase lo que tenga que pasar.
2. Analizo qué, cómo, cuándo pasó y trabajo en el plan de acción para que no vuelva a pasar.

Pagar por una extorsión que vincula datos es un juego de cuantas veces estoy dispuesto a pagar por evitar que filtren esos datos hasta el día en que no pago y los datos se filtren. Siempre la mejor opción es echarle tierra al asunto. No pagues.

sabiendo lo cometido por los extorsionadores, analizaría todo los eventos posibles a futuro, su magnitud de impacto. con el fin de reducir a su máximo posible de daños colaterales.

Un bug o un fallo técnico es muy diferente a una filtración de datos, pues aunque el bug se puede arreglar, una filtración de datos no se puede revertir; una vez los datos estan en internet, permanecen alli para siempre. En caso de estorción se debe acudir a las autoridades de inmediato, pues pagar no tiene sentido, avisar a la prensa para mitigar los daños causados a los usuarios.

Es muy fácil hablar desde algo que no se ha vivido. Y muy posiblemente si paga pierde su dinero porque lo van a seguir extorsionando. La vulnerabilidad ya fue ocasionada y ya se equivocaron, lo más sabio es reportar ante organismos expertos.

En este tipo de casos lo mejor es ser transparente con todos los implicados. Los clientes deben ser informados inmediatamente para que tomen precauciones y actualicen sus contraseñas. Se resuelve el problema técnico de vulnerabilidad y se toman medidas para que no ocurra en el futuro.

Caso Uber: 1. Diagnosticar mi sistema de seguridad cibernetico para ejecutar mejoras 2.realizar la denuncia respectiva ante la fiscalia, 3. reunirme con mis abogados para blindar la empresa ante las futuras demandas de los conductores y clientes de quienes robaron la información. 4. investigar lo que realmente sucedió con los programadores que hacen parte de Github para tomar medidas para que no vuelva a suceder. 5. No pagaría la extorsión porque generaría un precedente negativo para la empresa y la industria Caso Marriot: 1. cambiar de sistema de seguridad y armar una defensa jurídica por futuras demandas de los huéspedes. 2 denunciar ante la fiscalia.

Asumir las consecuencias!!
En ambos casos

1. Cerrar hueco de seguridad (Contratación con empresa Externa).
2. Avisar a los clientes de la situación que esta ocurriendo.
3. Negociar con los Hackers, para la no publicación de la base de datos.

Frase de la película Air Force One —titulada El avión presidencial DE 1997

Si le das un pesado de queso a un ratón, luego vendrá por un vaso de leche

Ceder a la extorción, es abrir la puerta a las próximas

Primero que nada
Como director de seguridad

• Corroborar lo que dice es cierto
  *Cambiar el acceso de AWS inmediatamente
  *alertar del caso a los programadores internos y solucionen el problema.
  *No ceder frente a la extorcion, un pago como este solo alimenta a esas empresas malignas. (aparte, si pagas, tienen tu informacion, con solo tener algo de calle ya se sabe que lo pueden volver a hacer, pierdes tranqulidad, dinero y peor, dejas a TUS CLIENTES, a merced de ellos)
  *Si todo es cierto, ya se robaron la informacion y no hay nada que hacer, avisar a los clientes de la situacion, de ser posible recompensarlos y ser transparentes con ellos. que cambien sus contraseñas, alerten a los bancos y demas.

posteriormente, daría un programa de recompensas bastante jugoso (obvio, dependiendo del error) al hackers que encuentre fallos de seguridad medio-graves. sale mejor pagarle a alguien ético que a una empresa del mal.

En el caso de Uber:

1. Habría ganado tiempo respondiendo afirmativamente a las demandas del extorsionador.

1. Notificaría inmediatamente a las autoridades sobre éste delito

1. Forzaría a los clientes el cambio de su contraseña con el pretexto de una actualización

1. Migraría el repositorio principal del proyecto a una nueva cuenta de GitHub y dejaría el actual como señuelo.

1. Restringiría los colaboradores del proyecto, además de utilizar nuevas máquinas para trabajar sobre éste nuevo repositorio mientras se estima el alcance de los daños.

1. Esperar la resolución de las autoridades y manejar los daños.

1. Recomendar acciones de mitigación del daño temporales como usar contraseñas diferentes en todas sus cuentas para evitar un daño mayor y variar sus rutas por un tiempo.

En el caso de Marriot:

1. 1. Recomendar acciones de mitigación del daño temporales como usar contraseñas diferentes en todas sus cuentas para evitar un daño mayor.

1. Con base en la información del video, creo que no les queda más que aprender de éste error y corregir lo más que puedan.

Caso huber

Doy aviso detallado de qué pasó, cuál fue el problema, cuales son las responsabilidades y defectos, hago un plan de reparación y mejor para que esto no suceda. Y analizo con el equipo si vale la pena o no pagar la suma de dinero ya que no hay certeza de que pagándolo no lo usen o publiquen de igual forma.

Estas serian mis acciones en el caso UBER

• Un avisó directo a CEO para colocar en contexto lo que sucede acerca de la filtración de seguridad.
• Conformaría un equipo de seguridad para realizar un análisis y definir y ejecutar acciones de mejora acerca de la brecha de seguridad.
• Convocar una reunión a nivel de c-level para definir las acciones que podemos hacer a nivel jurídico y de relaciones públicas

Hola, en el caso de Uber pienso que acceder a las demandas de los extorsionadores no es la mejor opción, así que no lo haría. No considero que haya sido un error de una persona ni un área en específico, sino varios “huecos” que en suma dejaron vulnerable la información de millones de usuarios. En la caso de Marriot me parece increíble que desde tantos años atrás se haya podido acceder a datos sensibles de usuarios y que no hayan detectado esto, esa es una historia distinta y si habría que revisar en conjunto el papel de cada elemento del área de seguridad informática de la empresa.

Realmente buscaría ganar tiempo, buscaría asistencia con expertos todo esto contra reloj para tratar de dar con los culpable, si los encuentro buscaría negociar con ellos con una posición de ventaja, pero no pagaría sin saber quienes son, si lo hago igual volverían e extorsionar.

Github es un repositorio de codigo, AWS es un lugar de almacenamiento, la responsabilidad cae directamente en el personal de uber, el manejo de password y la proteccion de la información es es responsabilidad de Uber, AWS en este caso es solo un medio, no sirve de nada tener el mejor candado, si alguien tiene la llave o una copia para abrir ese candado.

En el caso de marriot, algo similar, me imagino que marriot debe contar con un departamento de sistemas, el que hayan demorado tanto tiempo en detectar un bug, determina que no realizar los test suficientes de seguridad antes de enviar a produccion el producto final. Responsabilidad absoluta para el personal de sistemas de Marriot

No creo que pagar lo que pide la extorsión sea la mejor manera de resolverlo. Ya tienen los datos y no sabemos que pueden hacer con ellos 🤐

Obviamente no pagaría la extorsión no hay garantía de que no lo publicaran en ese momento o tiempo después.

Caso Marriot.

Que lo saquen a la luz. Sin más.

Pagar a un extorsionador nunca será la solución. Ademas eso no te asegura nada. El extorcionador solo quedrá mas plata.

Yo reportaría directamente al CEO y a la policía encargada. Asumiendo las consecuencias de no haber visto el fallo.

Hablaría con mi equipo de trabajo y en especial al CEO. Yo votaría en denunciar a las autoridades.

Como CTO de Uber, informaría al CEO y a la junta directiva, y propondría informar a los afectados sobre la situación actual.

Si yo fuera el director de seguridad no hago caso a las extorsiones, o sea, no pago nada y activo el plan de contingencia ante estos datos, desconecto servidores, redes, todo y se trabaj de manera interna para buscar vulnearabilidades y repararlas.

En caso de estar en el lugar de CEO con una situación así, creo que lo mejor sería aceptar las circunstancias en la que nos encontramos como empresa y notificar a las autoridades primero lo antes posible para que puedan tomar las medidas necesarias. También, le avisaría a nuestro equipo de desarrollo y seguridad para que puedan cortar o solucionar el problema rápidamente y que no se haga algo mas grande. Con todo eso, aun así tendría en claro la realidad en la que nos encontraríamos y no aceptaría la extorción de los atacantes sino que asumiría la responsabilidad y consecuencias en caso de que se hagan públicos los datos.
Sin duda, un caso muy incomodo y difícil de afrontar para cualquier empresa.

1.- Cero negociacion con extorcionadores / terroristas
2… Analisi profundo sobre la seguridad cibernetica de los sistemas.
3.- reforzamiento y educaccion de los equipos de trabajo para evitar posibles nuevas intrusiones.
4.- Inversion de ser necesario de equipos y servcicios para lograr los objetivos de la organizacion.

TODO EN VISTA DE MEJORAR LA INFRAESTRUCTURA Y PRESTAR UN MEJOR SERVICIO A NUESTROS USUARIOS

El video se detiene mucho, algo esta fallando

Contrataría a Liam Neeson para que los busque y los encuentre jaja en realidad ni idea es que no son tus datos son los datos de tus usuarios, talvez acudir al FBI si la empresa es de USA o al equivalente en paises Europeos, en Sudamérica hay pero no son tan eficientes.

Definitivamente mi posición hubiese sido la de NO negociar con extorsionadores.

Primero debo garantizar que estos datos no se puedan replicar, segundo, asumo que tuve errores que permitieron la filtración y les propondría una negociación a los hacker de no solo no revelar los datos si no que adicionalmente me informaran cuales son mis actuales fallos de seguridad

Aggg sinceramente no se que hubiera hecho,
En el caso de Uber, ¿llamar a las autoridades por un problema de seguridad interno? no se realmente que proceder.
En el caso de Marriot ¿detectar culpables? ¿cortar cabezas? ¿disminuir el problema externo y las consecuencias de lo que sucedió?
Disculpen de verdad no se que haría para resolver o solventar lo que pasa, si se que aprendería de todo lo sucedido para que no vuelva a pasar en la empresa (si sobrevive) o en la nueva que creare después que nos liquiden de estas dos…

Si fuese encargado de reportar al CEO, primero hubiese cuanto antes notificado de lo sucedido para asi de esta manera poder tomar medidas al respecto.

Luego en paralelo, revisar los procedimiento, estándares y políticas alrededor de toda la compania para revisar en detalles todos aquellos aspectos o puntos donde las cosas fallaron o potencialmente pudieron haber fallado para mejorar y remediar lo que mas se pueda.

Finalmente hacer tal vez un anuncio público para que todos los usuarios que se vieron envueltos en esta situación puedan tomar alguna acción al respecto (como cambiar sus contraseñas o cambiar el plástico de sus tarjetas de crédito, o lo que este al alcance para prevenir tanto como se pueda).

Estas son las acciones frente a un evento de esta magnitud, este es un momento de verdad con los clientes, así que hay que manejarlo con toda la relevancia, estas son las acciones a desplegar.
• Convocar una mesa de manejo de crisis.
• Entender que sucedió, porque sucedió, que afectación
se tuvo, que impacto o riesgos se pueden materializar
para coordinar los siguientes pasos.
• No se negocia ni se accede a las pretensiones del
hacker.
• Iniciar acciones de mitigación y cierre de gaps
encontrados a nivel de seguridad.
• Comunicar a los clientes lo sucedido, como los afecta,
que tipo de información se filtró, recomendaciones y
acciones de seguridad debe tomar (ej. Cambiar su
contraseña de acceso.)
• Si esta comprometidos información de medios de pagos,
solicitar actualizar contraseñas bancarias, realizar
conexiones con bancos para lograr la reexpedición de
tarjetas de crédito, tomar acciones hacia el futuro como
la tokenización de los mismos.
• Facilitar el proceso y acciones de seguridad que
requiere el cliente, acompañarlos, habilitar líneas de
contacto donde se de claridad y oriente a los clientes.
• Trabajar de la mano con las autoridades.

No se paga, se enfrenta la situación.

Reflexiones

• Es lo correcto no pagar, ya que así no promocionas estas atrocidades, pero claro, perderás credibilidad.
• Es increíble que durante 4 años hackers obtuvieran información de una manera tan fácil, durante ese tiempo pudieron rastrear los movimientos de cualquier persona como objetivo a través de los hoteles.

Lo más inteligente es BAJO NINGUNA CIRCUNSTANCIA pagar a los extorsionadores, porque eso te pone en una situación de riesgo, en la que tendrías que pagar una suma de dinero para evitar que los datos salgan a la luz, pero sin ninguna garantía al respecto (ni la más mínima).
‎
Esto podría resultar en que la compañía haya perdido dinero por el pago a los extorsionadores, y además por las demandas legales que sin duda caerán por parte de los usuarios. Y para colmo le diste una cantidad de dinero enorme a personas que no solo están afectando negativamente a tu empresa, sino a millones de usuarios.

Lo mejor es asumir los gastos de las demandas (incluso si serán mayores al dinero que solicitan los extorsionadores), e inmediatamente resolver el hueco de seguridad que pudo originar esta situación, aumentando la prioridad de la seguridad informática de la empresa enormemente.
‎
Además también se debería delegar a las organizaciones legales competentes la búsqueda de los culpables. Incluso si esto no generará una recuperación del dinero perdido, es importante que se lleve a cabo, ya que de lo contrario se estará alimentando la idea de que los crimenes informáticos pueden llevarse a cabo sin consecuencias, lo que no solo afectará a tu empresa en el futuro, sino a toda la industria.

Si yo fuera CEO o Encargado de la seguridad:

*Verificar la veracidad de la extorsión, exigiría una prueba del archivo que fue sustraído.
*Alerto a las autoridades competentes (muchos de estos tienen personal capacitado en ciber seguridad y ciber extorsión).
*Alerto al personal de la compañía y evaluo:
1. Impacto del robo
2. Evaluar el Valor a pagar Vs Valor de las demandas por el fallo de seguridad.
*Tomar medidas de contingencia para evitar que esto vuelva a ocurrir.

….Contratar al hacker que vio la vulnerabilidad y la exploto

quizas ganaría tiempo con los extorsionadores tratar de que pase el mayor tiempo posible entre varias cosas etc… mientras en paralelo resuelvo con autoridades fiscales y hacker míos para resolver el tema, y cuando el tema no de para mas para sostenerlo, (suponiendo que ya averigue si es real o no el secuestro de datos) hablaría con ellos diciendo que hagan lo que tengan que hacer ya que, esta todo su caso reportado y en demanda activa con las entidades correspondientes.

Lo que considero que hubiera sido una manera optima d e intentar solucionar el problema es contactar con la policía y con ella tratar de encontrar a los ciberataques, luego mirar los huecos de seguridad y por ultimo no pagar, ya que aunque pagando no se garantiza que el atacante te devuelva los datos y los borre y con eso das el mensaje de 0 extorción en un caso futuro ya saben que no les vas a pagar.

Si fuera el CTO haría lo siguiente:

1. Verificar que la información sea verídica y comprobar que efectivamente estamos presenciando un ataque cibernético.
2. Activar un plan de contingencia que asegure los datos y la seguridad de la página en la actualidad.
3. Medir el costo de los daños y su reparación.
4. Alertar a las autoridades.
5. Si no existe una solución, negociar el pago para la solución del problema.

si yo fuera CTO:

• entraria en panico jeje
• luego contrataria un equipo dedicado a ciberseguridad y en detectar vulnerabildades
• Trabajar de la mano con las autoridades
• ser transparente con los clientes afectados y reportar el problema
• NO pagar a delincuentes por mas que me extorsionen

en mi opinión evaluaría las siguientes opciones:
1 negociar con los criminales y confiar que van a cumplir. "en realidad nos van a seguir extorsionando"
2 analizar si contratar un equipo experto en seguridad informática va generar menos costos que pagar la extorsión y nos va sacar bien librados de la situación.
3 si o si encriptar toda la información de aquí en adelante.
opino desde la ignorancia, veo comentarios mas elaborados y con muy buenas ideas.

A nivel personal yo hubiera iniciado una estrategia de publicidad donde lo primero que era hecho es que mis usuarios cambiaron la clave todos y adicional a eso le subiera sugerido implementar un 2fa y así inutilizar los datos que tuvieran los hackers adicional a ello hubiera enviado archivos de ubicación y rastreo para detectar donde físicamente terminan mis datos o algo así que se pudiera crear

En mi opinión como director de seguridad la clave hubiera estado en 5 factores

• En primer lugar, tener un experto en negociación junto a mi lado para ganar tiempo. Esto me permitiría poder negociar con el delincuente mientras se toman medidas de seguridad internas y a nivel legal. No se puede confiar en alguien que te hackeó, porque si no respetó tu seguridad no respetará un acuerdo.

• En segundo lugar, me comunico directamente con quien mantiene mis servidores AWS y junto a mi equipo de ciberseguridad intentamos corregir el error.
  En tercer lugar, se notifica formalmente el hackeo a los clientes y se les ofrece algun tipo de “perdón” en lo que se intenta minimizar la divulgación.

• Dejar un plan de contingencia para futuros hackeos, reforzar los mecanismos de pentesting de la compañia. Estandarización de algun proceso que permita que la compañia no sufra ataques masivos la próxima vez. Al mismo tiempo, intentaría mejorar mi equipo buscando más talento de otros países para reforzarme ya que una falla de este calibre es también mi culpa como CSO

Reportar al CEO y autoridades
Ganar tiempo negociando y pidiendo pruebas reales de la filtración
Comunicar a los especialistas y sí es necesario equipos externos especializados
Iniciar los protocolos internos de seguridad
Feedback

Estoy de acuerdo con la mayoria en que si ya nos robaron los datos, ya es muy tarde para hacer algo al respecto de eso en mi caso, lo que habria hecho seria:

• Comunicar a los cargos mas altos (la gente encima de mi)

• Comenzar con un protocolo de contingencia para mejorar la seguridad y cambiar la localizacion de los datos (ya se otro servicio de WS u otro servidor)

• “Renegociar” con los atacantes para asi poder encontrar una forma de detectarlos junto con las autoridades y un equipo de informaticos los suficientemente grande.

Algo asi a grandes rasgos es lo que yo haria

Contratar mejores equipos de ciberseguridad y no ceder a las demandas de los hackers maliciosos

Si yo fuera el CSO de alguna de las empresas haría lo siguiente:

1. Luego de enterarme que hubo una infiltración. Buscar con mi grupo de hackers éticos o con una empresa de seguridad informática que haya contratado si el infiltrado dejo un rastro o alguna huella cuando realizo las inflitraciones:
   https://ciberseguridad.com/servicios/analisis-forense/
2. En este puntos hay dos opciones: dejo un rastro o no. Sea que haya o no dejado un rastro, informaría a las autoridades y a nuestros clientes sobre el robo de datos que hubo en la empresa. Yo pediría a nuestro público afectado que bloquee las tarjetas, cambie las contraseñas, números de acceso, clave de tarjetas de crédito, etc. (lo que haya sido afectado) Y que este pendiente ante cualquier compra, transacción o factura extraña.
   https://www.redeszone.net/tutoriales/seguridad/que-hacer-filtracion-datos/
3. Si el criminal dejo un rastro, partir de ese punto y ver que significa tal rastro o que implica el rastro. Después buscarlo o intentar atraparlo si el criminal hizo lo mismo en otras empresas o en otros lugares (si es muy peligroso) y así conseguir un perfil o descubrir quien es.
   https://es.digitaltrends.com/computadoras/kevin-mitnick-hacker-famoso-historia/
   https://www.youtube.com/watch?v=joZ_mVMQ8hk
4. En caso de no dejará rastro ver casos similares en otras empresas afectadas para ver si es el mismo.
5. Seguir con los protocolos, investigación y atraparlo.

lo primero, reviso si lo que dicen tener es cierto, le pido a mi equipo que revise a fondo y ejecute los planes de contingencia necesarios, por la gravedad de la situación informo al CEO y a legal lo que esta ocurriendo.

En el lugar del CEO del Uber hubiera:

• Evaluado la situación del robo de información con el equipo de tecnología y de seguridad de la información
• Activado los planes de contingencia para recuperar la información
• Evaluar la magnitud de la contingencia y evaluar si se puede solucionar a la interna
• No pagaría la extorsión, siempre y cuando la integridad de mis datos se mantenga bajo las acciones internas.
• Comunicar la situación a las autoridades y partes externas que puedan ser de ayuda ante esta situación
• Publicar la información y las acciones necesarias por parte de los usuarios finales

Les diría que publicaran lo que tienen pero luego de haber hablado con alguna autoridad que me respalde y tener una contrapropuesta

Como CEO de Uber, hubiera analizado cuanto es el monto que se estaba pidiendo vs Cuanto es el costo de contratar a expertos en seguridad informatica para que me brinden los servicios correspondientes.

La verdad es que yo creo que hubiera presentado mi carta de renuncia.

El plan de acción para cualquiera de las dos compañías seria: (1) Establecer inmediatamente reunión con el equipo de seguridad, buscando alternativas de solución, parte de las definiciones que deben de quedar son las condiciones que debe de tener la red de las empresas son las políticas y lineamientos de seguridad cibernética, en conjunto con la recurrencia de controles y seguimiento del mismo con auditoria, mitigando que vuelva a suceder una situación de esta envergadura. (2) Notificar a las autoridades competentes y (3) Notificar a los usuarios sobre la situación para que ellos tomen acción sobre sus cuentas antes de que estas sean violadas.

En mi caso, No negocio con los estafadores, no hay razón para confiar bajo ninguna circunstancia, me iría por las vías legales y preferiría invertir ese dinero en investigadores.

avisaría públicamente que hubo ese fallo de seguridad, para que la gente este al tanto y a la vez repararía el hueco de seguridad para que no vuelva a pasar