Jl?ji BAN(QoEJ'\ÉX!CO

COMITÉ DE TRANSPARENCIA

ACTA DE LA SESIÓN ESPECIAL 09/2020 DEL 04 DE MARZO DE 2020

En la Ciudad de México, a las trece horas del cuatro de marzo de dos mil veinte, en el edificio ubicado en avenida Cinco de Mayo, número veinte, colonia Centro, demarcación territorial Cuauhtémoc, se reunieron María Teresa Muñoz Arámburu, Titular de la Unidad de Transparencia; Erik Mauricio Sánchez Medina, Director Jurídico; y Víctor Manuel De La Luz Puebla, Director de Seguridad y Organización de la Información, todos integrantes del Comité de Transparencia; así como Sergio Zambra no Herrera, Subgerente de Análisis Jurídico y Promoción de Transparencia, en su carácter de Secretario de este órgano colegiado. ------­ También estuvieron presentes, como invitados de este Comité, en términos de los artículos 4o. y 31, fracció n XIV, del Reglamento Interior del Banco de México (RIBM), así como la Tercera, de las Reglas de Ope ración del Comité de Transparencia del Banco de México, publicadas en el Diario Oficial de la Federación el dos de junio de dos mil dieciséis, (Reglas), las personas que se indican en la lista de asistencia que se adjunta a la presente como "ANEXO 1", quienes también son servidores pú b Iicos de I Ba neo de México.------­ Al estar presentes los integrantes mencionados, quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia manifestó que existe quórum para la celebración de la presente sesión, de conformidad con lo previsto en los artículos 43 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 64, párrafos segundo y tercero, de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); 83 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO); 4o. del RIBM; así como Quinta y Sexta de las Reglas. Por lo anterior, se procedió en los términos siguientes: ------­ APROBACIÓN DEL ORDEN DEL DÍA. ------­ Quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia, sometió a consideración de los integrantes presentes de ese órgano colegiado el documento que contiene el orden de I dí a. ------Este Comité de Transparencia, con fundamento en los artículos 43, párrafo segundo, 44, fracción IX, de la LGTAIP; 64, párrafo segundo; 65, fracción IX, de la LFTAIP; 83 de la LGPDPPSO; 4o. y 31, fracciones 111 y XX, del RIBM, y Quinta, de las Reglas, por unanimidad, aprobó el orden del día en los términos del documento que se adjunta a la presente como "ANEXO 2" y procedió a su desahogo, conforme a lo siguiente: ------PRIMER O. VERSIONES PÚBLICAS ELABORADAS POR QUIENES SON TITULARES DE LA DIRECCIÓN DE INFRAESTRUCTURA DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES, AMBAS DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. ------Quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia, dio lectura al oficio con fecha de veintiuno de febrero dos mil veinte, suscrito por quienes son titulares de la Dirección de Infraestructura de Tecnologías de la Información y de la Dirección de Apoyo a fPªs Operaciones, ambas del Banco de México, mismo que se agrega a la presente acta como "ANEXO 3" , por medio del cual hicieron del conocimiento de este órgano colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, c7 nf rmidad con la fundamentación y motivación señaladas en las carátulas y en las ruebas de l1- . O

"2020, AOo de L~oa v;cacio, Beoeméci

daño correspondientes, respecto de los cuales se generaron las ve rsi ones públicas respectivas, y solicitaron a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones p ú b Ii ca s. ------Después de un amplio intercambio de opiniones, se determinó lo siguiente: ------­ Único. El Comité de Transparencia del Banco de México, por unanimidad de sus integrantes, con fundamento en los artículos 1, 23, 43, 44, fracción 11, y 106, fracción 111, de la LGTAIP; 1, 9, 64, 65, fracción 11, y 98, fracción 111, de la LFTAIP; 31, fracción 111, del RIBM, el Sexagésimo segundo, párrafo segundo, inciso b), de los Lineamientos generales en materia de clasificación y desclasificación de la información, así co mo para la elaboración de versiones públicas, vigentes, y la Quinta de las Reglas, confirma la clasificación de la información referida y aprueba las correspondientes versiones públicas, en términos de la resolución que se agrega al apéndice de la presente acta como "ANEXO 4,, ' ------SEGUNDO. VERSIONES PÚBLICAS ELABORADAS POR QUIENES SON TITULARES DE LA DIRECCIÓN DE INFRAESTRU CTURA DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES, AMBAS DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. ------­ Quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia, dio lectura al oficio con fecha de veintiuno de febrero dos mil veinte, suscrito por quienes son titulares de la Dirección de Infraestructura de Tecnologías de la Información y de la Dirección de Apoyo a las Operaciones, ambas del Banco de México, mismo que se agrega a la presente acta como "ANEXO 5", por medio del cual hicieron del conocimiento de este órgano colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, de conformidad con la fundamentación y motivación señaladas en las carátulas y en las pruebas de daño correspondientes, respecto de los cuales se generaron las versiones públicas respectivas, y solicitaron a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones p ú b I i ca s. ------Después de un amplio intercambio de opiniones, se determinó lo siguiente: ------­ Único. El Comité de Transparencia del Banco de México, por unanimidad de sus integrantes, con fundamento en los artículos 1, 23, 43, 44, fracción 11, y 106, fracción 111, de la LG TAIP; 1, 9, 64, 65, fracción 11 , y 98, fracción 111, de la LFTAIP; 31, fracción 111, del RIBM, el Sexagésimo segundo, párrafo segundo, inciso b), de los Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas, vigentes, y la Quinta de las Reglas, confirma la clasificación de la información referida y aprueba las correspond ientes versiones públicas, en términos de la resolución que se agrega al apéndice de la presente acta como "ANEXO 6,, . ------TERCER O. VERSIONES PÚBLICAS ELABORADAS POR QUIEN ES TITULAR DE LA DIRECCIÓ N DE AP OYO A LAS OPERACIONES DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. ------­ Quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia, dio lectura al oficio de fecha veintiuno de febrero dos mil veinte, suscrito por quienes es titular de la Dirección de Apoyo a las Operaciones del Banco de México, mismo que se agrega a la presente acta como "ANEXO 7", por medio del cual hizo del conocimiento de este órgano colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, de conformidad con la fundamentación y motivación señaladas en las carátulas y en la prueba de daño correspondiente, respecto de los cuales se generaron las versiones públicas respectiv,nas /

"2020, Afio d e ''°"' Vicacio, Seaeméri

solicitaron a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones p ú bI i ca s. ------Después de un amplio intercambio de opiniones, se determinó lo siguiente: ------­ Único. El Comité de Transparencia del Banco de México, por unanimidad de sus integrantes, con fundamento en los artículos 1, 23, 43, 44, fracción 11, y 106, fracción 111, de la LGTAIP; 1, 9, 64, 65, fracción 11, y 98, fracción 111, de la LFTAIP; 31, fracción 1.11, del RIBM, el Sexagésimo segundo, párrafo segundo, inciso b), de los Lineamientos generales en materia de cla sificación y desclasificación de la información, así como para la elaboración de versiones públicas, vigentes, y la Quinta de las Reglas, confirma la clasificación de la información referida y aprueba las correspondientes versiones públicas, en términos de la resolución que se agrega al apéndice de la presente acta como "ANEXO 8". ------Al no haber más asuntos que tratar, se dio por terminada la sesión, en la misma fecha y lugar de su celebración. La presente acta se firma por los integrantes del Comité de Transparencia que asistieron a la sesión, así como por quien en este acto ejerce las funciones de Secretariado. Conste.

COMITÉ DE TRANSPARENCIA

Presidenta

VÍCTOR MANU A LUZ PUEBLA Integrante / SERGIO ZAMB RANO HERRERA Secretario

" 2020, Año de Leona Vicario, Benemérita Madre de la Patria" "Anexo 1"

BANCO m t\EXICO Jl?;1

LISTA DE ASISTENCIA SESIÓN ESPECIAL 09/2020

04 DE MARZO DE 2020

COMITÉ DE TRANSPARENCIA

MARÍA TERESA MUÑOZ ARÁMBURU Directora de la Unidad de Transparencia

ERIK MAURICIO SÁNCHEZ MEDINA Director Jurídico

VICTOR MANUEL DE LA LUZ PUEBLA Director de Seguridad y Organización de la Información

RODRIGO VILLA COLLINS Gerente de Análisis Jurídico y Promoción De Transparencia

EDGAR MIGUEL SALAS ORTEGA Gerente de Instrumentación Jurídica

JOSÉ RAMÓN RODRÍGUEZ MANCILLA Gerente de Organización de la Información

SERGIO ZAMBRANO HERRERA Subgerente de Análisis Jurídico y Promoción de Transparencia

HÉCTOR GARCÍA MONDRAGÓN Jefe de la Oficina de Análisis y Promoción de Transparencia

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 11111 BAN(ODLt\ÉXICO

INVITADOS PERMANENTES

OSCAR JORGE DURÁN DÍAZ Dirección de Vinculación Institucional y Comunicación

FRANCISCO CHAMÚ MORALES Director de Administración de Riesgos

INVITADOS

ALAN CRUZ PICHARDO Subgerente de Apoyo Jurídico a la Transparencia

JONATHAN NAVARRO VILLEGAS Abogado en Jefe en la Subgerencia de Apoyo Jurídico a la Transparencia

LUIS ADOLFO CASTILLO REYEROS Abogado Especialista

CARLOS FERNANDO ÁNGEL AMADOR Abogado

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 ]1~ BANCO ,. J"\E.XICO 1

RODRIGO MÉNDEZ PRECIADO Gerente de Enlace Institucional y Relaciones Públicas

MIGUEL ÁNGEL NEVÁREZ MORALES Jefe de la Oficina de Enlace Institucional

MARGARITA LISSETE PONCE GUARNEROS Gerente de Riesgos No Financieros

CARLOS ALBERTO ARIAS VÁZQUEZ Subgerente de Seguimiento de Riesgos y Continuidad Operativa.

MARTHA MARISOL CAPILLA GUTIÉRREZ Subgerente de Identificación y Evaluación de Riesgos Operativos.

MARCOS PÉREZ HERNÁNDEZ Dirección de Infraestructura de Tecnologías de la Información

MOISÉS RIVERO VÁZQUEZ Director de Desarrollo de Sistemas

"2020, Año de Leona Vicario, Ben emérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 ]1?11 BANCO DL !'\[XICO

ARTURO GARCÍA HERNÁNDEZ Gerencia de Seguridad de Tecnologías de la Información

CARLOS ENRIQUE MUÑOZ HINK Subgerencia de Coordinación de la Información

ALFONSO ROSENBERG GONZÁLEZ Oficina de Administración de las Páginas en Red

BLANCA YAZEL JIMÉNEZ HERNÁNDEZ Oficina de Administración del Archivo de Concentración y Organización de Archivos

ALICIA ADRIANA AVALA ROMERO Subgerencia de Planeación y Regulación

RICARDO ALFREDO GONZÁLEZ FRAGOSO Líder de Especialidad

ALFREDO CALLEJAS CHAVERO Líder de Especialidad

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 Jl?Ji BANCO DL M[XICO

JOAQUÍN RODRIGO CANO JAUREGUI SEGURA MILLAN Director de Apoyo a las Operaciones

CLAUDIA TAPIA RANGEL Especialista Investigadora

MARTÍN CAMPOS FERNÁNDEZ Analista de Información

DANIEL EULALIO TRINIDAD VÁZQUEZ Jefe de la Oficina de Servicios Administrativos

GUILLERMO JIMÉNEZ GÓMEZ Analista Administrativo

MIL TON ADRIAN GONZÁLEZ PONCE Analista Administrativo

TZOALLI DANIELA PÉREZ TEJADA ROJAS Analista de Información

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 BANCOmJ'\ÉXICO Jl?;1

ADRIANA CAL Y MAYOR MOGUEL Analista de información

GUILLERMO ALBERTO MEDINA TOLENTINO Analista de Información

MIGUEL DORAS FUENTES Analista de Información

" 2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 "Anexo 2" }11 BAN(OocJ'iÉXICO

COMITÉ DE TRANSPARENCIA

ORDEN DEL DÍA

Sesión Especial 09/2020 04 de marzo de 2020

PRIMERO. VERSIONES PÚBLICAS ELABORADAS POR QUIENES SON TITULARES DE LA DIRECCIÓN DE INFRAESTRUCTURA DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES, AMBAS DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP.

SEGUNDO. VERSIONES PÚBLICAS ELABORADAS POR QUIENES SON TITULARES DE LA DIRECCIÓN DE INFRAESTRUCTURA DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES, AMBAS DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP.

TERCERO. VERSIONES PÚBLICAS ELABORADAS POR QUIEN ES TITULAR DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP.

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" BANCOctf·\tX!CO "Anexo 3" RECIBIDO JI?\ BAN(Oocf'\[XJCO 2 8 FEB ~:]

Comltf dP. Tran~parencia Ciudad de México, a 21 de febrero de 2020

COMITÉ DE TRANSPARENCIA DEL BANCO DE MÉXICO P res e n te.

Nos referimos a la obligación prevista en el artículo 60 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP), en el sentido de poner a disposición de los particulares la información a que se refiere el Título Quinto de dicho ordenamiento (obligaciones de transparencia) en el sitio de internet de este Banco Central y a través de la Plataforma Nacional de Transparencia.

Al respecto, en relación con las referidas obligaciones de transparencia, me permito informarles que estas unidades administrativas, de conformidad con los artículos 100, y 106, fracción 111, de la Ley General de Transparencia y Acceso a la Información Pública, así como 97 de la Ley Federal de Transparencia y Acceso a la Información Pública, y el Quincuagésimo sexto de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes, han determinado clasificar diversa información contenida en los documentos que se indican más adelante, incluyendo los metadatos que se deriven de los documentos señalados, de conformidad con la fundamentación y motivación señaladas en las carátulas y en las pruebas de daño correspondientes.

En consecuencia, estas áreas han generado las versiones públicas respectivas, junto con las carátulas que las distinguen e indican los datos concretos que han sido clasificados, al igual que los motivos y fundamentos respectivos. Asimismo, se han elaborado las correspondientes pruebas de daño, que se adjuntan al presente.

Para facilitar su identificación, en el siguiente cuadro encontrarán el detalle del título de los documentos clasificados, los cuales coinciden con los que aparecen en las carátulas que debidamente firmadas se acompañan al presente.

TÍTULO DEL DOCUMENTO CLASIFICADO CARÁTULA NÚMERO PRUEBA DE DAÑO DE ANEXO NÚMERO DE ANEXO

- Autorización para adjudicar a Faro Soluciones 1 2y3 en Tecnología, S. A. de C. V identificado con el ID 19-1073 Contrato No. 0000024404 4 2

- Dictamen de marca con referencia Ref: Y30-84- 5 2y3 2019 - Alcance al dictamen de marca con referencia 6 2 Ref:Y30-84-2019

"2020, Año de Leona Vicario, Benemérita Madre de la Patria "

Página 1 de 2 }Bi BAN(QoEi'\[XICO

Por lo expuesto, en términos de los artículos 44, fracción 11, de la Ley General de Transparencia y Acceso a la Información Pública; 65, fracción 11, de la Ley Federal de Transparencia y Acceso a la Información Pública; y 31, fracción 111, del Reglamento Interior del Banco de México; así como Quincuagésimo sexto, y Sexagésimo segundo, párrafos primero y segundo, inciso b), de los Lineamientos, atentamente solicitamos a ese Comité de Transparencia confirmar la clasificación de la información realizada por estas unidades administrativas, y aprobar las versiones públicas señaladas en el cuadro precedente.

Asimismo, de conformidad con el Décimo de los señalados "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", informo que el personal que por la naturaleza de sus atribuciones tiene acceso al referido documento clasificado, es el adscrito a:

Por parte de la Dirección de Apoyo a las Operaciones: • Gerencia de Desarrollo de Sistemas Operativos (Gerente) • Subgerencia de Servicios de Computo (Subgerente)

Por parte de Dirección de General de Tecnologías de Información

• Gerencia de Cómputo (Gerente) • Subgerencia de Desarrollo de Servicios de Cómputo (Todo el personal) • Subgerencia de Planeación y Regulación (Todo el personal)

Por parte de La Dirección de Recursos Materiales

• Gerencia de Abastecimiento de Tecnologías de la Información Inmuebles y Generales (Todo el personal). • Gerencia de Abastecimiento a Emisión y Recursos Humanos (Todo el personal). • Gerencia de Soporte Legal y Mejora Continua de Recursos Materiales (Todo el personal).

Atentamente,

Director de Apoyo a las Operaciones

~ MARCOS P_,É_R....,,E .-f-.....-­ Director de Infraestructura de T

Página2 de 2 Jl?,i BAN(Oorf'\txICO

CARÁTULA DE VERSIÓN PÚBLICA

La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos).

VERSIÓN PÚBLICA

l. Área titular que clasifica la información. Dirección de Infraestructura de Tecnologías de la Información. Dirección de Apoyo a las Operaciones

11. La identificación del documento del que se elabora Autorización para adjudicar a Faro Soluciones en Tecnología, S. A. de la versión pública. C. V identificado con el ID 19-1073

Director de Infraestructura de Tecn 111. Firma del titular del área y de quien clasifica.

JOAQUÍN Director de Apoyo a las Operaciones

IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública.

Página 1 de 2 BANCOocf'\txICO ]1~1

PARTES O SECCIONES CLASIFICADAS COMO INFORM ACIÓN RES ERVADA

Información Ref. Pág. Fundamento Legal Motivación testada Al 2, 3 y 5 Información Conforme a la prueba de daño que se adjunta titulada Conforme a la prueba de daño que se adjunta relacionada con las "especificaciones de la infraestructura de tecnologías de la titulada "especificaciones de la infraestructura de especificaciones de la información y comunicaciones del Banco de México" tecnologías de la información y comunicaciones del infraestructura de Banco de México" tecnologías de la información y comunicaciones del Banco de México 1.1 1-6, 8-14 Información de la Conforme a la prueba de daño que se adjunta titulada Con forme a la prueba de daño que se adjunta contratación de las "Información de la contratación de las tecnologías de titulada "Información de la contratación de las tecnologías de información que directa o indirectamente soportan las tecnologías de información que directa o información que operaciones monetarias, cambiarias y de agente financiero indirectamente soportan las operac nes directa o que realiza el Banco de México por cuenta propia y a nombre monetarias, cambiarías y de agente financi o que indirectamente del gobierno federal." realiza el Banco de México por cuenta pr. pla y a soportan las nombre del gobierno federal." operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. /

Página 2 de 2 Jl~.1. BANCOrn°/'\ÉXICO

CARÁTULA DE VERSIÓN PÚBLICA

La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y dese/osificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos).

VERSIÓN PÚBLICA

l. Área titular que clasifica la información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora la versión pública. Contrato No. 0000024404

111. Firma del titular del área y de quien clasifica. 2-L--~/ JOAQUÍN~ RIGO ~ O JAUREGUI SEGURA MILLAN Director de poyo a las Operaciones

IV. Fecha y número del acta de la sesión del Co mité donde se aprobó la versión pública. La PflSfflll~púlllrafuellll'Obadl en II NSldll delComké de T~~ycw;,,\ ·,~rada el di K)(KZO ·~ -delCamilideT~ "'8lo l.lmbtano llenera. Seaetatio del OlndMa'll'lnspa,enda c1e1111nc1o • ...... •

HQrGarclaMondngdn."-lodel ~ Comlllfde~adel8ancoddlalco ==-

Página 1 de 2 ])~ BANCOocf'\ÉXICO 1 PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA

Información Ref. Pág. Fundamento Legal Motivación testada 1.1 20,21,23, Información de la Conforme a la prueba de daño que se adjunta. Conforme a la prueba de daño que se adjunta. 24,26,31, contratación de las 32 tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal.

Página 2 de 2 l Jl~i BANCO oc l'iÉXICO

CARÁTULA DE VERSIÓN PÚBLICA

La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo seg undo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y desc/asificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos).

VERSIÓN PÚBLICA

l. Área titular que clasifica la información. Dirección de Infraestructura de Tecnologías de la Información. Dirección de Apoyo a las Operaciones

11. La identificación del documento del que se elabora la versión pública. Dictamen de marca con referencia Ref: Y30-84-2019

111. Firma del titular del área y de quien clasifica.

IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. u piese11te ve1516npúbllca fut aprablda en la'seslón del Comité de Traqsparencla"éSyR4 0,\ ", IIÚIMIII refuM Clleblada e1A,_c1e w:(\{70 de~

Secrataria del Comité de Tra~p 5el'glo lM!lbrano Htltera, SecNtario del Cllllltflle'l'laasp;wndl dtl Bina> de......

INcta,Glrd;iMondllgón,...__... Olfflllfdehisparendaclll8-dlM""8

Página l de 2 ]11 BAN(Qo,f'\ÉXICO PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA

Información Ref. Pág. Fundamento Legal Motivación testada Al l, 2 y 8 Información Conforme a la prueba de daño que se adjunta titulada Conforme a la prueba de daño que se adjunta relacionada con las "especificaciones de la infraestructura de tecnologías de la titulada "especificaciones de la infraestructura de especificaciones de la información y comunicaciones del Banco de México" tecnologías de la información y comunicaciones del infraestructura de Banco de México" tecnologías de la información y comunicaciones del Banco de México 1.1 1-8 Información de la Conforme a la prueba de daño que se adjunta titulada Conforme a la prueba de daño que se adjunta contratación de las "Información de la contratación de las tecnologías de titulada "Información de la contratación de las tecnologías de información que directa o indirectamente soportan las tecnologías de información que directa o información que operaciones monetarias, cambiarías y de agente financiero indirectamente soportan las operaciones directa o que realiza el Banco de México por cuenta propia y a nombre monetarias, camb iarías y de agente financiero que indirectamente del gobierno federal." realiza el Banco de M · · o por cuenta propia y a soportan las nombre del gobier federal." operaciones monetarias, cambiarías y de agente financie ro que realiza el Banco de México por cuenta propia y a nombre del go bie rn o federal. /

Página 2 de 2 \ BAN(Qocf'\txICO }1~1

CARÁTULA DE VERSIÓN PÚBLICA

La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo seg undo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" , vigentes (Lineamientos).

VERSI ÓN PÚBLICA

l. Área t itular que clasifica la información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora la versión pública. Alcance al dictamen de marca con referencia Ref:Y30-84-2019

111. Firma del titular del área y de quien clasifica.

IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública.

1a...-venl6npúblkafue aprallldl 1111111516nclll ~ de '-,.111CL1"b e;;;ua\ •,IIÚIIWO~ •A.• b0m2-0 ·~ Secretarla dtl Comiti de Trans

Sll¡lo Zal!IMIIO Htrre,a, Seffltarlo del Conlllf• 11aa11•1!11Cfadel 111nco• Múlclo. '---ij,11,C:i,L---'

Página 1 de 2 BANCQo,f'\ÉXICO ]1~1 PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA

Información Ref. Pág. Fundamento Legal Motivación testada 1.1 ly2 Información de la Conforme a la prueba de daño que se adjunta. Con forme a la prueba de daño que se adjunta. contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal.

Página 2 de 2 }11 BAN(Qot/"\Í_XJCO

PRUEBA DE DAÑO

Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal.

En términos de lo dispuesto en los artículos 61 apartado A, sexto párrafo, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 113, fracción IV, de la ley General de Transparencia y Acceso a la Información Pública, 110, fracción IV, de la ley Federal de Transparencia y Acceso a la Información Pública; así como, con el lineamiento Vigésimo segundo, fracciones I y 111, de los "lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" (lineamentos) vigentes, podrá clasificarse como información reservada aquella cuya divulgación pueda menoscabar la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiaría o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien, otorgue una ventaja indebida, generando distorsiones en la estabilidad de los mercados, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, por lo que la Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, se clasifica como reservada, en virtud de lo siguiente:

La divulgación de la citada información representa un riesgo de perjuicio significativo al interés público, ya que revelar información referente al software que soporta la implementación de las operaciones monetarias, cambiarías y de agente financiero que este Instituto central lleva a cabo por cuenta propia o a nombre del gobierno federal, pone en riesgo de destrucción, inhabilitación o sabotaje, infraestructura de tal importancia para la economía mexicana que su destrucción o incapacidad tendría un impacto negativo en la efectividad de las medidas adoptadas en los sistemas financiero, económico, cambiaría o monetaria del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal; toda vez que dicho riesgo es:

1. Real, en razón de que revelar o divulgar la ínformoción de lo contratación de los tecnologías de información que directo o indirectamente soportan las operaciones monetarios, cambiarías y de agente financiero que realiza el Banco de Méxíco por cuenta propio y a nombre del gobierno federal, tales como las especificaciones técnicas, los nombres de proveedores, el domicilio de los proveedores, entre otros, facilita a una persona o grupo de personas con intenciones delincuenciales identificar - de manera directa o a través de técnicas de ingeniería social aplicada a los proveedores - información relacionada con la infraestructura informática que soporta las operaciones cambiarias, monetaria y de agente financiero que realiza la banca central, lo cual posibilita la ejecución de acciones hostiles en contra de las tecnologías de la información de este Instituto Central, así como de las infraestructuras que éste administra, opera y supervisa, lo cual, podría menoscabar la efectividad de las mismas a tal grado, que su destrucción o inhabilitación afectaría

Página 1 de 22 JF1i BAN(Qotl"\ÉXICO

seriamente la efectivídad de las medidas implementadas en los sistemas financiero, económico y cambiario del país, arriesgando el funcionamiento de dichos sistemas y, en consecuencia, de la economía nacional en su conjunto.

Al respecto, debe tenerse presente que los artículos 2o. y 3o. de la Ley del Banco de México, señalan las finalidades y funciones del Banco Central de la Nación, entre las que se encuentran, el objetivo prioritario de procurar la estabilidad del poder adquisitivo de la moneda nacional, promover el sano desarrollo del sistema financíero, propiciar el buen funcionamiento de los sistemas de pagos, así como el desempeño de las funciones de regular los cambios, la intermediación y los servicios financieros, así como los sistemas de pagos; operar con las ínstitucíones de crédito como banco de reserva y acreditante de última instancia; prestar servicios de tesorería al Gobierno Federal y actuar como agente financiero del mismo, las cuales comprenden sus funciones de banca central. Las anteriores son finalidades y funciones que dependen en gran medida de la correcta operación de las tecnologías de la información y comunicaciones que el Banco de México ha instrumentado para estos propósitos, mediante el procesamiento de la información que apoya en la ejecución de dichos procesos.

Cabe señalar que las Tecnologías de Información que utiliza y contrata el Banco de México, como son los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, son adquírídos, desarrollados o destinados para atender, entre otras, la 1 implementación de las políticas en materia monetaria y, cambiaria , y para atender las funciones de agente financiero del gobierno federal. Por tal motivo, divulgar información relacionada con las especificaciones técnicas, nombres de proveedores, funcionamiento, normatividad interna, o configuraciones de dichos sistemas, puede propiciar su inhabilitación y en un extremo escenario, podría perturbar considerablemente al sistema financiero por su efecto directo en la información y operaciones relativas a la implementación de las políticas monetarias, cambiarías y de agente financiero que realiza Banco de México.

Los riesgos aludídos tienen mayor probabilidad de materíalizarse con la entrega de la información, debido a que los delincuentes podrían diseñar estrategias para llevar a cabo ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. Dichos ataques focalízados podrían tener mayor probabilidad de éxito debido a que los delincuentes tendrían la posibilídad de dedicar todos sus recursos a ataques concretos identificados con base en la información en cuestión.

Por lo anterior, exponer a los participantes del sístema financiero; así como al Banco Central que las administra, opera y supervísa, a estos ríesgos cibernéticos puede perturbar considerablemente al sistema financiero por su efecto directo en la información y en las

1 Las políticas en materia cambiaría son decisión de la Comisión de Cambios.

Página 2 de 22 operaciones a través de las cuales se implementan las políticas monetaria y cambiaria y las funciones de agente financiero.

Un ataque cibernético a los sistemas que soportan las operaciones de regulación monetaria, cambiaria y de agente financiero del gobierno federal, puede provocar la sustracción, interrupción o alteración de la información que se recibe, se procesa y se resguarda en relación a, por ejemplo, las asignaciones de las subastas que el Instituto central lleva a cabo con propósitos de regulación monetaria, regulación cambiaria o de agente financiero del gobierno federal, así como las operaciones cambiarías que realiza como agente financiero del gobierno federal o en la administración de la reserva internacional. Una liquidación errónea derivada de una alteración en los sistemas que generan las órdenes de cobro o pago de las operaciones antes mencionadas puede derivar en un incumplimiento involuntario de las obligaciones del Banco Central o del gobierno federal con el consecuente pago de penas, incremento en el costo de operaciones y daño en la confianza y reputación de éstas instituciones. De forma similar, la interrupción o imposibilidad de ejecutar las subastas monetarias, cambiarías y de agente financiero que realiza el Banco Central, generaría desconfianza, nerviosismo y especulación en el sistema financiero sobre la capacidad del Banco para operar en los mercados financieros, originando presiones sobre las tasas de interés y sobre el tipo de cambio y afectando por ende, el cumplimiento del objetivo prioritario del Banco que es la estabilidad del poder adquisitivo de la moneda nacional.

La realización de hechos como los previamente narrados podría traducirse en un menor interés por parte de los intermediarios financieros en participar en las subastas con propósitos de regulación monetaria, cambia ria y de agente financiero del gobierno federal, comprometiendo la implementación de la política monetaria y por ende la consecución del objetivo prioritario de procura la estabilidad de precios del Banco. De igual forma comprometerían la implementación de la política cambiaria establecida por la Comisión de Cambios con el consecuente deterioro del mercado de cambios local y por ende del sistema financiero del país; e incrementarían el costo de las operaciones del gobierno federal que, al verse imposibilitado de conseguir financiamiento a través de las subastas primarias de valores gubernamentales, tendría que buscar otros medios de financiamiento a mayores costos.

En efecto, proporcionar la información materia de la presente prueba de daño, facilitaría que terceros logren acceder a información financiera o personal, modifiquen los datos que se procesan o resguardan en ellas o, incluso, dejen fuera de operación a dichas tecnologías.

Es de suma importancia destacar que los ataques a las tecnologías de la información y de comunicaciones, son uno de los principales y más importantes instrumentos utilizados en el ámbito mundial para ingresar sin autorización a computadoras, aplicaciones, redes de comunicación, y diversos sistemas informáticos, con la finalidad de causar daños, obtener información o realizar operaciones ilícitas. Estos ataques se fundamentan en descubrir y aprovechar vulnerabilidades de dichos sistemas, basando cada descubrimiento en el análisis y estudio de la información de las especificaciones técnicas de diseño y construcción, seguridad informática, especificaciones técnicas en materia de seguridad, procesos de

Página 3 de 22 ]11 BANC0°•!"\ÉXICO

continuidad operativa y, en general, información relacionada con los sistemas correspondientes e infraestructura informática.

Otra característica de este tipo de ataques, es la propia evolución de los equipos y sistemas, pues con cada actualización, nueva versión que se genera, o nuevo componente que se instale, se abre la oportunidad a la aparición de vulnerabilidades y, por ende, a nuevas posibilidades de ataque. Por ejemplo, en la actualidad, es común que en materia de sistemas de información se empleen herramientas con licencia de uso libre {p.e. librerías de manejo de memoria, traductores entre distintos formatos electrónicos, librerías para despliegue de gráficos, etc.), y que el proveedor publique las vulnerabilidades detectadas en ellas; contando con esta información y con las especificaciones técnicas de la aplicación o herramienta tecnológica que se quiere vulnerar, aquellos individuos con propósitos delincuenciales pueden elaborar un ataque cuya vigencia será el tiempo que tarde en corregirse la vulnerabilidad y aplicarse la actualización respectiva.

Está documentado en la literatura especializada en la materia que los principales elementos de información que requiere conocer un cibercriminal son: la arquitectura de los sistemas, sus especificaciones técnicas, horarios de operación, funcionalidad general, protocolos de comunicación, aspectos de seguridad informática instrumentados, entre otros, para descubrir y aprovechar los puntos débiles que pudieran existir en estos elementos y atacar a los sistemas. 2

En el caso en concreto, la información materia de esta prueba de daño contiene detalles sobre los formatos y códigos necesarios para la realización de pagos y liquidaciones, nombres de proveedores, especificaciones respecto de los servicios prestados, entre otros, por lo que su divulgación proporcionaría elementos de información que facilitarían a los cibercriminales aprovechar los puntos débiles de las infraestructuras que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, y en consecuencia llevar a cabo ataques informáticos más certeros con la finalidad de causar daños o disrupción de servicios, obtener información, o realizar operaciones ilícitas como fraudes a través de éstas infraestructuras.

2. Demostrable, ya que es un hecho notorio que los sistemas de los Bancos Centrales han sufrido ataques cibernéticos a través de estas infraestructuras, como SWIFT, la cual ha sido utilizada para realizar robos de capital, uno de estos casos es el del Banco Central de Bangladesh, que sufrió un robo de 81 millones de dólares. O como el caso del Banco del Austro en Ecuador, en el que los atacantes utilizaron un método muy similar al de Bangladesh, para robar 12 millones de dólares. Respecto de lo anterior, a la fecha SWIFT continúa siendo objeto de ataques por diferentes grupos de delincuentes informáticos, y expertos en seguridad informática consideran que este tipo de actividades es susceptible de expandirse a otros servicios y sistemas financieros. Asimismo, los sistemas de empresas

Wilshusen, G. C., & Powner, D. A. (2009). Cybersecurity: Continued efforts are needed to protect information systems from evolving threats (No. GA0-10-230T). GOVERNMENT ACCOUNTABILITY OFFICE WASHINGTON DC.

Página 4 de 22 BANCO oc l'\ÉXICO }1~1

como Google, Facebook, PayPal y el New York Times se han visto comprometidos por ataques cibernéticos. las investigaciones realizadas señalan que estos ataques han sido orquestados por organizaciones criminales internacionales con herramientas y técnicas sofisticadas que, además de dañar la reputación de las instituciones afectadas, han generado cuantiosas pérdidas económicas. Esta serie de ataques se encuentra en una fase avanzada, que comenzó con ensayos desde 2017 y que ha logrado la consecución de sus objetivos en algunos casos. En todos ellos, la detección de vulnerabilidades a nivel aplicativo y sistema operativo son elementos en común, por lo cual es totalmente demostrable que el entregar información precisamente sobre las vulnerabilidades de los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, permitiría a los delincuentes o grupos delictivos el llevar a cabo más ciberataques que pudieran dañar de forma más severa las plataformas a través de las cuales se instrumentan las políticas monetaria y cambia ria, y las actividades de agente financiero del gobierno federal.

Para demostrar lo anterior, se citan algunos de los ataques más relevantes:

i) El ataque de tipo "Watering hole" en Polonia, que permitió utilizar un servidor de la Autoridad de Supervisión Financiera para distribuir código malicioso a más de 20 bancos polacos3, el cual se presentó en diversos países incluyendo México, en donde la Comisión Nacional Bancaria y de Valores resultó afectada;4

ii) El ataque del de WannaCry, que aprovechó una vulnerabilidad inherente de , para cifrar la información contenida en las máquinas y exigir el pago de un "rescate" para devolver el contenido a su forma original, el cual interrumpió significativamente la operación rutinaria de varias instituciones comerciales y gubernamentales, incluidas Fedex, Deutsche Bahn, Megafon, Telefónica, el Banco Central de Rusia, Ferrocarriles de Rusia y el Ministerio del Interior de Rusia;5

iii} la alerta mencionada por la National Emergency Number Association en coordinación con el FBI, sobre la posibilidad de ataques de negación de servicios telefónicos conocidos como TDoS (Telephony denial of service, por sus siglas en inglés) a entidades del sector público;

iv} El ataque que se perpetuo a BANCOMEXT el 9 de enero de 2018 a través de una afectación en su plataforma de pagos internacionales provocada por un tercero. Dicho

Badcyber, Author. "Severa! Polish Banks Hacked, lnformatíon Stolen by Unknown Attackers." BadCyber, 9 de febrero de 2017, http://badcyber.com/several-polísh-banks-hacked-information-stolen-by-unknown-attackers/ consultado el 24 de septiembre de 2019. 4 BAE Systems Applied lntelligence. "BAE Systems Threat Research Blog." Laza rus & Wateríng-Hole Attacks, 12 de febrero de 2017. http://baesystemsaí.blogspot.mx/2017/02/lazarus-watering-hole-attacks.html consultado el 24 de septiembre de 2019. Mattei, T. A. (2017). Privacy, Confidentiality, and Security of Health Care lnformation: Lessons from the Recent WannaCry Cyberattack. World Neurosurgery, 104, 972-974.

Página 5 de 22 Jl?ji BAN(ODEr\txICO

ataque es similar a intromisiones ocurridas en otras instituciones en México y América Latina; 6

v) El ataque ocurrido a las instituciones financieras participantes del SPEI, el cual consistió en la alteración de sus aplicativos para conectarse a esta IMF, mediante código malicioso, el cual distribuyó dinero desde las cuentas concentradoras de los participantes a cuentas de usuarios específicas, los cuales fueron utilizados como 11 mulas" para la extracción del dínero.7 A la fecha de elaboración de la presente prueba de daño, se estima un daño a los participantes del SPEI de aproximadamente 300 millones de pesos. 8 El ataque producido a las plataformas que son usadas por proveedores externos en algunos bancos en México, en relación con el SPEI, ha sido catalogado como similar al que ocurrió con el sistema de pagos internacional S.W.I.F.T. en Rusia.

vi) La filtración a través de redes sociales de la base de datos de tarjetas de los clientes del Banco de Chile dada a conocer por el grupo de llamado "TheShadowBrokers".

vii) La introducción a la red interna de Pemex de un ransomeware el pasado 10 de noviembre, que forzó a la compañía a apagar equipos de cómputo de sus empleados en todo el país, inhabilitando, entre otros, el sistema de pagos de la empresa.9

En particular, respecto del sistema financiero mexicano, los ataques han sido focalizados a las tecnologías de la información de las instituciones pertenecientes al mismo y se han incrementado en 2019, destacando nueve principales eventos con una afectación total de 784.7 millones de pesos. Estos ataques aprovecharon vulnerabilidades en infraestructura de cajeros automáticos, banca de inversión, banca móvil, un corresponsal y un enlace con el procesador. Estos ataques son de gran importancia, puesto que representan un riesgo sistémico para la economía mexicana.10 Dicha situación demuestra la realidad e identificación del riesgo que representan los ataques cibernéticos en el sistema financiero mexicano, por lo que los programas que utiliza el Banco de México para interactuar con el

5 BANCOMEXT. "Acción oportuna de BANCOMEXT salvaguarda intereses de dientes y la institución". 10 de enero de 2018. http://www.bancomext.com/comunicados/18443, consultado el 24 de septiembre de 2019.

8 Acorde con los "Puntos importantes sobre la situación actual del SPEI" publicados en la página de internet del Banco de México, 22 de mayo 2018 htt¡:¡://www.banxíco.org.mx¿inicíofbanner/informacion-importante-sobre-la-situacion• =~~~==="'-'-""'-=-'~=""'--'=""'-'="-"'-~'-"'.!..="'-'-'=,,_,.consultados el 24 de septiembre de 2019. 9 Excélsior, Hackers piden cinco millones de dólares a Pemex en ciberataque, 12 de noviembre de 2019. https://www.excelsior.com.mx/nacional/hackers-piden-cinco-m i llones-de-901ares-a-pemex-en-ciberatague/134 73 7 7 con su Ita do el 14 de noviembre de 2019. 10 Morales, Yolanda, 'Ataques cibernéticos generaron afectaciones por 784 millones de pesos', El Economista, 4 de diciembre de 2019, en https ://www. el economista. co m. mx/secto rfi na ncie ro/A tag ues-cibe rn eticos-ge nera ron-afectaciones-por- 784-m i llon es-de-pesos- 20191204-0141.htm l, consultado el 9 de diciembre de 2019.

Página 6 de 22 JI?\ BAN(QoEJ'\ÉXJ(O

mismo están en alto riesgo de ataques y deben reservarse los datos que, de difundirse, pudieran actualizar una vulneración.

Al respecto, uno de los modus operandi de los ciberataques es precisamente a través de la obtención de información pública, información fácilmente accesible o información inaccesible, lo cual puede ocurrir mediante solicitudes de acceso a la información, o bien, a través de las organizaciones que operan o tienen acceso a los sistemas, en complicidad o no, con el único objeto de conocer las vulnerabilidades de las instituciones, empresas, sistemas e infraestructura de tecnologías de la información.11

Por otro lado, es de destacar que los cibercriminales han utilizado técnicas de ingeniería social para obtener información y con ello acceder o vulnerar incluso los sistemas más seguros. Una de las formas más comunes de vulnerar los sistemas es mediante la obtención de información a través de diversas fuentes y mecanismos que les permita diseñar ataques informáticos encaminados a ingresar sin autorización a computadoras, sistemas, aplicaciones, y redes de comunicación, entre otros elementos, con la finalidad de causar daños o disrupción de servicios, obtener información, o realizar operaciones ilícitas como fraudes. Las corporaciones multinacionales y las agencias de noticias han sido víctimas de sofisticados ataques dirigidos contra sus sistemas de información derivado de la aplicación de técnicas de ingeniería social. 12

Por lo anterior, los estándares de seguridad y las mejores prácticas en materia de seguridad informática y comunicaciones, recomiendan abstenerse de proporcionar especificaciones de componentes, arquitectura o configuración de los programas o dispositivos a personas cuyo rol no esté autorizado,13 en el entendido de que dicha información, al estar en posesión de personas no autorizadas, puede facilitar que se realice un ataque exitoso contra la infraestructura tecnológica del Banco Central de la Nación, impidiéndole cumplir sus funciones establecidas en la Ley del Banco de México, así como aquello que le fue conferido por mandato constitucional.

Sea cual fuere el origen o motivación del ataque contra las tecnologías de la información y de comunicaciones administradas por el Banco Central, éste puede conducir al

11 El Financiero, El sistema financiero mexicano fue víctima de una campaña de ciberataques, 15 de mayo de 2018. https://www.eleconomista.com.mx/sectorfinanciero/El-sistema-financiero-mexicano-fue-victima-de-una-campana· de-ciberatagues-20180515·0097.html consultado el°24 de septiembre de 2019. 12 Granger, S. (2001). Social engineering fundamenta Is, part 1: tactics. Security Focus, 18 de diciembre de 2001. https:ljwww.symantec.com/connect/articles/social·engineering-fundamentals-part+hacker-tactics consultado el 24 de septiembre de 2019. 13 Ver por ejemplo las 10 medidas básicas de ciberseguridad de la Security lnformation Center, en particular la relacionada con "Implementar un programa de capacitación en seguridad cibernética para empleados" en donde recomiendan sensibilizar sobre los temas de ingeniería social que buscan obtener información mediante diversos canales de comunicación solicitando información sensible. https:ljwww.waterisac.org/sites/default/files/publíc/10 Basic Cybersecurity Measures- WaterlSAC June2015 O.pdf consultado el 24 de septiembre de 2019.

Página 7 de 22 BAN(Ooc!'itxICO Jl?;1

incumplimiento de su objetivo prioritario y de sus obligaciones hacia los participantes del sistema financiero y/o provocar que a su vez, estos no puedan cumplir con sus propias obligaciones, y en consecuencia, generar un colapso del sistema financiero nacional, lo que iría en contravención a lo establecido en el artículo 2o. de la Ley del Banco de México.

3. Identificable, puesto que el Banco de México se encuentra permanentemente expuesto a ataques provenientes de internet (o del ciberespacio) que, en su mayoría, pretenden penetrar sus defensas tecnológicas o inutilizar su infraestructura, tal y como queda identificado en los registros y controles tecnológicos de seguridad de la Institución, encargados de detener estos ataques. Sin perjuicio de lo anterior, se puede mencionar que durante 2018, se registraron un promedio de 700 intentos de ataque al mes, llegando a presentarse hasta 1500 intentos de ataque en un único mes. Si bien dichos ataques no han logrado irrumpir en los sistemas del Banco de México, resulta claramente identificable que el objeto final de dichos ataques son los sistemas que soportan las operaciones del Banco de México, entre ellas las que realiza con propósitos de regulación monetaria y cambiaría, y como agente financiero del gobierno federal, cuya seguridad depende de la reserva de la información materia de la presente prueba de daño.

Lo anterior no es ajeno a la banca mundial, la cual es continuamente asediada por grupos denominados "hacktivistas", como ocurrió en junio de 2017, donde se pretendía inutilizar los sitios Web de los bancos centrales: " anuncia 07 de junio como inicio de operación #Oplcarus 2017, cuyo objetivo son bancos centrales del mundo y otras instituciones financieras como la Reserva Federal y el Fondo Monetario Internacional en Estados Unidos. La operación iniciará mañana 07 de junio y tendrá una duración de 14 días, como protesta por las decisiones de los gobiernos de todo el mundo que no cumplen con las necesidades de la población.,,

Adicionalmente, si bien las afectaciones a la infraestructura de las tecnologías de la información y de comunicaciones pueden también deberse a riesgos inherentes a las mismas, es importante considerar que cuando estas afectaciones han ocurrido en el Banco de México, se ha generado alerta y preocupación de forma inmediata entre los participantes del sistema financiero; por lo que de presentarse afectaciones derivadas de ataques orquestados a partir de información de especificaciones o configuraciones de estas tecnologías, entregada por el propio Banco Central, se corre el riesgo de disminuir la confianza depositada en este Instituto con el consecuente impacto en las políticas que implementa el Banco y por ende en la economía, con lo que esto conlleva.

En ese sentido, un ataque informático derivado de proporcionar información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, podría resultar en la afectación y alteración de las asignaciones de las subastas que este instituto lleva a cabo con propósitos de regulación monetaria, cambiaría y de agente financiero del Gobierno Federal. A su vez estas afectaciones podrían, en caso de alterar las asignaciones de las

Página 8 de 22 Jl~i BANC0°tl'\ÉXICO

subastas, menoscabar el efecto de las medidas adoptadas en las políticas monetaria, cambiaría y del sistema financiero del país; y en las órdenes de transferencia de fondos, podrían derivar en una pérdida de patrimonio no sólo para las instituciones financieras del país sino del propio banco central o el mismo gobierno federal.

El riesgo de perjuicio que supondría la divulgación de la información materia de esta prueba de daño, supera el interés público general de que se difunda, pues el interés público se centra en que no se comprometa la efectividad en las medidas implementadas en los sistemas monetario, cambiario, financiero y económico, que propician el buen funcionamiento de esos sistemas y de la economía nacional en su conjunto por lo que, la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, no satisface un interés público, por el contrario, es información que pone en riesgo la efectividad de las medias adoptadas en los sistemas monetario, cambiario, del sistema financiero y de la economía nacional en su conjunto. Asimismo al realizar una interpretación sobre la alternativa que más satisface dicho interés, se puede concluir que debe prevalecer el derecho más favorable a las personas, esto es, beneficiar el interés de la sociedad, el cual se obtiene por el cumplimiento ininterrumpido de las funciones del Banco de México.

En consecuencia, proporcionar la información en cuestión, no aporta un beneficio mayor a la transparencia y rendición de cuentas que sea comparable con el perjuicio que implicaría el hecho de divulgarla, esto es, que permita planear y perpetrar ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal y a la infraestructura relacionada con estos, los cuales tengan como resultado la creación de mecanismos que faciliten el acceso indebido, la substracción de información - como datos personales referente a sus usuarios y las operaciones que realizan-, la alteración de resultados de las subastas que realiza este instituto y de las órdenes de transferencia entre las cuentas bancarias de los participantes o la disrupción en éstos. En este sentido, el riesgo de perjuicio antes señalado supera claramente el interés general de que se difunda la información.

Por otra parte, la limitación se adecua al principio de proporcionalidad, toda vez que debe prevalecer el interés que más beneficie a la colectividad, y como se ha dicho, proteger la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal evitará poner en riesgo la efectividad de las medidas en materia monetaria y cambiaría, del sistema financiero y de la economía nacional en su conjunto.

Asimismo, reservar la información en cuestión representa el medio menos restrictivo disponible para evitar el perjuicio, en aras salvaguardar la efectividad de las medidas adoptadas en materia cambia ria, así como la estabilidad del sistema financiero, puesto que el propio legislador determinó

Página 9 de 22 BANC0°•J'\ÉXICO jl?,1 que el medio menos restrictivo es la clasificación de la información cuando actualice las causales prevista en la Ley, tal y como se demostró en el presente caso.

Por otra parte, se hace referencia a lo establecido en el artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública {LGTAIP), así como en la parte conducente de la Ley Federal de Transparencia y Acceso a la Información Pública {LFTAIP), donde se contempla que los sujetos obligados, entre los cuales se encuentra el Banco de México, deberán poner a disposición del público y mantener actualizada diversa información, de acuerdo con sus facultades, atribuciones, funciones u objeto social, según corresponda, en los respectivos medios electrónicos, por lo menos, de los temas, documentos y políticas señalados en las fracciones I a XLVIII, de dicho artículo.

Cabe destacar que con la finalidad de establecer la forma en que los sujetos obligadas deben dar cumplimiento al citado artículo 70 de la LGTAIP, el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI), publicó en el Diaria Oficial de la Federación de fecha 4 de mayo de 2016, el "Acuerdo del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, por el que se aprueban los Lineamientos técnicos generales para la publicación, homologación y estandarización de la información de las obligaciones establecidas en el título quinto y en la fracción IV del artículo 31 de la Ley General de Transparencia y Acceso a la Información Pública, que deben de difundir los sujetos obligados en los portales de Internet y en la Plataforma Nacional de Transparencia" {en la sucesiva, Lineamientos Técnicas Generales).

En dichos Lineamientos Técnicas Generales, dentro de su anexo 1, se establecen los criterios sustantivos de contenido {metadatos)14, en razón de la fracción correspondiente al artículo 70 de la LGTAIP, que los sujetos obligados deben publicar en los respectivos medias electrónicos a efecto de cumplir con las obligaciones establecidas en el título quinto y en la fracción IV del artículo 31 de la mencionada ley.

En tal virtud, debe destacarse que dichos metadatas comprenden información relativa al contenido de la contratación que se reserva con fundamenta y motivación en las consideraciones vertidas en la presente prueba de daño, cuya publicación podría poner en riesgo la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiaría a monetario del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su casa, de la economía nacional en su conjunto, a bien, otorguen una ventaja indebida, generen distorsiones en la estabilidad de los mercadas, o puedan incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, tal como se ha manifestado en la presente justificación.

En ese sentida, es evidente que las consideraciones formuladas en la presente prueba de daño respecto de la reserva de la contratación objeta de clasificación, son aplicables a los metadatos

14 Según el INEGI, los metadatos son "datos estructurados que describen las características de la información: su contenido, calidad, condición y otros aspectos de los productos o conjuntos de datos espaciales". En otras palabras, los "metadatos" son información. Fuente: http://www.inegi.org.mx/geo/contenidos/metadatos/default.aspx, consultado el 25 de abril de 2018.

Página 10 de 22 }11 BAN(QoEf'\ÉXICO

relativos a dichos documentos, por lo que son de clasificarse como reservados de conformidad con el artículo 113, fracción IV, de la LGTAIP, el cual dispone que: "como información reservada podrá clasificarse aquella cuya publicación pueda afectar la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaría o del sistema financiero del país; pueda poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país, pueda comprometer la seguridad en la provisión de moneda nacional al país, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal".

En consecuencia, es claro que revelar la información contenida en los "metadatos" derivados Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal actualizan el supuesto previsto del artículo 113, fracción IV, de la LGTAIP, toda vez que contiene información cuya divulgación "pondría en riesgo la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambia ria o del sistema financiero del país; pueda poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país, , o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal".

Adicionalmente, los Lineamientos Técnicos Generales permiten reservar esta información, publicando en la pestaña correspondiente del portal de Internet una leyenda con el fundamento legal que especifique la información se encuentra clasificada. Esto ha sido realizado por el propio INAI, en el Sistema de Portales de Obligaciones de Transparencia, respecto de la información reportada bajo la fracción XXVII del artículo 70 de la LGTAIP, en el campo correspondiente a "Sentido de la resolución" y "Nota".15

Por lo anterior, se clasifica como reservada la información contenida en los metadatos siguientes: Fracción XXVIII art. 70 de la LGTAIP: Descripción de las obras, los bienes, servicios, requisiciones u orden de servicio contratados y/o adquiridos, Nombre completo o razón social de los posibles contratantes, Registro Federal de Contribuyentes {RFC} de las personas físicas o morales posibles contratantes, Nombre o razón social del adjudicado, Registro Federal de Contribuyentes (RFC) de la persona física o moral adjudicada, Hipervínculo en su caso, al (los) lnforme(s) de avance físicos en versión pública si así corresponde, Hipervínculo, en su caso, al (los) lnforme(s) de avance financieros, en versión pública si así corresponde, Hipervínculo al acta de recepción física de los trabajos ejecutados u homóloga., toda vez que al revelar dicha información al público en general, se pondrían en riesgo las funciones del Banco de México, el funcionamiento del sistema financiero y de la economía nacional en su conjunto.

Fracción XXXII art. 70 de la LGTAIP: Nombre, denominación o razón social del proveedor o contratista, Estratificación, Origen del proveedor o contratista, País de origen si la empresa es una filial extranjera, Registro Federal de Contribuyentes {RFC) de la persona física o moral, Entidad

15 Esta información puede ser consultada a través de la siguiente liga: http://consultapublicamx.ina1.org.mx:8080/vut-web/

Página 11 de 22 111 BANC0°,f'\ÉXICO

federatíva de la persona físíca o moral, El proveedor o contratista realiza subcontrataciones, Actívidad económica de la empresa, Domicilio fiscal de la empresa, Domicilio en el extranjero, Nombre del representante legal de la empresa, Datos de contacto, Correo electrónico, Tipo de acreditación legal que posee, Dirección electrónica que corresponda a la página web del proveedor o contratísta, Teléfono oficial del proveedor o contratista, Correo electrónico comercial del proveedor o contratista, toda vez que al revelar dicha información al público en general, se pondrían en riesgo las funciones del Banco de México, el funcionamiento del sistema financiero y de la economía nacional en su conjunto.

En razón de lo anterior, y vistas las consideraciones expuestas en el presente documento, con fundamento en lo establecido en los artículos 60., apartado A, fracciones I y VIII, párrafo sexto, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 1, 100, 103, segundo párrafo, 104, 105, 107, 108, último párrafo, 109, 113, fracción IV, y 114 de la LGTAIP; 97, 100, 102, 103, 110, fracción IV, y 111 de la LFTAIP, lo., 2o. y 3o., fracción 1, de la Ley del Banco de México; 4o., párrafo primero, 80., párrafos primero, y tercero, 10, párrafo primero, 12 y 19 Bis 1, del Reglamento Interior del Banco de México; Segundo, fracción VI, del Acuerdo de Adscripción de las Unidades Administrativas del Banco de México; así como, así como Primero, Segundo, fracción XIII, Cuarto, Sexto, Octavo, párrafos primero, segundo y tercero, Vigésimo segundo, fracciones I y 111, Trigésimo tercero, y Trigésimo cuarto, párrafos primero y segundo de los Lineamientos, se clasifica como reservada, por el plazo de S años a partir de la fecha de clasificación, la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal y los metadatos listados anteriormente, toda vez que el Banco Central continuará utilizando la infraestructura tecnológica protegida por la presente prueba de daño para el ejercicio de sus funciones, considerando que los periodos de reemplazo de la infraestructura tecnológica, y por consiguiente la vigencia de sus propias especificaciones, se extienden a rangos de entre diez y quince años.

Página 12 de 22 })~ BANC0°•f\ÉXICO 1

REFERENCIA 2

United States Govemment Aeeotmtability Office Statement far the Record GAO To the Subcornmitt.ee on Terrorism and Homeland Security, Co:mnrittee on the Judiciary, U.S. Senate

Continued Efforts Are N eeded to Protect Information Systems from Evolving Threats

State:ment of

Gregory C. Wtlshusen, Director Infonnation Security Issues

David A Powner, Director Information Technology Mm:tagement Issues

GAO :• ,., ...... ,, ...... _ GA0-10-2301'

Página 13 de 22 Jl~i BAN(QocMÉXICO

REFERENCIA 3

131612[]16

BadCyber Making lnfo!>ec jouma!lsm greatagainl

Several Polish banks hacked, information stolen by unknown attackers

t'-:3c,cybeí Feh"uary 3~ 2017 Cr"n1e~ k\vest.ig·ation , banking. m .3f\;vare. Po1and "

241 f

1114

Página 14 de zz BANCO DE MÉXICO

REFERENCIA 4

.....

BAE SlSTfMS THRfAT RESEAIICU BLOC

SMISCRIBt

Posted by BAE s~A¡,plied lnlell\¡¡era - Smday, 12 Fei:nu,y 201¡

LAZARUS & WAlIRIHG-HOLE ATIACIS

On U1l F•lir113ry 21117, remlal!onM

""" ,epo¡t ~'111!!• an

As st!ted in lbe blog, the attacks are suspected of llfÍIÍl\llq frllm1flewebsite o! llt! PIIÍ311 Fi11mial Siq,errisiat Autbcrity {knlguvf.Jpl), sl!o1111 below: M IJZIE'.'lNIK Ul{L.1::'.DO\.VY ~ K0.\·11:s.1 . :-.,-,u.lu1w 1·1N ,\f.¡:suwu... o

t • •1tr11r ,T ¡

;; 1.. •:t• ·, : JI' :.-::··- - ··-· ·-;- ···~: ..... · ,-... . , Forft:mh.~ li'rtbl'l'Mitn or m&.- b-. n¡,erf, plr.ftl'oon1;W;I.VL

- - . - - - -- . - ... - - ~ - -- --

Ftom at1e.a&12016-1D-01 ID~Ja!Wal}'1he MelliltA>C002 1'1ad otenmcxllr.e<11oca.U&e -IO Gcwrolead ...... ,.,.~flle51R!

'11'9

Página 15 de 22 jl~i BANC0°•t'\ÉXICO

REFERENCIA 5

ResearchGate

Privacy, Confídentiality, and Security of Health Care Information: Lessons from the Recen t WannaCry Cyberattack

Artide World Neurosur¡¡er¡ • Ju.ne 20t1

:,O, lUQ..,.-2!,IT.O!, la<

CITAllO~ ~lADS l 142 iautoor:

Eastem Maine t, edical Cente1

Pá gina 16 de 22 1u1L.) BAN(Qm:f'\ÉXICO

REFERENCIA 6

OOBANCOMXT. Ciudad de México a 10 de enero de 2018

ACCIÓN OPORTUNA DE BANCOMEXT SALVAGUARDA INTERESES DE CLIENTES Y LA INSTITUCIÓN

El Banco Nacional de Comercio Exterior (Bancomext), informa que, a pesar de las robustas medidas de seguridad con que cuenta, el día 9 de enero fue victima de una afectación en su plataforma de pagos internacionales provocada por un tercero.

Las autoridades han confirmado que el modus operandi de los presuntos "hackers· es slmilar a Intromisiones ocurridas en otras instituciones en México y América Latina.

Afortunadamente, el protocolo y la oportuna reacción de las áreas responsables de la operación, con el apoyo de los bancos, las autoridades correspondientes y el Banco de México, lograron contener este hecho.

Cabe destacar que los .intereses de nuestros clientes y los del propio Banco se encuentran a salvo y que Bancomext está reanudando operaciones para sus clientes y contrapartes.

A medida que exista mayor información se hará del conocimiento del público.

Teléfono de Comunicación Social: 15551024

Página 17 de 22 Jl~.I. BAN(Qocf'\txICO

REFERENCIA 7

- ·-!

==-matJil .

Página 18 de 22 BAN(QDE M.ÉXICO

REFERENCIA 8

Ja BANCOD~·.MÉXICO

12 de mayo de 2018

Puntos Importantes sobre la Situación Actual del SPEI.

1. Se tienen registrados 5 participantes ron vulneraciones de ciberseguridad. Todos los ataques que se han observado han sido diñpdos hacia los baocos, c;asas de bolsa y otros participantes del sistema de pagos•. Esto.s han Mtado enfocados en tos sistemas de los participantes con los q·ue se conectan al.SPEI. 2. El sistema rentral del SPB.. que opera el Banm de Méxii;o, no se ha visto afec;tado y no ha sido blam:o de nmcún aaaq;ue. El sistema central opera de manera secura y eficiente como lo ha hecho desde waeación. 3. los rl!Qluos de los dientes de instituciones financieras están seguros, no estuvieron. en pelii,gro y no han sido el objetiw de los ataq·ues, Los recursos que se han extraído han sido de los panicipantes {bancos, casas de bolsa, etc.). Los atac.inte.s han buscado vulnerar las amexiones de las instituciones con el SPEI, inyectando Instrucciones de pago fraudulentas a partir de cuentas inexistentes, lo ·cual afecta la cuenta transaccional de los participantes. en el SPEI, pero no las cuentas de los dientes ñnall!'.5. Los re~ de los d ientes están seguros porque radican en un sistema separadoam val.idaciones individuales por operación. 4. Para salvaguardar la rontimñdad operativa, el Banco de México alenó a los participantes en el SPEJ y solicitó a los participantes ron un mayor perfil de rie:sgn, migrar la operación a una plataforma contingente. Este esquema de. operación rontingente y las. vaíldac:iones adicionales que han implementado los partiápantes han propiciado la ralen.tizaciónde los: flujos de pacos.. S. Una vez recibidas en el SPEI, el 100% de las operaciones son proa-sadas y enviadas a IDS participantes recepmres en segundos. Por otra parte, desde que se recibe la solicitud P

Página lde3

Página 19 de 22 }1?1.1. BAN(Qoe l'\ÉXICO

REFERENCIA 9

131512018

FACTOR CAPITAL ..JSIA ~ EL ECQNOMJSTAz~oNEs tiU MANO 2018

BBVA Bancomer

AFECTACIONES Al.. SPEI El sistema financiero mexicano fue víctima de una campaña de ciberataques

Algunas instituciones del sistema financiero en México sufrieron una campaña de ciberataques1 a principios del 2017, que afectó los aplica.m•os y la infraestructura de TI que dan sopo1te a los servicios de banca en.línea.

Página 20 de 22 }11. BAN(Qo,f'\ÉXICO

REFERENCIA 10

+2 2Vatu

Social Engineering Fundamentals, Part 1: Hacker Tactics By:.O

Creat»d 18 De<: 2001 1111 o Commem;,¡

o m o "

by Sarah Granger

Social Engineerirg Fundamenr.als, Part 1: Hadcer Taaics by Sarah Granger (ma111D:[email protected]) last updated December 18, 2001

A True St.ory

One moming a few years back, a group of strangers walked into a large shipping tirm and walked out with access to the firm's entire corporate network. How did they do lt? By obtaining small amounts of access, bit by bit, from a number of different employees in that füm. Rrst, they did research about the company for two days befare even attempting to set foot on the pl'"eml!les. for example, they learned key employees' names by caUing HR. Next, they pretended to lose their key to the front door, anda man let them in. Then they "lost" d1eir identity badges when entering the third floor secured area, smiled, anda fñendly employee opened the door forthem.

The strangers knewthe CFO was out of town, so they were able to enter his office and obtain financia! data off his unlocked computer. Th.ey dug through the corporare trash, finding ali kinds of useful documents. They as.ked a janitor for a garbage pail in whidi to place their contents and carried afl ofthis data out of the building in their hands. The strangers had studied the CFO's voice, so they were able to phone, pretending to be the CFO, in a rush, desperately in need of his. netw,arlc password. From there, they used regular technical hacking tools to gain super-user access into the system.

Página 21 de 22 ]1?1.l BAN(QoE¡'\[x](O

REFERENCIA 11

,.,':_ WaterISAC ' S~lnformatian~mer

10 Basic Cybersecuñty Measures Best Practlces to Reduce Exploitable WeaKnesses and Attacl

June 2015

Developed in partnefship wíth the U. S. Depanment of Homeland Seruñty Industrial Control S\'5tems CyberEmergencv Response Team (ICS-CERO. the FBI, and the lnformation Technology ISAC. WaterlSACafso ac.knoY..tedges tl)e Multi-State ISAC f(Jf' its rontribu:tions to thís document.

@ WateñSAC 2015

Página 22 de 22 }1~ BANCQo,J'\ÉXICO 1 DGTI.ESPTl.20.01.1 PRUEBA DE DAÑO

Especificaciones de la infraestructura de tecnologías de la información y comunicaciones del Banco de México.

En términos de lo dispuesto por los artículos 60., apartado A, sexto párrafo, 28, párrafo sexto y séptimo de la Constitución Política de los Estados Unidos Mexicanos, 113, fracciones 1, IV y VII de la Ley General de Transparencia y Acceso a la información Pública (LGTAIP}; y 110, fracciones 1, IV y VII de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP}; así como el Décimo séptimo, fracción VIII, Vigésimo segundo, fracciones I y 11, y Vigésimo sexto, párrafo primero, de los "Lineamientos generales en materia de claslfícación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes, es de clasificarse como información reservada aquella cuya publicación pueda:

a} Comprometer la seguridad nacional;

b} Afectar la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaria o del sistema financiero del país;

c} Poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país;

d) Comprometer la seguridad en la provisión de moneda nacional al país.

e} Obstruya la prevención de delitos

Por lo que, la información relativa a las especificaciones de la infraestructura de tecnologías de la información y comunicaciones referente a la arquitectura de los componentes, que conforman la infraestructura, es decir, la organización y relación entre los equipos de cómputo, de telecomunicaciones, de seguridad electrónica y de seguridad informática, sus números de serie, configuraciones, los números de teléfonos celulares asignados por el Banco a su personal, las actualizaciones de seguridad de estos componentes; la ubicación en donde se emplean estos componentes en las instalaciones del Banco de México, incluyendo los centros de datos y telecomunicaciones; la información relacionada con los servicios de consultoría y de asesoramiento en inteligencia de amenazas informáticas relacionadas a Banco de México, la información relacionada con las evaluaciones y análisis de riesgos tecnológicos y de seguridad que se realizan sobre dichos componentes, referente a los proveedores de los servicios contratados, las características de estas evaluaciones y resultados entregados, riesgos o hallazgos identificados y las acciones para corregirlos o mitigarlos; los programas de seguridad informática o seguridad de la información, el sistema de gestión de la seguridad y las actividades que lo conforman; los manuales y procedimientos de operación de recuperación y de continuidad operativa para restablecer su funcionamiento; el diseño, el código fuente y los algoritmos que se desarrollan o se configuran para

"2020, Año de leona Vicario, Benemérita Madre de la Patria" Página 1 de 83 JIJJ,. BANCO DE l'\[XICO

DGTI.ESPTl.20.01.1 operar en ellos; así como toda información derivada de estas especificaciones, que de forma aislada o agrupada, permita vincular directa o indirectamente, a algún elemento específico de tecnologías de la información y comunicaciones con los procesos del Banco de México en que éste participa o con algún elemento de seguridad informática, incluyendo la marca, el modelo, fabricante e información del proveedor de dicho elemento de seguridad que da protección a la referida infraestructura tecnológica; es clasificada como reservada, en virtud de lo siguiente:

La divulgación de la información representa un riesgo de perjuicio significativo al interés público, ya que con ello se compromete la seguridad nacional; así como la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaría o del sistema financiero del país; pondría en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país; y comprometería la seguridad en la provisión de moneda nacional al país; toda vez que la divulgación de la información posibilita la destrucción, inhabilitación o sabotaje de cualquier infraestructura de carácter estratégico o prioritario, como es la que coadyuva a los procesos de emisión de billetes y acuñación de moneda a nivel nacional, así como menoscabar la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas y, en el caso que nos ocupa, de la economía nacional en su conjunto; y obstruiría la prevención de delitos informáticos1 en contra del Banco de México cuya planeación y ejecución se facilitarían con la divulgación de la información referida, toda vez que dicho riesgo es:

1) Real, dado que la difusión de esta información posibilita a personas o grupos de ellas con intenciones delincuencia les a realizar acciones hostiles en contra de las tecnologías de la información de este Banco Central.

Debe tenerse presente que, en términos del artículo 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos, el Banco de México tiene a su cargo las funciones del Estado en las áreas estratégicas de acuñación de moneda y emisión de billetes. En ese sentido, los artículos 2o. y 3o. de la Ley del Banco de México, señalan las finalidades del Banco Central, entre las que se encuentran, proveer a la economía del país de moneda nacional, con el objetivo prioritario de procurar la estabilidad del poder adquisitivo de dicha moneda, promover el sano desarrollo del sistema financiero, propiciar el buen funcionamiento de los sistemas de pagos, así como el desempeño de las funciones de regular la emisión y circulación de la moneda, los cambios, la intermediación y los servicios financieros, así como los sistemas de pagos; operar con las instituciones de crédito como banco de reserva y acreditante de última instancia; prestar servicios de tesorería al Gobierno Federal y actuar como agente financiero del mismo. Las anteriores son finalidades y funciones que dependen en gran medida de la correcta operación de las tecnologías de la información y comunicaciones que el Banco de México ha instrumentado para estos propósitos, mediante el procesamiento de la información que apoya en la ejecución de esos procesos.

1 Cfr. Cassou Ruiz, Jorge Esteban, "Delitos informáticos en México", Revista del Instituto de la Judicatura Federal, México, núm. 28, julio-diciembre de 2008, pp. 220-225. https://www.ijf.cif.gob.mx/publicacíones/revísta/28/Delitos inform%C3%A1ticos.pdf t,2020, Año de Leona Vicario, Benemérita Madre de la Patria¡, Página 2 de 83 BANCQoEJ'\ÉXICO 11~1

DGTI.ESPTl.20.01.1

Al respecto, es importante destacar que los sistemas informáticos y de comunicaciones del Banco de México fueron desarrollados y destinados para atender la implementación de las políticas en materia monetaria, cambiaria, o del sistema financiero, por tal motivo, divulgar información de las especificaciones tecnológicas de dichos sistemas, de la normatividad interna, o de sus configuraciones, puede repercutir en su inhabilitación.

En este sentido, el artículo 5, fracción XII, de la Ley de Seguridad Nacional establece que son amenazas a la seguridad nacional, los actos tendientes a destruir o inhabilitar la infraestructura de carácter estratégico o indispensable para la provisión de bienes o servicios públicos.

A su vez, el artículo 146 de la Ley General del Sistema Nacional de Seguridad Pública dispone que se consideran instalaciones estratégicas, a los espacios, inmuebles, construcciones, muebles, equipo y demás bienes, destinados al funcionamiento, mantenimiento y operación de las actividades consideradas como estratégicas por la Constitución Política de los Estados Unidos Mexicanos, entre los que se encuentra la infraestructura de tecnologías de la información y comunicaciones del Banco de México.

Asimismo, el Décimo séptimo, fracción VIII, de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes, señala que se considera como información reservada, aquella que de difundirse actualice o potencialice un riesgo o amenaza a la seguridad nacional cuando se posibilite la destrucción, inhabilitación o sabotaje de cualquier infraestructura de carácter estratégico.

Consecuentemente, pretender atacar o inhabilitar los sistemas de Banco de México, representa una amenaza a la seguridad nacional, ya que publicar la información materia de la presente prueba de daño, posibilita la destrucción, inhabilitación o sabotaje de la infraestructura tecnológica de carácter estratégico, como lo es la del Banco de México, Banco Central del Estado Mexicano, por mandato constitucional.

En efecto, proporcionar las especificaciones de la infraestructura de tecnologías de la información y comunicaciones, indudablemente facilitaría que terceros logren acceder a información financiera o personal, modifiquen los datos que se procesan en ellas o, incluso, dejen fuera de operación a los sistemas de información del Banco Central.

En consecuencia, se actualiza la causal de reserva prevista en el artículo 113, fracción 1, de la LGTAIP, ya que la divulgación de la información referida compromete la seguridad nacional, al posibilitar la destrucción, inhabilitación o sabotaje de la infraestructura de carácter estratégico con la que opera el Banco de México.

Por otra parte, y en atención a las consideraciones antes referidas, es de suma importancia destacar que los ataques a las tecnologías de la información y de comunicaciones, son uno de los principales

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 3 de 83 }1~ BAN(Qo,f'\[XICO 1 DGTI.ESPTl.20.01.1 y más importantes instrumentos utilizados en el ámbito mundial para ingresar sin autorización a computadoras, aplicaciones, redes de comunicación, y diversos sistemas informáticos, con la finalidad de causar daños, obtener información o realizar operaciones ilícitas. Estos ataques se fundamentan en (1} descubrir y aprovechar vulnerabilidades, basando cada descubrimiento en el análisis y estudio de la información de las especificaciones técnicas de diseño y construcción, incluyendo el código fuente de las aplicaciones, la arquitectura o servicios de tecnologías de información y de comunicaciones que se quieren vulnerar, y (2) tomar ventaja de cualquier información conocida para emplear técnicas de ingeniería social que les faciliten el acceso indebido a los sistemas, con el propósito de substraer información, alterarla, o causar un daño disruptivo.

Otra característica que hace relevante a este tipo de ataques, es la propia evolución de los equipos y sistemas, pues con cada actualización o nueva versión que se genera, se abre la oportunidad a nuevas vulnerabilidades y, por ende, nuevas posibilidades de ataque. Por ejemplo, en la actualidad, es común que en materia de sistemas de información se empleen herramientas con licencia de uso libre {librerías de manejo de memoria, traductores entre distintos formatos electrónicos, librerías para despliegue de gráficos, etc.} y que el proveedor publique las vulnerabilidades detectadas en ellas, contando con esta información y con las especificaciones técnicas de la aplicación o herramienta tecnológica que se quiere vulnerar, individuos con propósitos delincuenciales pueden elaborar un ataque cuya vigencia será el tiempo que tarde en corregirse la vulnerabilidad y aplicarse la actualización respectiva.

Sea cual fuere el origen o motivación del ataque contra las tecnologías de la información y de comunicaciones administradas por el Banco Central, éste puede conducir al incumplimiento de sus obligaciones hacia los participantes del sistema financiero y/o provocar que a su vez, estos no puedan cumplir con sus propias obligaciones, y en consecuencia, generar un colapso del sistema financiero nacional, lo que iría en contravención a lo establecido en el artículo 2o. de la Ley del Banco de México.

En este sentido, de materializarse los riesgos anteriormente descritos, se podría substraer, interrumpir o alterar información referente a, por ejemplo: las cantidades, horarios y rutas de distribución de remesas en el país; la interrupción o alteración de los sistemas que recaban información financiera y económica, y que entregan el resultado de los análisis financieros y económicos, lo que puede conducir a la toma de decisiones equivocadas o a señales erróneas para el sector financiero y a la sociedad; la substracción de información de política monetaria o cambia ria, previo a sus informes programados, su alteración o interrupción en las fechas de su publicación, puede igualmente afectar a las decisiones o posturas financieras y económicas de nuestro país y de otros participantes internacionales; la corrupción de los datos intercambiados en los sistemas de pagos, la pérdida de su confidencialidad o la interrupción de estos sistemas, causaría riesgos sistémicos.

Con lo anterior, se menoscabaría la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas y, en el caso que nos ocupa, de la economía nacional en su conjunto, y se

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 4 de 83 BAN(Om:J"\ÉXICO Jl?11 DGTI.ESPTl.20.01.1 comprometerían las acciones encaminadas a proveer a la economía del país de moneda nacional, dañando la estabilidad del poder adquisitivo de dicha moneda, el sano desarrollo del sistema financiero y el buen funcionamiento de los sistemas de pagos.

Por lo anterior, mantener la reserva de las especificaciones de la infraestructura de tecnologías de la información y comunicaciones, que soportan en su conjunto a los procesos destinados para atender la implementación de las políticas en materia monetaria, cambia ria o del sistema financiero, permite reducir sustancialmente ataques informáticos hechos a la medida que pudieran resultar efectivos, considerando aquellos que pueden surgir por el simple hecho de emplear un medio universal de comunicación como lo es Internet y los propios exploradores Web.

En efecto, el funcionamiento seguro y eficiente de los sistemas de información depende de las especificaciones de la infraestructura de tecnologías de la información y comunicaciones.

Por tanto, se actualiza la causal de reserva prevista en el artículo 113, fracción IV, de la LGTAIP, toda vez que la divulgación de la información referida puede afectar la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambia ria o del sistema financiero del país; puede poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país y puede comprometer la seguridad en la provisión de moneda nacional al país.

Finalmente, los riesgos aludidos tienen mayor probabilidad de materializarse con la divulgación de la información referida, debido a que podrían tener acceso a ella individuos o grupos con intenciones hostiles, con lo que tendrían elementos que facilitarían el diseño y la ejecución de estrategias para llevar a cabo ataques cibernéticos dirigidos específicamente a la infraestructura tecnológica de este Banco Central, mismos que pueden ser constitutivos de delitos. Dichos ataques focal izados podrían tener mayor probabilidad de éxito debido a que personas con intenciones delincuenciales tendrían la posibilidad de dedicar todos sus recursos a la realización de ataques específicos identificados con base en la información en comento.

Al respecto, la divulgación de fa información relativa a las especificaciones de la infraestructura de tecnologías de la información y comunicación del Banco de México, implica la puesta a disposición de elementos importantes al público en general, incluyendo las personas o grupos con intenciones delictivas para la realización de conductas constitutivas de delitos.

En consecuencia, la divulgación de la información clasificada, representa un obstáculo para la prevención de conductas constitutivas de delitos, por lo que se actualiza la causal de reserva prevista en el artículo 113, fracción VII, de la Ley General de Transparencia y Acceso a la Información Pública.

2} Demostrable, ya que los ataques dirigidos hacia las tecnologías de la información y comunicaciones que apoyan la operación de infraestructura de carácter estratégico de los países, como son las redes eléctricas, las redes de datos públicas, las redes de datos privadas, los sistemas

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 5 de 83 DGTI.ESPTl.20.01.1 de tráfico aéreo, control de oleoductos, provisión de agua y, por supuesto, operación de plataformas financieras, ocurren todos los días, en todo el mundo.

Adicionalmente, las herramientas para realizar ataques cibernéticos son de fácil acceso y relativamente baratas, e incluso gratuitas, capaces de alcanzar a través de internet a cualquier organización del mundo. Por citar sólo un ejemplo, considérese el proyecto Metasploit.2 Como ésta existen numerosas herramientas que, si bien su propósito original es realizar pruebas a las infraestructuras de tecnologías de la información y comunicaciones para corregir errores en sus configuraciones e identificar posibles vulnerabilidades, en malas manos permiten crear códigos maliciosos, efectuar espionaje, conseguir accesos no autorizados a los sistemas, suplantar identidades, defraudar a individuos e instituciones, sustraer información privada o confidencial, hacer inoperantes los sistemas, y hasta causar daños que pueden ser considerados como ciberterrorismo, se están convirtiendo en las armas para atacar o extorsionar a cualquier organización, gobierno o dependencia. A manera de ejemplo, se cita lo siguiente:

• A principios de 2018, se anunciaron dos tipos de vulnerabilidades asociadas a los circuitos procesadores, que se encuentran en prácticamente cualquier sistema de cómputo fabricado en los últimos años. Estas son conocidas como "Meltdown" y "Spectre" y permiten ataques denominados "side-channel", en el sentido de que permiten acceder a información sin pasar por los controles (canales) de seguridad. Aprovechando "Meltdown", un atacante puede utilizar un programa malicioso en un equipo, y lograr acceder a cualquiera de los datos en dicho equipo, lo cual normalmente no debería ocurrir, esto incluye los datos a los que sólo los administradores tienen acceso. "Spectre" requiere un conocimiento más cercano de cómo trabaja internamente algún programa que se usa en el equipo víctima, logrando que este programa revele algunos de sus propios datos, aunque no tenga acceso a los datos de otros programas. La propuesta de los fabricantes de estos procesadores para mitigar el aprovechamiento de estas vulnerabilidades incluye, tanto el parchado del sistema operativo, como la actualización del 3 microcódigo del BIOS • • Un ataque a la plataforma de pagos internacionales del Banco Nacional de Comercio Exterior 4 (Bancomext} que obligó a la institución a suspender sus operaciones de manera preventiva • • De acuerdo con la Agencia Central de Noticias de Taiwán, informó que la policía de Sri Lanka, un país soberano insular de Asia, capturó a dos hombres en relación con el robo de casi 60 millones de dólares al banco de Taiwán. En dicho robo al parecer fue utilizado un instalado en un equipo de cómputo, el cual logró obtener credenciales y acceso para generar mensajes fraudulentos en el sistema SWIFT, los fondos fueron transferidos a cuentas de Camboya, Sri Lanka y Estados Unidos.5

2https://es.wikipedia.org/wikí/Metasploit, consultada el 16 de octubre de 2017. Se adjunta una impresión del artículo como ANEXO "A". 3 h tt ps :// www, com puterworl d, co m / a rti cle/3 25 7225/ microsoft- wi n dows/i ntel-rel e a ses-more-meltd o wn spectre-fí rm wa re-fixes- m icrosoft-feínts-a n-s p3-patch. h tm l, consultada el 3 de marzo de 2018. Se adjunta una impresión del artículo como ANEXO "B" 4https ://www.gob.mx/ba neo m ext/ prensa/ a ce ion-oportuna· de-ba n comext -salva guarda-intereses-de-diente s-y-1 a-in stitucion, consultada el 15 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "C" 5 https://www.theregister.eo.uk/2017/10/11/hackers_swift_taiwan/, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "O" "2020, Año de leona Vicario, Benemérita Madre de la Patria" Página 6 de 83 BANCOm:l'\[XICO j)~1 DGTI.ESPTl.20.01.1 • De acuerdo a Reuters, el Director del Programa de Seguridad del Clientes de SWIFT, Stephen Gilderdale, dijo que los hackers continúan apuntando al sistema de mensajería bancaria de SWIFT, aunque los controles de seguridad implementados después del robo de 81 millones de dólares en Bangladesh, han ayudado a frustrar muchos otros intentos6 • Dos ataques realizados contra la infraestructura crítica que provee energía eléctrica en la capital de Ucrania en diciembre de 2015, y diciembre de 2016, dejando sin electricidad a 7 225,000 personas . • El reciente caso de fraude en el que se utilizó el sistema de pagos SWIFT, afectando al Banco de Bangladesh, donde aún no se recuperan 81 millones de dólares. Este caso ha recibido gran cobertura en los medios, la empresa BAE Systems reporta algunos detalles de este hecho, particularmente hacen notar que el código malicioso desarrollado para este ataque fue realizado para la infraestructura específica de la víctima.8 • En relación al anterior punto, se concretó un ataque al Banco del Austro en Ecuador para atacar su acceso al sistema SWIFT y extraer dinero. Se cita la fuente de la noticia: "Banco del Austro ha interpuesto una demanda contra otro banco, el estadounidense Wells Fargo, que 9 ordenó la mayor parte de las transferencias (por un valor de 9 millones de dólares)" . Los ladrones utilizaron los privilegios de acceso en el sistema global SWIFT de los empleados del Banco del Austro y, Wells Fargo, al no identificar que eran mensajes fraudulentos, permitió que se traspasara dinero a cuentas en el extranjero. • El ataque ocurrido a las instituciones financieras participantes del SPEI, el cual consistió en la alteración de sus aplicativos para conectarse a esta IMF, inyectando órdenes de transferencia apócrifas en los sistemas de los participantes donde se procesan las instrucciones de pago de los participantes afectados. lo cual distribuyó dinero desde las cuentas concentradoras de los participantes a cuentas de usuarios específicas, los cuales fueron utilizados como "mulasJJ para la extracción del dinero. A la fecha de elaboración de la presente prueba de daño, se estima un daño a los participantes del SPEI de aproximadamente 300 millones de pesos. • La alerta mencionada por la National Emergency Number Association en coordinación con el FBI, sobre la posibilidad de ataques de negación de servicios telefónicos conocidos como TDoS (Telephony denial of service, por sus siglas en inglés) a entidades del sector público.10 • En relación a dar a conocer el número telefónico de un teléfono celular proporcionado por la Institución, como parte de la infraestructura de cómputo y telecomunicaciones, con el fin de que sus empleados realicen sus funciones asignadas, donde además de la geolocalización, se puede obtener información de llamadas o de mensajes de texto del

6 http://www. reu ters.co m/article/ cyber -heist/ swift-say s-hacke rs-stil 1-ta rgeting-ba nk-mess aging-system-id USL2N 1 M N 298? rpc=401&, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "E". 7 http://www.bbc.com/news/technology-38573074, consultada el 15 de enero de 2018. Se adjunta una impresión del artículo como ANEXO"F" 'http://baesvstemsai.blogspot.mx/2016/04/two-bytes-to-951m.html, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "G". ' http://es.gizmodo.com/roban-12-millones-a-un-banco-de-ecuador-en-un-nuevo-ca-1778855375, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "H". 10 https://www.nena.org/news/119592/DHS-Bulletin-on-Denial-of-Service-TDoS-Attacks-on-PSAPs.htm, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "I". "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 7 de 83 DGTI.ESPTl.20.01.1 usuario del dispositivo móvil , que puede poner al descubierto información de actividades del personal en cumplimiento de sus funciones para el Banco, o aspectos de su ámbito 11 personal, con el simple hecho de llevar consigo este dispositivo móvil . Por este mismo problema, recientemente un senador de los Estados Unidos de Norte América envió una carta al presidente de la Comisión Federal de Comunicaciones de ese mismo país en donde 12 le advierte de los riesgos a los que los dispositivos móviles están expuestos . • Las tecnologías que proporcionan seguridad informática a las organizaciones, no están exentas de presentar, como cualquier otra tecnología, vulnerabilidades, por lo que es recomendable no difundir qué marcas, fabricantes y características, tiene un cierto elemento de seguridad informática, para evitar el facilitar que un posible atacante aproveche dicha información con propósitos nocivos dirigidos a las instituciones que les usan estas protecciones de seguridad informática. A manera de ejemplo se cita un caso en que dos de los grandes proovedores de seguridad informática a nivel mundial presentaban vulnerabilidades que pudieran comprometer a las organizaciones "Google Found Disastrous 13 Symantec and Norton Vulnerabilities." . Por otro lado, el dar a conocer marcas, modelos o fabricantes de los controles de seguridad informática puede dar una ventaja a un atacante para fabricar un ataque especialmente diseñado (dirigido), sabiendo de antemano la serie de controles presentes en una organización con el fin de evadirlos, aumentando así la probabilidad de éxito del ciber ataque.

Aunado a esto, expertos en el tema de seguridad, como Offensive Security14 consideran que la obtención de información técnica de especificaciones como: ¿qué equipos componen la red?, ¿qué puertos de comunicaciones usan?, ¿qué servicios de TI proveen?, ¿qué sistemas operativos emplean?, etc., es la base para cualquier intento de penetración exitoso. Esta tarea de obtención de información sería mucho más sencilla para un posible ataque, si ésta se divulgara directamente bajo la forma de información pública.

En este mismo sentido, posibles vulnerabilidades se pueden obtener indirectamente a través de los números de serie de los equipos de cómputo y telecomunicaciones, accediendo a la información que los fabricantes tengan de cada uno de estos dispositivos, teniendo como ejemplo la operación llamada "" 15

Por otro lado, el Banco de México utiliza serv1c1os y herramientas de diversos proveedores tecnológicos para la evaluación de la seguridad del Banco que, por su naturaleza, obtienen información de posibles vulnerabilidades o riesgos en la infraestructura del Banco, esta información que reside en estas herramientas, no debe por ningún motivo llegar a manos de alguien que quiere

11 http://www.cbc.ca/news/politics/hackers-cellphone-security-1.4406338, se anexa como ANEXO "J" 12 https:/ /www.wyden.senate.gov/imo/media/doc/wyden-fcc-ss7-letter-may-2018.pdf, se anexa como ANEXO "K" 13 http://fortune.com/2016/06/29/symantec-norton-vulnerability/ consultada el 14 de septiembre de 2018. Se adjunta impresión como ANEXO "L" "https://www.offensive-security.com/metasploit-unleashed/ínformation-gathering, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "M". 15 https://en.wikipedia.org/wiki/Equation_Group. Se adjunta una impresión del artículo como ANEXO "N" "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 8 de 83 JI?l BANCO DE l'\ÉXICO

DGTI.ESPTl.20.01.1 causar un daño al Banco; así mismo, se contratan consultorías para diversas actividades relacionadas con la seguridad de la información y de los sistemas que soportan las operaciones del Banco de México, incluidos servicios de consultoría y asesoramiento en inteligencia de amenazas informáticas dirigidas al Banco y que por la naturaleza de sus productos y servicios, llegan a tener acceso al tipo de información que se describe en este documento. Estos proveedores no quedan exentos de sufrir ataques que tengan como objetivo el extraer información sensible de Banco de México, con el propósito de utilizarla para afectar a este Instituto Central. Como ejemplos de lo anterior, se enlistan los siguientes casos:

• Ataque a la compañía , una de las más importantes firmas consultoras a nivel mundial, que ofrece servicios en tecnologías de la información, auditoría y seguridad informática e inteligencia de amenazas informáticas, y que cuenta con clientes en el sector financiero, gobierno y empresas de presencia multinacional. Debido al incidente, los atacantes pudieron hacerse con información privilegiada de sus clientes (cuentas de usuario, contraseñas, diagramas de arquitectura, reportes y alertas de inteligencia), así como mensajes de correo electrónico. La empresa Deloitte dio a conocer este incidente en 16 septiembre de 2017 , aunque varios medios reportan que la intrusión sucedió en otoño de 17 2016 . • lnvolucramiento del software antivirus Karspersky en la intrusión y robo de información procedente de la Agencia de Seguridad Nacional de los Estados Unidos {NSA por sus siglas 18 en inglés), en la que presuntamente están implicados atacantes rusos , y que provocó que el Departamento de Seguridad Nacional de los Estados Unidos {DHS por sus siglas en inglés) emitiera un comunicado para que todas las agencias y departamentos federales identificaran y dejaran de utilizar en sus sistemas, software relacionado con la empresa 19 Karspersky en el menor tiempo posible • En este caso, la información de que las herramientas de seguridad ofrecidas por un proveedor podían ser utilizadas para ingresar a los sistemas de información de sus clientes representó el riesgo suficiente para que la DHS tomará la determinación de ya no utilizar herramientas de dicho proveedor.

Adicionalmente podemos mencionar que los servicios de inteligencia de amenazas informáticas o cíberinteligencia permiten revelar y proveer información acciona ble y expedita, producto del análisis de algunas tendencias en cuanto a amenazas de ciberseguridad y a incidentes de seguridad a nivel mundial. La información producida por un servicio de inteligencia de amenazas informáticas permite reforzar las capacidades de ciberseguridad en una organización en términos de protección, de detección, de respuesta, y de cacería proactiva de amenazas, siendo ésta última la capacidad que apoya a las organizaciones a conducir investigaciones más selectivas, basadas en inteligencia de

16 https://www2.deloitte.com/global/en/pages/about-deloitte/articles/deloitte-statement-cyber-incident.html. Se adjunta una impresión del artículo como ANEXO "O" 17 https ://www.theguardian.com/business/2017/sep/25/ deloitte-h ít-by-cyber-attack-revealing-cl ients-secret-emaíls. Se adjunta una impresión del artículo como ANEXO "P" 18https://www. wa sh íngton post.com /world/ nati o na 1-secu rity /israel-h acked-kaspe rsky-the n-ti pped-t he-n sa-tha t -its-tools-h a d-been­ brea ched/2017/10/10/d48ce 77 4-aa95-lle 7-850e-2bdd1236be5d_story. html?utm_term=.ee 7 c5f62d814. Se adjunta u na impresión del artículo como ANEXO "Q" 19 https://www.dhs.gov/news/2017/09/13/dhs-statement-íssuance-binding-operational-directive-17-0l. Se adjunta una impresión del artículo como ANEXO "R" "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 9 de 83 JF~t BAN(Qo,J"\ÉX!(O

DGTI.ESPTl.20.01.1 amenazas, con el objetivo de detectar tempranamente las acciones de un atacante y anticiparse a que la amenaza se materialice, y una organización resulte afectada. La información técnica que este tipo de servicios de inteligencia entrega está estrechamente relacionada a incidentes de seguridad informática en todo el mundo, como pueden ser métodos de ataque, herramientas de que utilizan los atacantes, análisis forense y análisis de código malicioso avanzado y puede ser clasificada de acuerdo a los intereses de la organización.

Es importante señalar que divulgar públicamente información derivada de este tipo de servicios de inteligencia, derivaría en acciones de contrainteligencia o contraespionaje, las cuales son actividades de una contraparte o de un atacante, dirigidas a la organización que utiliza la información de inteligencia para proteger su infraestructura de TI, para interceptar e incluso modificar ta información de inteligencia que utiliza la organización con el propósito de engañar y confundir, lo cual podría debilitar sus capacidades de ciberseguridad, llegando incluso a potencialmente provocar disturbios o sabotaje a la infraestructura de la organización.

Por lo anterior, los estándares de seguridad y las mejores prácticas en materia de seguridad informática y comunicaciones, recomiendan abstenerse de proporcionar especificaciones de arquitectura, configuración de los programas o dispositivos a personas cuya intervención no esté autorizada, información de las evaluaciones y análisis de riesgos tecnológicos y de seguridad, en el entendido de que dicha información, al estar en malas manos, puede facilitar que se realice un ataque exitoso contra la infraestructura tecnológica del Banco Central, impidiéndole cumplir sus funciones establecidas en la Ley del Banco de México, así como aquello que le fue conferido por mandato constitucional.

3) Identificable, puesto que el Banco de México se encuentra permanentemente expuesto a ataques provenientes de internet (o del ciberespacio) que, en su mayoría, pretenden penetrar sus defensas tecnológicas o inutilizar su infraestructura, tal y como queda identificado en los registros y controles tecnológicos de seguridad de la Institución, encargados de detener estos ataques. Sin perjuicio de lo anterior, se puede mencionar que durante 2018, nuestros registros indican un promedio de 844 intentos de ataque al mes, llegando a presentarse cerca de 1500 intentos de ataque en un único mes.

Lo anterior no es ajeno a la banca mundial, la cual, es continuamente asediada por grupos denominados "hacktivistas", como ocurrió durante el mes de mayo de 2016, donde se pretendía inutilizar los sitios Web de los bancos centrales. Se cita la fuente de la noticia: "Anonymous attack Greek central bank, warns others"2º. El colectivo amenazó a los bancos centrales de todo el mundo, luego de afectar por más de seis horas la página del Banco Nacional de Grecia. Estos ataques formaron parte de una operación, orquestada originalmente por el colectivo "Anonymous", conocida como "Oplcarus" y que desde 2016 ha presentado actividad; siendo la más reciente la

20 http://www. reuters .co m / article/ us- gr eece-cen ba n k-cyber / anonym o u s- atta ck -gree k-centra 1- b an k -wa rn s-other s-id US KCNOXVO RR, consultada el 22 de enero de 2018. Se anexa una impresión del articulo como ANEXO "S". "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 10 de 83 DGTI. ESPTl.20.01.1 denominada "OpSacred" o "Oplcarus - Phase 5", que tuvo lugar en Junio de 2017, y cuyos objetivos 21 nuevamente fueron los sitios públicos de bancos centrales alrededor del mundo •

Por ejemplo, en términos económicos, para dimensionar de manera más clara la posible afectación de un ataque informático dirigido al Banco de México, se puede identificar que mediante el sistema de pagos electrónicos interbancarios, desarrollado y operado por el Banco de México, en los meses de enero a diciembre de 2018, se realizaron más de 601 millones de operaciones por un monto mayor a 260 billones de pesos 22; lo que equivale a más de 68 mil operaciones por un monto de 29 mil millones de pesos por hora. De manera que es evidente que la disrupción o alteración de la operación segura de los sistemas del Banco Central pueden llegar a tener efectos cuantiosos en la actividad económica del país.

Adicionalmente, sí bien las afectaciones a la infraestructura de las tecnologías de la información y de comunicaciones pueden también deberse a riesgos inherentes a las mismas, es importante considerar que cuando estas afectaciones han ocurrido en el Banco de México, se ha generado alerta y preocupación de forma inmediata entre los participantes del sistema financiero; por lo que de presentarse afectaciones derivadas de ataques orquestados a partir de las especificaciones de la infraestructura de tecnologías de la información y comunicaciones, divulgada por el propio Banco Central, se corre el riesgo de disminuir la confianza depositada en este Instituto con el consecuente impacto en la economía que esto conlleva.

Por otro lado, es importante mencionar que el Banco de México es ajeno a la gestión interna de seguridad de sus proveedores, los cuales son susceptibles de ser blanco de personas o grupos malintencionados que realicen ataques informáticos, con el objetivo de vulnerar a sus clientes, entre ellos el Banco de México. En consecuencia, este Banco Central quedaría susceptible de recibir ataques a causa de información extraída a sus proveedores, y aprovechar esta información para incrementar su probabilidad de éxito.

En el mismo sentido, dar a conocer información sobre los proveedores que conocen y/o cuentan con las especificaciones de la infraestructura de tecnologías de la información y comunicaciones; facilita que personas o grupos malintencionados puedan conocer, mediante ingeniería social u otro mecanismo, información suficiente como para incrementar las probabilidades de éxito ante un escenario de ataque informático al Banco de México. En general, dada la importancia de la seguridad en los sistemas que se administran en el Banco para el sano desarrollo de la economía, se considera que cualquier información abre un potencial para ataques más sofisticados, riesgo que sobrepasa los posibles beneficios de hacer pública la información.

21 https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/opicarus2017/, consultada el 17 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "T" 22 http://www. ba nxíco. o rg. mx/S ie Internet/co nsu Ita r Directorí olnternetActio n. do ?sector=S&accion =con su Ita rC uadro&idCu ad ro=CF252&1o cale=es, consultada el 27 de marzo de 2019. Se adjunta una impresión del artículo como ANEXO "U" "2020, Año de leona Vicario, Benemérita Madre de la Patria" Págína 11 de 83 }l'-3 BANC0°, r\ÉXICO 1

DGTI.ESPTl.20.01.1 El riesgo de perjuicio que supondría la divulgación de la información materia de la presente prueba de daño, supera el interés público general de que se difunda, ya que el interés público se centra en que se lleve a cabo de manera regular la actividad de emisión de billetes y acuñación de moneda a nivel nacional, se conserve íntegra la infraestructura de carácter estratégico y prioritario, se conserve la efectividad en las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, que propician el buen funcionamiento de esos sistemas y de la economía nacional en su conjunto, así como que se provea de manera adecuada a la economía del país de moneda nacional, conservando la estabilidad en el poder adquisitivo de dicha moneda, en el sano desarrollo del sistema financiero y en el buen funcionamiento de los sistemas de pagos.

En consecuencia, dar a conocer las especificaciones de la infraestructura de tecnologías de la información y comunicaciones contenida en el documento que se clasifica, no aporta un beneficio a la transparencia que sea comparable con el perjuicio de que por su difusión se facilite un ataque para robar o modificar información, alterar el funcionamiento o dejar inoperantes a las tecnologías de la información y de comunicaciones que sustentan los procesos fundamentales del Banco de México para atender la implementación de las políticas en materia monetaria, cambiaría o del sistema financiero, así como su propia operación interna y la de los participantes del sistema financiero del país.

Las consecuencias de que tenga éxito un ataque a la infraestructura estratégica referida, que sustenta a los procesos fundamentales, tendrían muy probablemente implicaciones sistémicas en la economía, y afectaciones en la operación de los mercados, provisión de moneda o funcionamiento de los sistemas de pagos; dado que todas estas funciones del Banco de México dependen de sistemas e infraestructura de tecnologías de la información y de comunicaciones, y de que se garantice la seguridad de la información y los sistemas informáticos que las soportan de manera directa e indirecta. Con ello, se imposibilitaría al Banco de México cumplir con las funciones constitucionales que le fueron encomendadas, contenidas en el artículo 26, párrafo sexto de la Constitución.

En efecto, divulgar las especificaciones de la infraestructura de tecnologías de la información y comunicaciones del Banco de México, no satisface un interés público, ya que al realizar una interpretación sobre la alternativa que más satisface dicho interés, debe concluirse que debe prevalecer el derecho que más favorezca a las personas y, consecuentemente, beneficiar el interés de la sociedad, el cual se obtiene por el cumplimiento ininterrumpido de las funciones del Banco de México y los sistemas de pagos administrados por éste.

Por lo anterior, el revelar información en cuestión, comprometería la seguridad nacional, al posibilitar la destrucción, inhabilitación o sabotaje de cualquier infraestructura de carácter estratégico o prioritario.

Asimismo, con ello se menoscabaría la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, la puesta en riesgo el funcionamiento de

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Págína 12 de 83 DGTI.ESPTl.20.01.1 tales sistemas o, en su caso, de la economía nacional en su conjunto, así como el comprometer las acciones encaminadas a proveer a la economía del país de moneda nacional, dañando la estabilidad del poder adquisitivo de dicha moneda, el sano desarrollo del sistema financiero, y el buen funcionamiento de los sistemas de pagos.

Adicionalmente, se obstaculizaría la prevención de hechos constitutivos de delitos, pues de divulgarse la información en cuestión se proporcionarían elementos relevantes para que personas o grupos de personas con intenciones delictivas lleven a cabo un ataque exitoso en contra de la infraestructura de tecnologías de la información y comunicaciones que utiliza este Banco Central.

La limitación se adecua al principio de proporcionalidad y representa el medio menos restrictivo disponible para evitar el perjuicio, ya que debe prevalecer el interés público de proteger la buena marcha y operación del sistema financiero y a sus usuarios, respecto de divulgar la información relativa a las especificaciones de la infraestructura de tecnologías de la información y comunicaciones. De otra forma, de divulgarse la información de dichas especificaciones, el Banco de México debería establecer nuevos y más poderosos mecanismos de protección respecto a su infraestructura de tecnologías de la información y de comunicaciones para cubrirse de los riesgos de ataques que se pueden diseñar con la información que se entregue; con lo cual, se iniciaría una carrera interminable entre establecer barreras de protección y divulgación de especificaciones con las que individuos o grupos antagónicos tendrían mayor oportunidad de concretar un ataque.

Dicha determinación es además proporcional considerando que, como se ha explicado, dar a conocer las especificaciones de la infraestructura de tecnologías de la información y comunicaciones generaría un riesgo o daño de perjuicio significativo, el cual sería claramente mayor al beneficio particular del interés que pudiera existir en el dar a conocer dicha información.

Por lo tanto, la reserva en la publicidad de la información, resulta la forma menos restrictiva disponible para evitar un perjuicio mayor, y deberá mantenerse en esta clasificación por un periodo de cinco años, toda vez que el Banco Central continuará utilizando la infraestructura tecnológica protegida por la presente prueba de daño para el ejercicio de sus funciones, considerando que los periodos de reemplazo de la infraestructura tecnológica, y por consiguiente la vigencia de sus propias especificaciones, se extienden a rangos de entre diez y quince años.

Además de que su divulgación posibilita la destrucción, inhabilitación o sabotaje de cualquier infraestructura de carácter estratégico o prioritario, como es la que coadyuva a los procesos de emisión de billetes y acuñación de moneda a nivel nacional y, en consecuencia menoscaba la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas y, en el caso que nos ocupa, de la economía nacional en su conjunto. Asimismo comprometer las acciones encaminadas a proveer a la economía del país de moneda nacional, dañando la estabilidad del poder adquisitivo de dicha moneda, el sano desarrollo del sistema financiero y el buen funcionamiento de los sistemas de pagos. Finalmente, la divulgación de la información obstruiría la prevención de delitos.

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 13 de 83 JF-1 BAN(Qo,f'\ÉXI(O 1

DGTI.ESPTl.20.01.1 En consecuencia, con fundamento en lo establecido en los artículos 6, apartado A, fracciones I y VIII, párrafo sexto, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 1, 100, 103, 104, 105, 108, 109, 113, fracciones 1, IV y VII, y 114 de la LGTAIP; 1, 97, 100, 102, 103, 104, 105, 106, 110, fracciones I, IV y VII, y 111, de la LFTAIP; 146, de la Ley General del Sistema de Seguridad Pública¡ 5, fracción XII, de la Ley de Seguridad Nacional; 2o. y 3o. de la Ley del Banco de México; 4o., párrafo primero, 80., párrafos primero, segundo y tercero, 10, párrafo primero, y 29, del Reglamento Interior del Banco de México; Primero, párrafo primero, Segundo, fracción IX, del Acuerdo de Adscripción de las Unidades Administrativas del Banco de México; así como Primero, Segundo, fracción XIII, Cuarto, Sexto, Octavo, párrafos primero, segundo y tercero, Décimo Séptimo, fracción VIII, Vigésimo segundo, fracciones I y 11, Vigésimo sexto, párrafo primero Trigésimo tercero, y Trigésimo cuarto, párrafos primero y segundo, de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así corno para la elaboración de versiones públicas}}, vigentes; las especificaciones de la infraestructura de tecnologías de la información y comunicaciones, del Banco de México, se han determinado clasificar como reservadas.

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 14 de 83 Jl?;i BAN(Qo,f'\ÉXICO

DGTI. ESPTI .20.01.1 ANEXO "A"

https;//es.wikipedia.org/wiki/Metasploit, Consultada el 22 de enero de 2018

Mmsplait - Wiki¡:edia,.b ei>c:i.clopedj: h"ln

.!. No ha!;. "cce

Artículo Discus ór. Leer Edi!N Verhlstorial il-111~ I~

WIKIPEDIA Metasploit

Metasploit e\ un proyecto open source de. Portad.'.! seguridad infonnáticn que proporciona iofonnación Metasploit Framework Portal de la comunid.'.ld acerca de rnlnerabilidades de ~egu.rid.1d y a:i..ida eo Acru:l!idad W,W{.TechGeek365.COITi:f,jl , tests de penetración "PentestiDg" y el de~-u:rot!o de Cantios. recientes ww«.mecz,poilrom¡f y ,,vww met.1sploit.com@ Páginas nuevu firmas para l.'Ískm!IS de dé>teccíro de intmsos. Págin:.i llleatoria Su 5tibproyecto más CODDcido es el Metasploit metasploit® Ayudli liJ Framework, una herramienta para de~am:illar y Donaciones Noti'icar un error ejecutar exp!oits contrn 1lllB máquina remota. Otros mbproyectos importantes sou la~ ba.ses de dato, de

Imprimir/exportar opcodes (códigos de operación), tui arcbivo de Crear un libro shel/codes. e investigación 50\Jre segwidad. Det:ea•gar como PDF Inicialmente fue creado utilizando el lengu.,je de Ver.;ioo pam imprima- progran1.ic.iói1 de scripting Ped a1mq1ie Información general En otros proyedos actu:úmeute el Mdasploit Frameworkb.a sido Género Seguridad escrito de !lDeVO completamente en el leagu:ije Willimedia Commoos Programado en Ruby Wíltilbrol Ruby .. Sistema multiplatafonna operativo Herramientas Índi ce [ocu!lar) licencia Licencia BSD

En otros idiomas 4 C3rgas útiles ¡,,_,.JI 5 Referencias Deulsch 6 Enlaces e~temos Engl:Sh Fran~ois S ;$:;l Historia [editar] Metasploit fue creado por HD !-·!oore en el 1003. como una herramienta de red portátil usando el lenguaje Portugués Peri. El 21 de octubre de 2009. el Proyecto Mdasploít amwció1 que había ~ido adquirida por Rapid7. P;,i:ct001 't'.A um empm.a de reguridad que ofrece soluciones unificadas de ge,tión de \111nernbilidades.

13más Al igual que !os productos de la competencia, como Core Security Technolog¡es y (ore Impacto.

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 15 de 83 lB BAN(QoEf\ÉXI(O DGTI.ESPTl.20.01.1 Mer...pl.oit - Wili¡,e

Jl.ofetasploit ,.e· puede utilizar parn probar la vulnerabílid:ld ele los ~i;temas infon.mitico, o enlrar en

sistema, remotos. Al igual que muchas herramientas de segurid:ld wform.itica, }.,fetasploit ~ puede urilizar tanto p.:ira activida~ legitimas y ai.1torizacfas. como para actividades ilícitas. Desde fa adquisic.iou ele };fetasploit Frnrncwork. Rapid7 ha añadido dos Open ,mu·ce ''Código abierto" ll:torndo,; Met.1.•,ploit Expres;; y Meta&p]oit Pro.

Meta;ploit 3.0 comenzó a incluir be1Tamiei:ias di' fuzzing. utilizad..,~ parn descubrir las v1.úne1-abilidadi's del software. en lugar de sólo explotar bugs couocido:.. 1Ieta;ploit -tO fue lam:ado en agosto de '.!011.

Marco/Sístema Metasploit [editarJ

Los pa~-0 .. ba'.icos para la explotación de un '.i.stenia que utiliza. el Sistema incluyen.:

1. La ,;elección y cooñgu:ación de un código el cual se rn a explotar . El cual entra al sistema objetivo, medtantr el aprovechamiento de un.1 de lmgs; Existen cerca de 900 e¡¡ploits incl111dos para \Vinclows . Uui..._ _.' Linm: y J\.fac OS X ;

1. Opción para comprobar si el ~is1ema ~tino e'. susceptible a los bugs degidos. 3. La tecnica para codificar el ~is1ema de prevención de intm~ione; (IPS) e ignore la c¡¡rga íitil codificada; 4. Vi~uatización a la hora ele ejecutar el e¡¡ploit.

Metasploit s,e ejecura en Uni." (incluyendo Linuic y Mru: OS X) y en '.l.'!lldows. El Sisteni.'1 Metasploit se ¡ruede extender y e~ capaz utili= colllplementos en ,,ari.o.'> idioma;.,

Pnrn e.legir 1.lll exploil )' la ca:rga útil, se necesita un poco de ÍllÍonnacián sobre el sisi.ema objetirn, como la ve.rsión del Iisteulll ope.rati·,o y lo~ s.eniC'io:s de red m~alados. Esta infum1ación puede ser obtenida con el escaneo de puertos y "OS fmge.1.printing", puede~ c,btene.r esta información co.n heaamieaus como Nulllp, NeXpose o Ne~~1.1S, esto,. programa,, pueden cletechl!· vulne1·abi!id,u!e$ del sistema de destino. Meta;ploit puede importar los datos ele la explorncióu ele ,'lllnerabilidades y cowpa.ar llls vulnerabilidades identi:ficada~.2

Interfaces de Metasploit [edi'.arJ

Hay varias Í1llemces parn. :M.e-tasploit di, pocibles. Las m.is populares son mantenidas por Rapid7 y fatratégico Ciber ucl

Edición Metasploit (editarj

La versión gratuita. Contiene una mterfnz de linea ele coU1audos, la impot1acióu de terceros. la ei..-plotacióu manual y meua bmta. 3

Edición Community Metasp!oit [editar]

En octubre de 2011. Rapid7 limó l\!emploit Commur:uty Edilion, m a interfaz de usuario grahúta basada en la web para ~fel11sploit. Metnsploit comru1uiity .incluye, detección de 1-edes, navegación por módulo y l.'l ei..-plotactáu 111anu.1l.

Metasploit express (editar]

En abril de 201O . Rapid7 líhero 1'·1etasp.loit EK.press, tma edición comercial ele código abiato, para los

hltps:.'./e,;.wik~.Or!,<'...-ilulMet,,ploí1{22'0lt1018 06:54 :36 p. m.]

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 16 de 83 Jl~i BAN(QoE]'\[xJ(O

DGTI.ESPTl.20.01.1

Meusplait - Wilcipedia, la enciclapedia libre

«p.1ipos de seguridad que neceitan verificar n1lnerabilid.1.des. Ofrece una i.oteñaz gráfica de 1muario, integra wmp paia el descubrimiento. y añade füe.tz3 bruta inteligente. así como la recopilación de pniehas auíOlllat.izado .

Metasploit Pro [editar]

En octubre de 2010, Rapid7 añadió Metasploit Pro, de código abierto para pruebas de penetración. :Meta~ploit Pro inchlye todas las caracteristicz de Metn¡,loit Expi-es~ y añade la exploración y explotación de aplicaciooes web.

Armitage [editar]

Annitage es una heuamienta de ge"Jtión gráfica pa:rn dberataques del Proyecto l\·!etm,ploit, ';-rni."'lhza objetivos y recomienda métodos de ataque. Es un.a hemunienta parn ingenies-os en. seguridad web y es de cod.igo abierto.. Destaca por su., contribuciones a la colaboración del ec¡,.üpo rojo, pemutiendo sesiones compartidas. datos y comunicación a travé~ de uoa única iostancia Metasploit4

M&sploit ofrece llll.lC"hos tipos de cargas útiles, ioclll)-endo:

• 'Shel/ de comandos' pennite a los w.uario~ ejecutar ~oipis de cobro o ejecutar comaodos aroit.rario~.

• 'Jl1eterpreter' permite a l

lista de los de5.31.rolladores origimle.s:

• H. D. MoOie (fundador y arquitecto jefe) • Matt Miller (software) 1Matt JI.filler (desarrollador del núcleo 2. .004-2008) • Spooum (clesaaolladar del núcleo 2003 basta 2008)

Referencias [editar)

1. ¡ (•P..apid7 fü.'11sa.~ i§i. Rap1d7. Consultado el Rapid7. Consultado el esl~ li!dia eslll pasad.1 18 de febrero de 2015. lo le ag¡w. cao;o por Íl!\•or y gracrns por stt 2. • [hnp:. 1,www.metasploit.com!dom:tload nta1cion chaus.ini.. «Hemmi.ienta de Pruebas de Pe!letración, 3. ¡ " b Piautit:.,:Cirnn web Meta~l.oit, gratuito ~scargar - Rapid7»]. 4. t Pl.a:ntilfa Gte ooticias.

Enlaces externos [editar]

• Toe Mo?tasploit Project rfl website oficial • Licencia BSD tres cláw.uL1.s @ :Met&'Ploit Repo!.itory COP'YING file. • Rapid7 U..C @ Em¡Hu dueña del Proyecto Metasploit • Lugar de de::.c.u-ga ,¡;

ICateg orías: Software ltbre I Seguridad informática

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 17 de 83 BANC0°[r\ÉXICO

DGTI.ESPTl.20.01.1

Se -editó es:a página por Úl1irro vez el 13 nov 2017 a las 05: 13.

El te:..to es~l disponible bap 13 Lice~a Creabve Comrnons .A::.ribu:::r.)n Corr,p.:rtr Igual ~.C·; puadln 3plícarse ctiusufas adicionales. Al usar este sitio. us~ed a1:.ep':.1. nuestros t~-rrJnos de use y nuestra pclÍ1Cl de, piv~. Wikipedi a® e.s una marc.3 re,gistrad.:.: de la Fundación Vlildme

Nom1;¡·W3 de priv.Jckfad .t..oerca de \Vwpedia llrrit~":tcion d~ respon~ tad.ad. Desarroll~dores

.J~ckiracíón d.:: coolae.s Versión para rróvi~s

http<,://a.woopedia.or~fv.ili'M..t.,,¡,loit{221QlrlíJIS 06:S4:36 p. m.]

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Pá gina 18 de 83 }1~ BAN(Om:f'1[XICO 1

DGTI. ESPTl.20.01.1

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 19 de 83 lB BANCO DE t\[XICO DGTI.ESPTl.20.01.1 ANEXO "B"

https://www.computerworld.com/article/3257225/rnicrosoft-windows/intel-releases-more­ meltdownspectre-firmware-fixes-microsoft-feints-an-sp3-patch.html, Consultada el 3 de marzo de 2018

r, ) Scanning the offíc:.,al MicrO(.Qde Revision Guidilnce f ebruary 20 2018 lpdf). you can see that Coffee L..J ke, Ka.by Uh, !:Jay Trail and most Sl

[ Rclatod: How to PJ'Otect Wlndows 10 pe, from r•nsomw•A )

Securlty Advisory JNIEL- $.A-00088 hu been updated with th!l sciu!b:

NEWSI\NÁL~SIS We haw- now refe,u~ ncw producthln m lc.rocode updat~s ro our OEM lntel releases more Meltdown/Spectre firmware fixes, Microsoft customt"rs and partners for Kaby lai1o1 producr 1/nes as wtll as out tate.st lntel® pZitchcs in ordcr. Whll~ Microsoft announces but doesn't ~hipa firmware fü, for the Cote'l"M X-series processot f•mity. 'Ttk!y ,¡¡/.so jnclude our recen tly Sorlace Pro 3. annol.lflced lnlel® Xeont<) Sc.if,1ble •nd lntc((\l XeonQi} D proceuors /or da tac ente, system.s. We confinue to releiJ.se bet,1 microcode updates fer other :i1ll'#..,Jt;d..llLoduCtJ so tl,at rostomers a nd partrters /,ave the One mcnth ago today, lntel told the world that their Meltdown/Spcctre opportunity to conducr u tenslve testln!J befor~ wq move thim, into production. patchcs wi::re el mcss. Thctr ;;idvlce rcc1d somcthlng like, ·ooopslc. Those cárernety important BIOS/UEFI lirrnw.ire updat cs. wc rC?lcas

lnt~l now says 1t has rcleasct1 really new, rcally good firmware versiom, for We conrmue to recommend fh a-f OEMs. cioud ser.,,ice rnost of its chip.~. p roviders, sy.stem manuf.:rcrurers, so ftw.:,re vendors, and end usirs Jtop dl!ploymenr of previ ousJyrf1t,.uued v"rsions o/ lntel chips covered, and those not covered certai.n mkrocodc updat~s addresslr19 v~rf~nl 2 (CVE· 20l 7· 5715). as they may introduce t,Jgher-than · eKpecled reboots aOO other unpretflCQti,(~ .system behavior

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 20 de 83 lB BANCO DE t\[XICO DGTI. ESPTI .20.01.1

We .tfso i;ontir1ue to •sk tNt cx,r indust,y partncrs foc.us and 'Meltdown' 11ariant 3 unrll new microcode can ~ l oitded effort$ on e11aluatin9 the ~ta m/crocode updates. on the system

The "For most users" update is kB 4078130. the surpr1se Friday evening For those eonccmt'd .at>out syJtem Slabi/Uy whUI! we fir,alize patch. rele11sed on Jan 26. which ~ almost a mooth ago: these updared soturions. earlJer th1s wuk we t1dWsed that we wer-e working with our OEM partrrers to provlde BIOS updates us,ng previous versioru of mic.rocode not erl'libitil19 these On FmUy night Mrcrosolt released a st,.,nge p.itct, allc-d~ that "di1ables mitigc1tion dS)Jrinst Spectre, Vflticmt 2. ~ The KB article goes Wue.s. but rlJ,t .ilso remoWJd thff m iri9ation$ for 'Spe<:.tre' to great fengths describing how lntel's the bad guy and lts rrncrocode vananl 2 (CVE 2017-SlJSJ ~tche1 don"t wo,lrt rigftt:

Microsoft .also provid~d two rcsourccs IOJ' uscrs ro diubl~ There aren't arty dctít;ls, but app,areritty thís patch - which isn't beitlg sent out the Window.s Upó.ate cht.itc: - odds two regístry .settir,gs th.lt 0tigtr1af m/crocod~ upd.ites on plaUorms exhibíting ~ma nu.:,Uy disabfo mitigat,on ilg.ainst S~trc Variant 2" r,1npred/ctlble beh.wior:

Rummaging through the l~ngthy M.lcro:,o(t Pro <'.iuiFW\~ there's an For mo.st US"1T:S - An .tt1tomatic IJllSUU:. avaitat;J/e vi1t ttle IT imt,ortanl warning: Microsoft® Updare Cata/og which disables 'Spectre' variant 2 (CVE 2017-5715) mitigatíoru without a BIOS update. Thls ( Got • 1p11ra hour? Takci this online course and learn hcw lo inrtan and update supports Wlndow1 7 (SPJ}, Windaws 8 1. ;and aJI conflg\lrt! Wlndows 10 whh the optlons you need, l versions of Windows JO • cli.mt iJnd server

Customers who onry /nsfall the Wmdows Janu~ry and Fet,ruary 2018 For ildvanced IJ.Sets - Rekr to the fo(lowmg Know/edge San secu,ify upCIMes will no! rect"fve the beneOt o( i:,1/ km,wn proter.:Uons (KB} •rtrcles ag.ainst the vutnerabilWes. In ,1dd1tion to insraJUng the J~nuary artd February security updi!lO$, a proc~ssor microc~. or firmWtif'fJ., upd,1te is required. Ttlis should be available rhrough your OE:M devJ.ce ~ ; IT Pro Guldance m.inuf,1c:turrr.

~·Server Guit:Unu Microsoft firmware update for Surface Pro 3 Soth of~JC' optforu el1m1n1t~ ftle nslt of reboo: or otner unp1C'dfcr,1bfe sys1cm bchmrior aSJrx:i;ne,d wilh lhe orig,r,.,I m,crocode updarc anct rerain m iligalions for 'Speclre' variant .t

In what musl be an amaz.ing co ncidence, last nighl Micros.ofl ret.eased a ~ . firmware update for the Surface Pro 3. lt's currenlly available as a manual dowffload rMSI form.1n for Surface Pro 3. 1 haverú seen it come down the Wíndows Update chute. Pt'!rhaps Microsoft 1s beta testíng it once .again. Pcr Br.andon Records on the ~ :

We 've rere,uC'd .a new driver 11nd fim1ware u¡xJ~te lor Surface Pro J. Thls update ini:tudes new firmware for SurliJcr Uf.FI which resolves p tnenClal secun'fy vuln•r•billfies, irtcluding Microsoft s«<;urity advssory J:.~ .Q.0.2.,

This updtJtc ff. avai~brc m MSI fo,mat from ,ttc Surface: Pro J Ddll'f!tS and Firm!Ylfc pape: .tf t~ Microsoft Oowntoact Ccnter.

Except, golly, the latest verslon of the patch on that pagt {as ot 10 am

Eastern US timel Is marked "Date PubMhed 1/24/2018.~ The officlat ~ Pro 3 vodate history page 1/sts the last firmware update far the SP3 as being datcd Ott 27. 2017. Woody L~hn,d i, o col-LJ mm,t IX (cmpclt~fw061d ,mdout/)or o! daum o( Window, book1.

And, golty squared, t~1kOOiQU Sec.urity Adyf¡ory 180002 doe~m't even ,nt1u,H.11g 'WJfldow3 IDAll·in·Dn, fur Vvmm111!1. N mention the Surface Pto 3. lt hasn'l been updated since Feb. 13. lt tinks to the SurfAc~ Guidance to prored .against speculative execution side-channel 11ulneri1bilities page, ~ . which doesn't mention the Surface Pro 3 and h1sn't been updated since Feb. 2. 5 tlps fo, worJúng with Sh•rePolnt Onfln•

You'd hé:lve to be incredibly trusting - of both Microsoft and tntel - to manualty instan any Surfact firmware patch at 1his point. Panlc uhuly whe n YOU M16HT LIKE you realize that not o ne single Melldown or Spectre-related exptolt Is in the wild. Not ene.

Thx Bogdan Po pa Softpedía News.

Fretting 011~ Meltdown and Spectre? Assuage your fears on che~

"2020, Año de Leona Vica rio, Benemérita M adre de la Patria" Página 21 de 83 BANCO DE 11tx1co

DGTI.ES PTl.20.01.1

New Site Finds ¿Cómo Se Hay Mucupadón Acert ar La "Regenera• El Flight.s in Conse g uir Un Par Un Nuevo Marca De Un Cabello. Haqa

i::ir,n:F,n:ier C•mc;tV<,:11 !.Ub;m.u-.: t:,llut~III Cu.u,n kl:i,li,liWl:'1 ..~

¡la Facilidad Error De ¡quÉ Lujol Los Lo, Millonarios Bitcoin· Para Los Mercado: ¡miles 10 Avíone-s Están millonario ldiom.as. Es De lphonea Privados Más. lnt l"ntando Quiere Que Se F',n l f>t••mll•• r 'lur.&V.rlll Oau f·(• U.11i,,M ,.u 1i.•u-.Jrw~p>1nt iHam~4

SHOP TE(H PRODUCTS AT AMAZON

1 tr,tg f,lj(f!QfiA.fl7R7rlq;< ~ ~h (j,r,n Curft il-H1~>QK e,ur:Uft{JI $341 119 2. ~ i'.t!i.. S.!.akH etilil!llcdtll·lr«ih !Z:000 tntr,I LCl!'Qi§. ffi::wm: iQI f.7PH ~7 3. Miu oey!t 5_:J_r'f~co Pr~\lntol.Cq@j5.._SGB RAM,...2!.-6CBJ.- Now~ ~ i10.17 26

"2020, Año de Leona Vica rio, Benemé rita Madre de la Patria" Página 22 de 83 lB BANCO DE M.[XICO DGTI.ESPTl.20.01.1 ANEXO "C" https://www.gob.mx/bancomext/prensa/accion-oportuna-de-bancomext-salvaguarda-intereses-de-clientes­ y-la-institucion, Consultada el 15 de enero de 2018 COMUNICADO: ACCIC)N OPORTUNA DE BANCOMEXT SALV AGUARDA INTERESES DE CLIE... Págin.t I de I

COMUNICADO: ACCIÓN OPORTUNA DE BANCOMEXT SALVAGUARDA ,,.~ a .1n:.c. N;mco,d tic Concrc10 f .. l1:ll(;f. \ ttC. INTERESES DE CLIENTES Y LA ,.~ct1.:1 4111u:i1·;,1(10.n INSTITUCIÓN 1\lrl~'!r,t'l°.o 0..1\llR .~.,''"tnn:. (cf'IU"lltAdi; ACCIÓN OPORTUNA DE BANCOMEXT SALVAGUARDA INTERESES DE CUENTES Y LA INSTITUCIÓN

::. fa:-,m:o N,J,;.1anal de Cc·rnrrci,:-3 E.,::cnc., ~B;,,n;;.;Jrrüt.l r:form,;; q 1 ;:·, ,:; r.it·'.'>.~" 1t· lüs ro:,,r<,,1.;.1•; mt->d rJn:. 11: xi1_.1n.:.1d cor qJe i~ni,i, f-1d1.:t 1 ª"' ~-:,¡ro r~;~· ·.,;: :. rr,;:, Ct­ lJ",. I~ Ol' ?·~ : ~J p!til.:1lar1n,·J :1~ r;:;;.:c;-<.; J"ll E>!'"Oil("/t1( ,JclA!J F'i! ; ;"!'.ii.1.'t ::ir: • Jf'

.a; Jt1:(¡f.:1~1~1:~ t1~111 c•rn.:i,;.c, ~1..,t: ~ rr11;d•.. :, op,era,1d1-.1-! \1:: fJ!t!iuriL,;!; 'lt,1(k 1'.l'S' ,•:: :,im 1r .l tn1-1[1r. ,t9Dr'lir'S uC\IWdM (·11 orr11~ ,n~:t:1,::11.: ..,1'.S i·,~ r,.,;,•,,:1(0 '/ Arn(:r lr.J 1 :W!h.l

At;,irtu·1cJ tlr'~,(·m~_\ •.:I J1rOl(lti,1o yL:1 c¡.,,;,l1, u1,I r<·a,.ti6ri de IJ!i a!t:J\ r•:: µ :,;fl'..Jt~k:,

d-: • t!P•fr;;. ;,.;( ,!J, t.c~, ,e dP-0f•)U~ k:!o bdf't:..C:S )' l,j~ di; ~:)! d.

C.Jt<' dr:.t,:1,:·..:.r Qwc l·:t'S 1m.:-rcs.cs d~ nvt"!li.rro~ c.i1rr1·c-¡ !' l.j¡ :!el Fr i::::,1,:. Ei:un.:c, .r.~·

~ :r,1r-, il '>Jf..io-¡ qwe .-,..-o:mf!l.in. ~ fPar.~Jrl..v,,b ..::fi"' ,,C,(),...... ;; ::iur .:í :s•,15

C!JPJ'lP•; )• {'OJ ,11.i!fiarIºS

(-.;·f1l:.1r'W (hrtus ,·1;.-.,,w.. i,J,·c·tx,oA f(,1n/:,/·,~m:•1,'>t•;t'.t r.,11p" l•-bHp .IJ,·,.w. ;,;t-1:.: rn.:JtJJr·,cJJnHr,t.'r ~er,sJl.:ic.tJon o¡;::CM\.Jrl.J dtt b..irnr:1~..;l Si1 1,'Jtfli.'l"'l!,1 .., t_e;rps_.;:ic. r1f :-ht1n1i:: s 'j 13 1r<,fih ... lo.n~.'ir1·• c;r,~v~p¡f"(p;,

1 ,9,:,1.tH .,.,....,¡, ! t ~ t ,iJ,:J1~l.. •,'-t,u ...,, •'••• .. , !,.. ¡sW19K•M,i .. ! .!~ i•i1ll("... , .~~ .., .,,,.; , i ., .,,.... . - •., rr1,.'1 1,.,u,1 lfo!t:.:um, ,·~ ...rcrxw( ·!IG,~r .,,, ~,· '.'."::'"',i'.,.~U.:·~)·t,!.Jr,.'!J:;e-. '\C.• ..i.11 -.. ~

htlp$:/lwww.go b.1t1;,¡,'hancomc:..tlprcnsa/acdo11-opor1una·dé-bancomcx.t-~al vuguarda-in1crcsc;;-tlc-d icn1e,~-y-l ... 15/0l .'201 K

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 23 de 83 })~ BAN(Qo,f\txICO 1

DGTI.ESPTl.20.01.1

ANEXO "O"

https://www.theregister.co. u k/2017 /10/11/hackers swift taiwa n/ Consultada el 22 de enero de 2018 fücke,:. nick S60c.1 fi:om Taiw:me.,e bam. u, rail.ored Si.l.'!Fí attrl • Toe ~gister

Lcg in S~~n .JP F:irurns

- Secmity Hackers nick $60m from Taiwanese bank in tailored SWIFT attack Arrests after customízed malware apparently used to draín millions

By fain Thomson in San Francisco 110 SHARE 11 Oct 20H at 00:58 ,.

Updated Hackers managed to pinch S60m from the Far Eastern lnterna!ional Bank in Taiwan by infiltrating its computers last week. Now. most of the money has bee n recove red, and two arrests have been made in connection with the cyber-heist.

On Friday, the banl< admitted tl1e cyber-crooks planted malware on its Pes ami servers in arder to gain access to its SV'/IFT terminal, which is used to transfer funds between financia! lnstitutions across the world.

The malware's masterminds, we're told, managed to haivest the credentials needed to commandeer the terminal and drain money out of the bank. By the time staff noticed the weird transactions, S60m had

http:¡:.'-'ww111•.tl,eregí.;te1· co.uki20¡ 7.1\0-'J. J,'backm._,".¡ft_raiwu,/(22'0111018 07:03 :}S p . m.J

"20 20, Año de Leona Vicario, Benemérita Madre de la Pat ria" Página 24 de 83 / BANCO DE r\[XICO

DGTI.ESPTl.20.01.1

~ mc1c $60m fu= T.iw;meoe bank in.tailared SWIFT attack • The Rezister

already been wired to banks in the US, Cambodia, and Sri Lanka.

Far Eastem vice president Liu Lung-kuang claimed, as they always do, that the software nasty used in the attack was of a type never seen before_ No customer infonnation was accessed during the hackers' raid, he said, and the bank would cover any losses.

According to the Taipei Times, the Taiwanese Premier William Lai has thrust a probe into the affa1r, and has asked the banking sector to investigate. lnterpol has already begun its inquiries, and - thanks to security mechanism introduced between banks - all but $500,000 has been recovered.

Two arrests connected to the theft were made in Sri Lanka and, according to the Colombo Gazette, one of them is ShalHa Moonesinghe. He's the head of the state-run Litro Gas company and was cuffed after police allegedly found $1 .1m of the Taiwanese funds in l1is personal bank account. Another suspect is still at Jarge.

There has been a spate of cyber-attacks against banks in whicll miscreants gain access to their SWIFT equipment to siphon off millions. The largest such heíst was in February 2016 when haekers unknown (possibly from North Korea) stole $81m whi[e trying to pull off the first $1 bn electronic cyber-robbery.

SWIFT has, apparentty. tried to help its customers shore up their securíty; it seems the banking sector as a whole needs to be more on its toes to prevent future unauthorized accesses. ®

Updated to add A spotcesman for SWIFT has been in touch to stress: "The SWIFT networl< was not compromised in this attack."

Sponsored: Mincts Mastering Machines - Cal! for papers now open

Tipsand correction s

~ Sign up to our Newsletter - Get IT in your inbox daily

MORE Swift Hacking

hlt¡x.:11\V\\'W.tlmegisb!r.eo.uld201711 Qfl l/hacker.._•wtft_ta,,,a.1[22!0112018 07:.03:JS p . m.]

"2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 25 de 83 Jl\.-5 BAN(QoE t\[X!CO 1

DGTI.ESPTl.20.01.1 ANEXO "E" hlli!J/www.reuters.com/article/cyber-heist/swift-says-hackers-still-targeting-bank-messaging-system­ idUSL2NlMN298?rpc=401& Consultada el 22 de enero de 2018

Wor1d Business Markel.s Po tics T\I D

APT28 Vs Javelin See What Would happen lf Javelin As Put Against APT28. Watch Video 7 Javelin Networks Now!

SWIFT says hackers still targeting bank messagíng system

Jim Finkle

TOR0):-:-0, Oct 13 (Reuters) - Hackers contiuue to target the :', WIFT bank m.-ss.aging system, thoug:h security contrnls ínstituti.-d after last year·s $81 million heist at Bangladesh's central bank have helped thwart 111any of those attempts, a senior SWIFT official told Reuters.

"Attempts continue." said Stephen Gilderdale, head ofSWIFT's Customer Security Progr:uume, in a phom.· interview. ''That is ,,,hat we expected. We didtú expect the adversaries to suddenly disappear.. "

TI1e disclosure under,;cores that banks remai.n at risk of cyber attack& targeting computers nsed to access SWIFT almost two years after the Fehma.ry 2016 theft from a Bangladesh Bank account at the Federal Reserve B:mk ofNew York

"2020, Año de Leona Vi cario, Benemérita Madre de la Patria" Página 26 de 83 111 BAN(Qocf\ÉXICO

DGTI. ESPTl.20.01.1

SWlFT say; !J.%ci:en stiU tnr~tti,¡g bmk mmcgill~ •},teul

Gilderdale dedmed to say how many hacks had been attempted this year, what percentage were successfu1, how much money had been stolen or whether they were growing ar slowing down.

On Monday. two people were arres1ed in Sri Lanka for suspected mouey laundering from a Taiwanese bank whose computer ">ystem wa!i hacked to enable illicit transactions abroad. Pohce acted after the state-owned Bank ofCeylon reported a suspiciom. transfer.

SWIFT, a Belgium-based co-operati\·e owned by its u5,er banks, has dedined comment on lhe case. saying it does not discuss individual entities.

Gilderdale said that some security mea!'.ures i.u'>tttuted in the wake ofthe Bangfadesh Bank heist had thwarted attempts.

Asan example, he said that SWIFT had stopped some heists th.ank1o toan update to its software that automatically sends alerts when hackers tamper \Vith data on bank computers used to acces<, the messaging network.

SWIFT shares technical i.nformation ali out cyber attacks and othei- details on how hackers target banks on a prívate portal open to its memberr;.

Gilderdale was speaking ahead of the organizatlon · e; a11nual Sibos global user c011ferei1ce. which starts on Monday in Toronto.

At the confrrence, SWIFT will re1ease details of a plan to !".ta.rt offering secw·ity data in "machine digestible" formats that bauks can use to automate efforts to discover and remediate cyber attacks. he said.

SWIFT will also uuveil plaus to sta.It sh:u:ing that data ,vith outside sec1u-ity vendors so they can incorporate the information into their products, he said.

Rfporti!lg by fon Finkle. Editing by Ros~a O'Brien Our Srandard.s. U. 71tq,tsml Rguten Tru¡t Principles

SPOHS0R!':D

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 27 de 83 BANCO DE MÉXICO

DGTJ.ESPTl.20.01.1 ANEXO "F"

http://www.bbc.com/news/technology-38573074 Consultada el 15 de enero de 2018 Ukraine power cut 'was cyber-attack' - BBC News Página I de 5

Home News Sport Weather Shop Earth Travel

Home I Video I World I UK I Business I Tcc11 1 Scioncc I Sloncs I Enlonalnmcnt & Arts I Hcallh I Wo11d New, TV I More

AOVERTISEM.ENT

Technology

Ukraine power cut 'was cyber-attack' Top Stories

11 Jvnumy 201? f '# O IS:'.i -! Shere Raid on Venezuela pilot ends in bloodshed

--1 llou,s ago

Turkey denounces US 'terror anny' plan

9 hOur?, ago

Cranberries singer Dolores O'Riordan dies

1 hourago

AOVERTISEMEN1'

A power cutlhat hit part ofthe Ukrainian capital, Kiev, in December has been judged a cyber-attack by researchers ínvestigaling the inciden!.

The lllackout !asted ¡usl ove, an hour and slarted jusi before midnight on 17 o c~cember

The cyber-security cornpany lníorrrHJ\ion Systerns Security Partners (ISSP) has 1,nked lile incident to a hack and blackout in 2015 that affected 225,000.

lt also said a saries of other recent a1tacks in Ukrain8 were connected.

The 2016 power cut had arnounleó to a loss ol about one-íilth oí Kiev's power consumptron al that t,rne of nrghl, natronal energy cornpany Ukrenergo sa1d at the time

II aílecled lhe Pivnichna substation outside the ca pital, and lefl peo ple rn part of the c,ty anda surrounding a rea w,thout electncity unt,1s hortly alter 01,00.

Features

htt ://www.bbc.com/news/technolo, -38573074 15/01 /201 8

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 28 de 83 lB BAN(QoEJv\[XICO DGTI.ESPTl.20.01.1 Ukraine power cut 'was cyber-attack' - BBC News

Still Friends? The trouble with otd si·lcoms

ISSP

Oleksii Y3snskiy, a N!I~ • iSSP, said the auacks io20t6 l!líld201S"were not much d1fferent~

The attack took place elmost exectly one year after a much larger heck on a regional eleclricily dostribulion company. Thal was laler blamed on lhe Russ,an security serv1cas. The Japanese star who taught The lalesl allack has nol publ,cly been allnbuled to any slate aclor. but Ukraine has China's young about sex said Russia directed thousands of cyber atlacks towards it in the final rnonths of 2016.

'Not much different'

ISSP, a Ukrainian cornpany invesl1galing the incidenls on behalf of Ukrenergo, now appears to be suggesting a firrner link

lt seid lhet both lhe 2015 and 2016 eltacks were connecled, along with a series of 'Floating on air" after 19kg tumour hacks on other state insrnutions this Oecernber, lncluding the national ra itway is removed system, severa! govemmenl minislnes and a nalional pension fund.

Oleksii Yasnskiy, head of ISSP labs, said : "The attacks ,n 2016 and 2015 were not much different - the only distinction was that the altacks of 2016 became more cornplex and were much better organ,sed."

~ Tha missing • aftermath of Trump's crackdown

The Israelí boy who survived Mumbai attack

BRi:: ~IDAH HOFFMAN

He also said different criminal groups had worked together, and seemed to be testing techniques that could be used elsewhere in !he wort:l for sabotage. ~ However, David Emrn, principal securijy Researcher et Kaspersky Lab, said it was Looking for my brother was "hard to say for sure" ,f the inciden! was a lrial run.

"lt's poss,ble, bul given lhat udícal infrastructure facilities vary so widely - and therelore require difieren! approaches lo compromise !he syslems - tha re-use of matware across syslems is likely to be limiled.' ha told the BBC.

htt ://www.bbc.com/news/technolo -38573074 15/01/2018

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 29 de 83 BAN(Qor_ t\ÉXlCO

DGTI.ESPTl.20.01.1 Ukraine power cut 'was cyber-attack' BBC News Página 3 de 5 "On !he olher hand, if a system has proved lo be porous m the past, il is likely to encourage lurther altempts."

'Acts of terrorism'

In De-cember, Ukraine's presideof, Petro Poroshenko, sa1d hacl\ers had ta,-geted state institul1ons sorne 6,50ü limes ,., !he rast two mon\hs of 2016. Desert lempfes of stone He said me incidents showed Russia was waging a cyber-war against the country.

"Acis of terronsm aná sabotage on crifical infrastructure lacilttíes remain possible today," Mr Poroshenko said dunng a meeting of !he Nat1onal Secunly and Defence Council, accord!ng to a statement released by his office.

'The investigat,on of a number of inCldents ind,cated !he comphcily d,rectly or indírectly al Russian securily servíces." Chile's female prísoners pin their hopes on Pope's vistt

Related T opícs

Cyber~sl'!curity Ukraioo

Sharethís Elephant's trunk? The story of the @sign

Most Read More on this story Cranberries sínger Dolores 1 Ukraine hackers claím huga Kremlin emeil breach O'Ríordao d1es suddenly aged 3 NowrnbfJr 2016 46

Rape case collapses afler Ukraine cyber.atlacka 'could happen to UK' 2 'cuddling' photos emerge 29 February 2016 Denmark Facebook sex video: 3 Ukraine power 'hack attacks' exp!ained More than 1,000 young people 29 Sobruary 2016 charged

Technology Black Dea1h 'spread by humans 4 not rats'

Slill Friends? The lrouble wrth 5 o!d sitcoms

Caríllion collapse: Mínislers hokl 6 emergency meeting Fordto invest$11bnin 1,000 youog people charg&d Time machine caltl

15/01/2018

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 30 de 83 BAN(QoEJv\[XICO

DGTI.ESPTl.20.01.1 ANEXO "G"

http://baesystemsai.blogspot.mx/2016/04/two-bytes-to-951 m.htm 1, Consultada el 22 de enero de 2018

22/1i2019 BAE Sys:en:s Thre;1t ReS

G• Más $igu·emei,q¡:.

BAE SYSTEMS THREAT RESEARCH BLOG

Home Products Solutions Newn & Events AboutUs Careers

SUBSCRIBE

Pooted by Sergei Shevchenko - Monday, 25 April :!016 3 .;i, ~l> 1o ~cew our regg C)lberThre31 S

l.n Febru.L,y 20-id one o! lhe Largest cyber hels1S ·w.15 OClffl'N'li!d and subseqV'=nttj' t11scfose-:L Ar. unknown att3Cke-rg~ined access to?he B::mg!adesh Bank's (89) SWIFT p..1:yment systero .1nd report~Cl1 l1.str1.Jci::-d an Arr...er..can ba.'lk to :ra.ns.ter money from ee·s 3ccoum ·t:,. :iocolll~ in The­ Philippinn. -,,., artack<>rs all1!mplold to steal $95'm. c.'1"hlch $8 lm i• still un;,,,0,,.11'.«l lor. POPULAR POSTS

The i.>chnical debil.s of the ;,11.>d hJV<> yet to e<> m;,de publc. howe-. ...,ve recen~~ -.lifiedlO.ure.

T t..s m 3!v,ge ,1;,pE-ars. to be JU"S: par: da Wide-, at!.H ..-k !.OOlkrt... a,.,d would have tlef!n use-::1 t::a CCJl"er tt:-: WANACRYPJOR RANSOMlllORM a:i~· track.s. ..3~ they ~ent forged ~ymant lflstJ'l.J·:;l!:ins ~o m~!i.-a 'tr.!:: :,-..-i,ns~ 1'!i. Thi~ '11',ou-!d have, ham,:Ered 1":-e de~~r, and ff:5.ponse to tt-.e .:l!tL"lck. g;i'li'r,,g more time- for trie sub!eoul:'m rnoney 1.aundenna to ~k,e i:tJce.

The lools are highly cont!g..able and given th" eorrect 3caess ooutl fe;>Sii,.!y be use

.•. F...,, ...., COHTACl 525a~'!ae-l<>3-:l'lleoce H2a49"-3a54 td1~e.. 11 :mt 11.0:::.05 65.~35 e·~di.Jg. exe 22,:l 11:~'.l:20 Forf..tt,a, _..., ot IX>tü"' ""export, ¡E,15" contKt us. Hl.234 ev•..sys.~e 37e 13:45:3Q

24,fTe 11ro::f_b.e.xe

6207bil2842 b28a4 JaJ~O.J~~e :IClb 7 e"C l NIA 3 3.1!41! gpca.d.3: 183

·w~ ~ .al &es were O'E.31ed by 1tNII! sam~ .act::,-(~}. bYt 1h:!:! m.ain foc~ of ';'.he report will be- on e:: s- .a :e1.ie4e31t:e.: t;ct : =:.:a-!Y@;e5 .;. : ,:1::.~ce ~.:::E' :1.sihis is. 1tie ~ tha".-conbii.tS kl;ic fer int'!r.JCting 'Mth the SWI FT !iOPhware. http:/,'baesys~sa.i.blogspot.mxl201 Ml4ftNo.b)'Ws-to-Q51m.html 1fl

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 31 de 83 BANCO DE t\ÉXICO

DGTI.ESPTl.20.01.1

221112319 .8.AE Sys~ Thre;;,t Re.search Slog: Two bytes '.o $'~51 m

Th~ .mJW.3.rl::' r,eg isters kself 3s .3 st?n,,ic; ~n:I cper.J~~.s ~th~ an env;ro..,rr.~nt rul"l"tftg S'NlITs Alli~nce software suite, pa,nrvci by an Orad

The ma.~, pJrpos.e is t:t ins.pect S'.'t{!;:"f rr..._:assage!: "or striníJS defined. in the c::::ir,f¡gt..:r.n.on 1h. Frvm

tflese mAs..s.:.,ges, tiis ma!v1o•are ca.n extract fields s.uch .Js tra.nsf1:'r ~ ~nd S'NIFT add,..C'sses to irll't:=ra!-1 W:1.~ ttie sys!r:m datab.:1se.. Thé.5E! det3Js are l!"'e-n use,d ~O: dele:e speciTic i:rans.:ict!ons. or tipdat-: trans,a;:;-tion amounts apae3f"lng in bahr,t.,-? reporjng rressa;i:1.:·s ba:.~ on :h-e ,rr.ou'1: c.i: Cc-'1·.•e rt'tH: ~ .:,v~1i:~ble iri SfEd4c JC·:CU.nt.s.

Th1s. fun,7-:ion.ali:y r!J!"IS ir , a loo~ un1!1 Uam o n füh -=~tn.i,,;1r; 2016. This i :=> s

Mahvarn co111lg anil loggin5

The ror.f;l{J,..r;:;,t:on f&e cc·n".a.ins ~1 list ofT3f!S,3cticn rDs. s-:>rne ad:fr:ions! e-n·vi"·:i:wnem. infoffi"aticn, ..:.1od the: fol!c-win-g •P ...~ JCrE:ss !o be us-eo for ..:::,:rmm.ir.d-and-con'J"ol (C&C;· .------__,__ ,_, ______,_ ___ --·-··¡ ¡' __: ; ~_li)s:- - ______,:~ . 11,1 ______,.. ,. _ ,__

' ----·----··- - ·-·----- ···------·--·----.. -·----·----·-- - --·- -···--·· {. .. ::~'.:. .:-:-_:..R~~ ·-i:: ·: ; \ t~ s~I::; ·.. ~.,i:. i.Q.t. ='~.~.-~~=\ ~~?~·~~--\ L,:,;:,;.l ·.~. .: ..li.i.:- .~ .~e. .= .;¡.~_. ¿.-,1; ...... (

Mod11le patching

The- mJ1,vare e-numerates .:111 pro:::esses . .:.nd if a p:rocess h3s 1he: module .:..:.'!:::.r ..a·:i.::o:. . d.:.l. loaderl i.n it. Jt ,,,~11 ¡:-1~cli 2 oy:e-s :n fts mt"'lT.nry at.? spl?Clfic o'f:.et The pat\."'h wil! rep!.10:.:? b)l"tt"s ,,x "'S a-nd :.:-:.:, .; ·~'i'".h ':h.¿ t~e.:. ,: :t& :· .1nd } ~;, ] .

Th':s.e -::w·o byte-s a,re th-E< JNZ a,pcodf>, boe-fiy exp!ained Jis. ':f tte re:u.l: o( tite pre-·.;Jooo compar.=:.:m cpe.... a '!ión i= r..o~ z ero·. ihen ju111,e1/ :Jto tf-.e :a-rid.rr:~ that fa.i'(,mvo fhf:;. inctro~ onr p .fw:; .f byte:;'.

"2020, Año de Leona Vica rio, Benemérita M adre de la Patria" Página 32 de 83 BANCO DE MÉXICO

DG TI. ESPTl.20.01.1

2211/2018 BAE Sys:ems llue.at Re-ch Blo¡¡: Two t,y,es !o $951 m ki!y Gillily d>adl or ...-...,., s.JOCOK s chNk.

The p&t,will repla.ce thi;2-G'fl!'~)omp w~h 2'do-nottlng (NO?) insttuciicns, 6c!Ml1 fon:i.ng tne host .appücation to belRve 1h.1t the faif~ chK:k ha.s in fact svcc:E-eded.

For exa:nple. !he original code c:iuld lock like:

ss ca test eax, eax sOffle importaftt chaü. ,s ()4 jn: f~iled if failed, ~ to "tai:et' lal>él Nlal 33 co xor e ax, Hll othef"Wi!.f!J s.e-t resu:t to o (succe.s.s) eb 17 i•P eJCit .ar,d t h~n eJr.i t failed, fil! 01 00 00 0 0 nov e ax, 1 set result to 1 (failure)

Once- it's ¡:-3tched, it would ,OCW. fte:

85 C9 test eax, "ª" f Dx75 90 (JOp '!lo Mthin;:' in place of 0•04 33 cO xor eax, eax always s,e,t rEs.u : t to o (succe ss) l eb 17 jmp exit and th~n uit failed: as e1 ee oo oo IJO'I/ eax, 1 never rsached: set result to 1 (fail.) J A5 a resutt. ':he impcrtant che<::k rPSutt •Nill t~ 1gncire 'f.. Hed' mst~.J.d . tt WIII pro<>ee

The :cl:..ou.ili. et:: ,roc!u!e i>along;c 1D SW1f1's Allianoe _,.. sui:e. ~<>·1oa'!!

• Reading the Al'iance d.lLlbase palh from tlie ,eg,s,:ry. • ~ the databa5e; • Parlorrrin¡¡ dat.,base backup & res1Dre !unctioos.

By modlfys,g 1t11e local áns:ance of SWlfT Alrance Acoess sc>f:ware. !he ma,ware gr~.n:s ~self'lh" abil~ to eJ1.ee~1e -database tr.ansae':ions 'fflthin ~h !:! 1,: ic~jm r,E,'Yf'Dric_

S\'{[fl message monitoring

Ttie matwara: rnor.itors S',NlFT Financiai Appl;c.;rjon ~FN! mes~ by pantf'IG the r.on:ents o! the ( ~es. ~ .p:= .1 nd ,._ . : .a :. loca~ WChlJ ile óírectones:

[aoc:t!"_::=s. :,;.,""E.: : \U~er~ ~~tz...:t,:.:\':!..';J ?~.;.ta \Lc·=.a.: \;h.:.l::...1.:::. ~ \:rn·:::r.. \ i::. \ :E-t.:>~-:_:·F.:,..T;: \tJ!!e:r~\A1:ic.ini.~-e:;.,;,:>.r \ ..~pt.i.t:..;.\Lo,=..;.l ,;... ::1i.a:t.!J \::ii:m\,=, ".....t. \ ------· J 11 parses !he rr.essages, loolli.,_. :ransacticns 1mtl3led by -Q51m.html

"2020, Año de Leona Vicario, Benemérit a Madre de la Patria" Página 33 de 83 BAN(QoE MÉXICO

DGTI.ESPTl.20.01.1

2.2/112:J tS BAE Sys:ems Threat Res.earoh Blog· Two bytlas :o Wó1m

,e);~r.Jid3 ~~~_:-P.?:_.PU:'.z' and !.:t.:::s;_~E.1::E'R_?;.;:::_-=~::t:'.E.S.':: TOm th.3:t sa.me messa_ge bt locli.in~ far ,:he> fohowing ha.·d ceded stnngs· r ·------· ------

1. : __: ;.· ¡;_~~_':__ :___· :_) :_=::_i_. ~-~-·~.:~:. ·~_: __ __·_-. -.=_ : ...~.:' ~" _ ~. ...~ .._ ,:, ~.:::- ~?-:.<.:c-:i :c~:::...~·-!:a.,:;:. c::-. :::..:e ~p=a..¿.a.:. : L------

The m~1\\fa ~e v,ill uso:? this e:<.r..JctM d3t..l t:, f.Jrm v~Nd SOL sL~tE-ff'.cr,ts. ft att,e.mpts to ret02·ve, t"'le SV1/!FT umr,r..;e r--essac1~ r:; ~!:E~~_~_t..:.: :=~1.h.1: CCfTES?O!lds ro 1h e :r,3ns~r refe-r,s,nc~ and s~ntter :Jddre-ss ro?trieved eartier:

Th1: Y.E:::;_~_tl<:r: r:. 'i.h-€n pass.ed ~o :E.::.~T!: s!at~men:s. dE -l e".!ftQ :he trans.ac1J::J.n irom ::he IOCJI dat.21b.1s1?:.

¡:: r:.:t:t. ?R:'.!-: "~1 ::,··1 .. :.--:; _v·rsc~_•• :·i:":E!\! ~"i"':- _-_r.__t1c·-, 1 ~-~ 1

i : E.:.t.:L :'T~~- ~.A>.:::-;t~F.._ T!::+:T_~~ :·:~E:'.:!: · · ~ · _S_····-, 1 ~ ~ ' ;

Th~ SOL >s~..~t=· men: :!> are óe,pped. in:o ~ t~m~crary' illi? w"i't' ttw 'SQt' pre:-fü.. Tne SOL ~~ l~men~ ,ri!: pr~pendc¡i,d w-..1h 1tie ~llc:.ving r, re'iY.ted :i".jt-1< m;.on:s:

S f::'. E:.:H.::· ::-CE'; ?.E:.:'." f'Et.¡: ::-:f'F; 1 ~E.": ~}'.f:~~::·.: ·:T::';

O nce-!he terr.pOf'ar¡ file •1,it.t'! t"'re SCl st a~'?me·nts t5' cc;"l5truc~e-:I it 1.s e:(e-cuted fro;i,o a sh':'11 'SCt"ipt 1..,•ith - " :t:~: 'i.l::. ~ pHmis-sions. An e.-.arr p!e- is shc.·.11r, OO:oo, :

i, ~:-:-~ -··; ;;;···~-.. -. -,,-_·.· n-.;:.---.-,-_:.-.,- r- ~--~;~;-:.-..,-.--~---~:--.-.-."-.. -~,-J:-...- ,- ..- ...,,-.,- .-.--.-.-=---,-+-.-, -.. ----~¡ :~-r.,~ ~-::u:: - ----· -··--- --·-----·--· ...... ,_ ... .., ... ·-· ·- · "" -; ·- ·- -·- 1. - ~

lo gin moniloring

A ter st..-;ir.. up th~ rr.1J l'll',1'are fJB.s (ntr; ~1 !or.Jp wh-er.e i-:. cori.st.~r:1fy cheoks ;:c..r the· .1,11.1rn al reo-cr-d th..r;:t o:::mt~-:U"'s t."'18- "Login" st"'ing in it'

f ;:~~E::· - =~::~: t.;:E-:!:.:T - ::=~l:._i:.'3;.:...:t,;r_T:E: }:T, ·.:7J~1.~:i1::re_-rn::: fllQJd.. . . 1 ¡:;:·::":~~ _;;~ =::.::; ;.;~~-=;•;;:;; _~;:,:~~:: '~; LT 55~:,3: : ,:,~, Le,;H' __ __J

lf it f.ai!s :o find the 'Lc:gh.. r-e,ccci, i: falls .:!$feep for 5 seoor.:::h. a nd the"'l 'tt'~e-!;', ,:;¡pi;n. Once t.he "'Login"'

re,c::,,ó i~ found, !he maJware sends ..=:i G ET rl:Qt.JeSt ~o th~ remate C,!,w,C.

-····-~----~--- .. -... ----~----··-····· ----

'Th>? ma.t.vare r-.ci:iies tr;e remate C,5..C cach 1-.our cf ev~nts !:.end1r,g ""---:·· ;f 1le 'Lcg1n·• (open) ~ ·~re- m 00-"'t.lrr.ed, "---:., in C351? "log:,ut" (c/o:;e j event ·XCUrred CI" ""---1;n ~ n,ef:h,er OÍ ~.h~ EV·'?r.ts http:Nb.3esystsem sai.blag;spot.mxll01f.•04 ,'t..\~1.es.-t:>~E (m.html

" 20 20, Año de Leona Vicario, Benemérita Madre de la Patria" Página 34 de 83 JB BANCO DE MÉXICO DGTI.ESPTl.20.01.1

2211/2018 BAE S~ems Thre.1t R.,...a, dl Blo¡¡: Twobyt;!s io SQ51m ~.e.g..

Maoipulating balances

Th

:~C.::'_:,:;.:•·iz: .: : \t.r~e::::"' -~'3.!.~:..,,~=:.ir.to::\ A:=:;:.:'a"t..t \.!.-.,c.:i..1 ..Al::::.. ..r-.~\ mcp\:.n\"'."' :;:.-:

::R?-:-:-_:i=:.:,:::t.j : \t!''!l'cr:5\.A.±:::.!.~:.~t=.-t.::\A:;:;?!::.:..ta\I.o..:.a.l J-...lli...a.::-;..~ \ :r.e·p\u?":.}: \ ~ . - :~~-~-:-_:-R:nE: : \tr!!~:c~ Adllaihi:5'!:I•to:.: '-~~3=?! .;.e.:. \L=--:-.;. t ~.ll:.:..::.!! \TC-:-~ ::.:'~p ::a.= :>:'_'.:]::.:•·'1:: :\t,"~e:r.~ \ .r"~::..r.:..~t=~"t...:l::\A:;.:?C•'C.:.. \L,:,-=.:i..1 \.?...:..l:.a.:--~ m-=~ \ :-~::'.s:!' :P.OOT_CR:\.~E~: \V~e:c.=,\.~n::..s'j:r~,:eo::- 1?..?:.:;t'a.e.;; \L':'-c=.: '..A..l.l.:.,n=\rr:C"!I \ f.:i:tp :;o.:-:-:-_:R:1.. 'I. ·; : \T!:5~:C:5 1?.::ic:.i:i:.-se:-.-lt.~:\;,._::,::·'C.it.;;; \l.oc--.: All..i~\mt:.•_'-_=_<·_=_=- ---~

The me.scs.ag~s are p3rsed looll'"G for rnform.1tron c.agged 'Mth the-folk:Jwwlg sTtng:s:

J • :fA: >.=.e"; ,. I": :el::.':'•1 1 :~::::~=:~:i:.~ :. l . .:·

•.:::e::i.:.:"

- ¿-1;: u 1· :e, ~nn,~

Fer examp(e. th€ ne:.!': • field sp,ec?."".es t'1e cf:>sing b31311oe, •...:: ,:.!"': o-: is. opening bJ1anc~. " ... ~.A: 11 is tfa:isa,::ion .!".moun1'.

íhc -naWa ..e also ~cti:s if the mess..!~s oontain .a fil~er -spe-c~f.ed wrt.r.in th4: cor,figuraton f.~ .n:,-.:: .a.:i;;.-:: .

T~ k>ggN in ai:x:ount. .1s se-en 1'orn the jourr..i.t.. is then U5@d ~ d'ted. horw m uch Con".'11!-rtibl-e CL.nTency arl'IOVnt (!!E~'';_ f'::-1_:::a_AMOt~UT) ii h.3S .a ....a~abfe :

Aitt!'l"9\aj\lety itcan ,.;¡uer, fora mes5&p-iora Sc~·ciJ:ie.-d senderllffltt a specifled arnour,t ofCom·-e,tbl~ Currencv--

Q"TF~-- YEº '"' ~ m.:-!'", fi~Olf 5AMatt'.r·.. MES~_ ~5 t·:<::3:r.~ !-!::.:'.G_!E.~::i:::.~_!ii:n_;....!)~!! !...:tu: 'i:tl,tt• N .i:Ji ~srz_F::1_c,:"i_AM~::,:1r u r.E. 1 ~~~1~'4. •;

T~ ..lrr.oun: o! Cori•,ertibte Curre,n,cy is dlen rr...anip.uJat~d.., the mes.s.age by chango,g rt to tt,e arbt\rary value (3E.:' ~~c~;;_E":~:_:.:Y _:;!.f,:.:.~¡T):

hn¡,1/b.>esystem.sai.blcgspot.mx.1201 M l41!wo-bytes--11>-Q51m.html 5J7

"2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Pá gina 35 de 83 BANCO DE MÉXICO

DGTI. ESPTI .20.01.1 2.21112018 . . . . ¡;: :-r.:·c ~;.:.:::::;:i:zP.. :-z.;:,;._ t, :s.::T :-:::.i .; _:r::J_.: ,:·:_ :-.1:·:,ct:T ' ~:5 . ; ,,.,;:.,..-._ .;.. !~..:'.:·~·:'!~-q.:-!::..."T_1'::1 .;'.:::'.'!' ·•7;•,.,.._.,..;..,.;_":::·.--·.· t:::._P.~.:·:. :.:.,.:: _ : :,_·:;._p.::~;..;.,: ' t:5' :, t-:::r:;:.,:: T'.::)'.'!_S_t"l~!_: _ _ ._~_•_'_;_

Printcr marupulation

In CYd.?r t:J hide- t>.e ~~uduft!nt ~r.:m.~s c.:nri~d ou1 J:y :hEc a::tacker(s). ~he d.J!.5bJs,e.'me~s...l¡;e man!pub~ions are r.01 su'T.ciE-nt S',Nl;::T nEtw:irk ..;lso genera:es conf'irfflation n1o:s~ges. and tnes~ me~~1¡;¡:es .a re se,nt by the '50-=t'w.Jrtl "ot pnni.irg ff ~.he- fr.1udule,n! trat,s~'tion confi rm,:.oons a re prir.~l?d cut, !.h'c' b3nking offici3ls c.Jin c.:¡::-o: .!:t .1r.,,r~q\y .n,.j faen re,.po,d 3ppro~riatefy to stco sui:h tra"'

r.'ence, the m.:;tware ..J!so inte:-capts the ccnñrr:-,3jon ~-l \'IFT m.;:ss.3ge5 and t:'"';en !.oends fer piintina t."'le

'-::l octored' ~m.ar:ipul3 t~d.: c~;ies af sucl1 rr:f'~<;.lig~s ir. ord~r to oo·:er up :t-.i' fr.luCu!f!.nt tr~s.

Ta a-ciiie•.•e fi~:,t. tr¿, S'W iFT mes:.ages tlie m:.;)¡yare i0c.:l':es are re-.1~. p3rsM. and ':'Jnverti:-d into FRT

fije,: !> '11 3t de::cri~e thi: teict m ='rint.er Comrr.• J:!'"'.j Largua~')=· t PCL) .

These- ':l!fflpor;J,fJ F-RT files .:;re ;h o?r! St.!t",..."r:H.~ ~or pr;n'!ing by using ,'ll'lolli€-r -e1:ecu"'...:.b.-1? f 1e cslf~ n ::: =:::. . ~::.e, ...:::.. 1-e;;:timate IJJd. frc,.T.i the- S""v.'!FT s.c:f.w.:ire- sui:e .

CONCUJSIONS

The arn lys.f.."d s.am¡:,:e 3 1lows a gtimp::,e i.!1tD tho: too!kit rl cr-.e Df thE te.Jim in 'I/Ell~r:!annej t..3n:I; he:st. MJny pt=Cli'S"· cf 1he puzz.l.e· Jre. still rrj~sing t hcu,11: how· th'i! .attacl:-ers s.ent U"'.e fr~udu!ent tr,:msf€'1"!.; how the rn1:·,\.·~1r,e w~,s impl1rited ; &id ,cruci~íly. who \\'.!1'5 t-er.)r,d rhis.

This maruar~ w a s 'ltritter, besook~ for .1rtac h.ir.g ~1 -spe-ciio •Ji:;trm fr:~3suue1.ure-. bt.a tn;? 9~ne-r.l>I too1s. techni~u.;,,s ar;d i::,,rc~cdi.rl".es iJs ed 1n the ~tLlc:k m3y altow the g,;.ng to 'Slrike- ~ain. AII fin.;in:ci;1! instrtuttónJ vs,1ho ru n S.v''.1IFT A, ';an.:e Acce-s.::· and s1mii ..:,r $,Y!:~ems ~hc,uld be sef'Xlur.ty rev iE:wlng thek s~et.. m'!y r ·.ow t::, m ..ske sL·re ':'hey too a re not i!xp:osoed

T h:~ j;[1~ckeH ¡.:H.Jt ~1gnif.~nt -=.-ffor. ;n;o xnducting m cr-1: .J.nct mcr~ sophistiC,J1E'd 3:tt'.J:;k-s ~g... , iri:st 1,,l-ctim o rg-Yi1S.alicns. p,,;;rtscubr1y in ~he :.vea cf nEh-.-.,rit mtn.1.s.ions f_which ha.s :radjtbt'\l!ly be-e.n ?he dorr Jin of t.ile ADT' J·:rto r:,. As thoe- thr€3t .,.:.,,.dv-.e!i b•~,:s.:i n,e-~s.e:. a 11·::I e>T h!t" ne~rit c:,,vners n~i1:-d t:i e nsure ~ht!i)' 3re prepared 1.0 11'-:ep u p wi~ tt,.e ,e-.,-al,fr:g M allenge o' s e,:t.Jnf'lg critic ..1t s;i-s~:.m s

ht1p://bae,;yst~m~i.blogspot.mx.'201 e,04/lwo-bytes-to-1151mJ ,tml

"2020, Año de Leona Vicario, Benemérita M adre de la Patria" Página 36 de 83 Jl?J1 BANCO DE l'\ÉXICO

DGTI.ESPTl.20.01.1 ANEXO "H"

http ://es .gizmodo. com/roba n-12-m il lo nes-a-u n-ba nco-d e-ecuador-en-u n-n uevo-ca-1778855 37 5, Consultada el 22 de enero de 2018

R.ob.m Sl2 milla""'• ua Da!lCO de Ecuador en m, nuevo caso de hac:ktoo al si5tema SWJFT

GIZMODO .un,-mon

Roban $12 millones a un banco de Ecuador en un nuevo caso de hackeo al sistema SWIFT

J MíltÍílS S . Zavia en ATAQUES INFORMÁTICOS

htt¡n:!l~.~odo.com!robm-l2-.mill=-a-m>·banoo-l!\"O-Ca· l 778S5.5375P2/0l/2D18 07 :.21 :'.!! p. m.]

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 37 de 83 Jl~.i BAN(QoEJ'\[xI(O

DGTI.ESPTl.20.01.1

En febrero, unos hackers consiguieron robar 81 millones de dólares al Banco Central de Bangladesh a través del sistema S\VlFf (y una falta de ortografía evitó que robaran 870 millones más). r\:lás adelante, un banco vietnamita denunció otro caso similar -y ahora ha pasado lo mismo en Ecuador.

La falta de ortografía que evitó que unos hackers robaran 870 millones de dólares Escribir fandation en lugar de foundation, la falta de ortografía que evitó que un grnpo de hackers ...

Read more

El robo a Banco del Austro tuvo lugar hace más de 15 meses, pero desde la entidad ecuatoriana aseguran que no se habían dado cuenta basta ahora. Una vez más, los

hackers se sirvieron de mensajes fraudulentos en el sistema S'WIFI' para mover t::! millones de dólares a diferentes entidades bancarias de todo el mundo. S9 millones fueron a parar a 23 cuentas de Hong Kong y los 3 millones restantes acabamn en Dubai y otras partes del planeta.

Banco del Austrn ha interpuesto una demanda contra otro b anco, el estadounidense VVells Fargo, que ordenó la mayor parte de las transferencias (por un valor de 9 millones de dólar,í?s). Los ladrones utílizarnn las credenciales de los empleados de v\'ells Fargo en el sistema global SWIFI' para transferir el dinero a sus propias cuentas en el e.\.1:ranjero.

En el famoso caso de Bangladesh, la policía culpó del robo al uso M tu1os switches de

mala calidad -sólo costaban 10 dólares- en la red. de ordenadores del banco conectada al sistema S\\'lFf. Luego se supo que los hackers habían inyectado un malware en la red loe.al (ertdiag.exe) con el que podían acceder a la base de datos de S\VIFI' y manipular los registros pa1:a ocultar las transferencias.

Más de 9.000 socíedades financieras utilizan SWIFI' como sistema de mensajería interbancario. La cooperativa que lo controla ha advertido a los bancos de los casos de fraude y le.s ha proporcionado una a.ctualiución de sofuvare para que no se ,·ean

blt¡r.:1/e,.gizmodo.coin!robm-12-mill= -,..,m.~dor-ea-,uM,lle\'O-c•-l 77S855375P-2/0li2018 07:~l :27 p. m]

"2020, Año de Leona Vica rio, Benemérita M adre de la Patria" Página 38 de 83 11~1 BAN(Qocf'\[XICO

DGTI.ESPTl.20.01.1

Roban S12 mili<>= a un ban

Síguenos también en Tw:itter, Facebook y Flipboa1·d.

Click here lo v1e',\/ this com emhe

ABOUT THE AUTHOR

Matías s. Zavia Marias tiene dos grandes pasiones: Internet y el dulce de leche

Emaí! Twttter Posts Keys

bttps:.'le,;.gizmodo.o

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 39 de 83 BANCO DE MÉXICO

DGTI. ESPTl.20.01.1 ANEXO "I" b!!Qs ;//www.nena.org/n ews/11959 2/D HS-Bu l leti n-on-Den ia 1-of-Service-TDoS-Attacks-on-PSAPs. h tm Consultada el 22 de enero de 2018

~ ~- .,. . :TALARI Networks_ Delivering the last ªªªMile • -.., llllt~IIIICl~IIJ,11.K of 911 Servlces •••

NENA News, Press, & Stories ... : Home Page

DHS 13ul!etin on Deniai of Service CTDoS) Attacks on PSAP·;

St.lfld:J:{, MG.rt·l'i 11. 2J'l !l ~¡:. 0:'(Y( 'Vi:r1r;: ;:iostS:!J...... ty. 1•••• Ghrs N1;,:,¡,,,·¡;1

ne oer,Jrt.,..,e:·r~ or Ht:irr,~·,.,,.·.:1 terult,f (DH3l '1iccic .• Nall-c.1al Cc - ltiP.· DHS·C41ce ar !::r1'i:?~i:'."IC)' Ct1""'!':Ht':::Jt.;;f,$:, :J'-!~ • 01\"'.)?. O-f !nrra.S'..l"l<·~l:> ~t_:¡,. ,~.ES. 1 'n, 1G ~u· 1;a,,e,· .. 1a!lrn ::. ::·.:N ,-; ¡¡~;ti?':~ a·1E,',,fi'r1g po1'1:1i 1:.~ ..i¡;,&:·13 ·1d ~ i:.:r.'?'l"'tH' ;..:~· ::.. ".::-.~:eo J1<:! ¡::~n,c,r1t;

íH~~~rnuM , 1·t::irmJ:t:m r,:;,:;e- . ~a trr.,n-•¡ 1"'.1. ··1a:~1~~s me, pes b ~y crf Jt:.c :J.~ 1....,rg-et.ng: tt;e- 1,;-:;:pt:.3r.1: S)S~.2n; t.'H r. J4 ~ se-:::tr.1r ~1r~ ·'.!\i :;.t:¡¡.:;.:t: r, h,i",,,,e: ~a ... g'::-·.e-:1 ~!'".:' Jif.'T''•"Hst"al.h•e .::.::,,:a.::i 11'\ff r.,ot ~r-e- ·;¡¡ ~ :ene:rge-n-::y !lr ~.,. ·r,e p~"pe--rJtJ!".i cf :r,e artr::.i. r,.::r•:'! ·.a;,, ,rr:Í':':l nlgh 't"dUrr,c .i;:-r :::J .L.S iq,;L1s~ t'l"ie-~ ~~' t.yt."lg ui:: tri\:~ "",:ir, H:C.);{',t1g 1e-;¡!Jna.:e :..il s. 1t"",'5. ty~e of .,Jt'.. 1:1t ti r'2~~rr;;:c:, •• .:, JS :; Tí}::.~ Ot H,;:q:\~Jf•)' De ;iH of s:e"'t C$ :Jt'~t. n'l'S.S!!' a.:b.~k'I:, 3 fF.· ;::,~in; M3ij 51rr'l:.3f NENA News il'lUU;ts '1.3\!é r:::-ct.rre-a ~?.'.'.":=J-€:lr9 ül1r!:l6 CU&i"":!:.~'!:!S, an/1 pí.H'.· (,; El~t':S, t1c:u:: 1;} ii1f.' fli'J!",Cl'J &S,,;;".CJ :;.r¡;, cr'!r ¡:,1:::inc ':'rn'1::·~!3'1C.) t::•~-;t.c,·r.s 1"'tf'~e-s1s . l!'Z:Udhg air c ..r~ 1r:~. amt.ulJ1oe J:!·j H::4.!.r:t:-11 ü.:w oorr."l".ir.,::.r.i_:;:.;¡_.s ~.. E~i¡:.. :1..:,;..:.ea.s. :,n; .:mr:.r.g lr:forT~110·, D-.;:IA..'!'~rtAn•a. at i':' re- ;:J¡;_::illt R·~·,!¿-~ .!.

Se/}t:~Q·: Ttft.e rr.Cll!!rif'f;:)o:S M.tacts. :ro:! N.:t e~ ar e.:1'.:::·-t:::,r ~ch·e'Tt~· n·e .~r;~·ne ~ ~a J:'.'mr¿ ~ ro~\:, ,:ir;:mU.:2.·.':,r, ri:irn af' l"li:fü;;'U;.;:_· O.':! .nir;g :ti! r~r,n~:;,er<1-1 f.:,:illr::f.!:::-'1r.,; ·Xl,"!)pa.1}' ~.:· ,ay~:i, ¡:;,:3r1L TI"':! ;:, 1E-r l.;$1.lát'f t':.n, :t ~tn:.'lg a;::r;e,r: c•·$/,H'1r:· ~or: ar':1 :.¡:st:s 1~ sp·c.J~ ',\":J: 3 :a.:.-rrfr"'rt t'"'f.."Ml;;'r;:. '!"!.1!l:::f?-:! ::; ¡ .. f::; ¡¡r.J :r.: ~¡¡,_: ¡:~'-l)·t"l<::n:1-ro"!" ;q nt .-::!u:i :,r o~~:,;ir =J~or '.."le Cci.~rJUl'Xm-s ~:· Our Fa 2C t. _r.;:,,_ ~~~,.1 c.k -rne :::r~u.JC'i'I ~·,¡1; r.,f. _·1ur:;12,1.~r.:·~.:r a :.r ,~r.i;:us ;~:r-:,Jr:, Q' c.JH!:i: rc.r e 'I .; r,&r~, .'!' ~tt. t,i. • h~•gt!"¡:, p;.·10:..: ::' r.ri.::-. Ttie ~na::): -)a, N t: ·,::;r,: ~ lrr..:x1nn·-, Jr:C. r · :,ui~,1r; <:::.:. s rr:·? t2rg ; ;:-rnp:B-::;ci 11 :; ~t:s:c,ii,:,~s'1 "'.r::ttg,:,-,,·:,-•·1r1;::·1t c."'flc.*~·1c¡ °""·'"', ~:!f. :.re t:!ir,g "1i;;.r·; '2"t-?::: · :.e~:.a.1l~ecir:rs: 1~: r ru•i c"'..r..r-:r :n::1~ ¡,rl:!fil. Q¿.;.¡r,,~·1 t~,:,.¡ '.Q Fi1':-l'H>W~f ¡: JD !~ _¡;:,i(f!.':"__ . lt::2c:.n~"¡_;,1t(:.,,;;b:·r~

, Tte att..·rck~ rer~Jtte~ tr :er:!:'-,Jg~ 11r., Jr,~ m c..11.. !.?. a ""Vl:! e,~·-:~ ~e 1i"ie a t:?rr.1te ~a :;..."'!ty • Tr.é- 1:1ttJ.:JilG 1;.;.: t:.r !!",te-n- ~~r:-11 !Jrn';- ~-i.!r!::<.1, ~-.er se:..-2JI hatr\a. T:1E-)' ~4)' G.::..:; ---::-""=··-::! r.lo no1.~.

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 40 de 83 BAN(QDEr\ÉXICO

DGTI.ESPTl.20.01.1

Jr.f4 !'i'Slr'f'.~. once a:tJca.ea. t'lf- a;uc:l& e,:¡1 ,:::r. riOdmntJ C'l~r w-ta, ::.~· ,:::intru. • rr-.,e. ~·H:t..Jcu.10:1.::.11N • ¡:6l,;t'I 'Af"J:. a ~.i:Yt')' .1.ct~r.t (!~411".g ~~yrr.em ::1 r.s.ao::: tr:tn tne e,;:,,npa1)' t ieC311lie, íZaeQ.CII OJ •..,,...... - ...... ---.n tl';,!P~.*iPa·,,ey~fCd. Calendar

- . !fo • L ~I! EN?C:1.a.,. - wn:=r:~11~

• Al:lZ~)r':iYJ .r.1,~ I!"'""~ 'T.! e-:ope a,li:l lM¡:-·.:u:.~ Of!:1€ ~ · ~(~CJIU.Jly h :::rA' ma.•) OOMMur•.c.;¡'30 r.& ~'S.r:o·~ .:, ~1.i, c:~r~r1 na11~ t.elr'" •~ktd , crr»r.Á. to 13ef!ttryng lile true ~~cpe c/·:111, 'Jcc-Jrri!nci. 5:.1·1 .:,;r;l.E-r ~-:i¡::i!rwtMír Pro;r,¡m - • ;r "d,:~ ::: c,,ur'= ~ aaAr.e'!,I¡ IMl"I ff'! r'lto!f1i J M ff"t!Mtitr age-i'ICJe,, ",, G.1~ cnat c.. a..- u,coi"' r-tE u,¡; lr:c.::,,.a.uon: tE- ~'SQ f{'T'~-e-~r1cy c.lnMU:-.1"1L10M: ceití!r¡. P !;A=>',. ~O\'eMMei! n :sep2..'t.Tl:?n1I.,. il"ld ..r'I) rei.d go\oe.~m~ t ¡¡,geflC'Y 1'111l 3 1-H teo tr:!!r!?&I in e:n,;·-y,,cy ...... -..-.....nro¡,.r.r>ons. !'tJ~li·,,..,_, ...,..a--.,.. :tt: ~UI

Reeonl$NMI th&- f0flow1n9: ::,t;-QC'8 • Taty~a or~lhmlll:ta ra'I tt~ oLat:.trrifl. U'ENA Ct,¡,:i::r Li:lder \VDllin'JP • ~~pc:1: .a· .a!':a..:u {l T'? F31 O} 1D.OP19 C"'I~) '1"!'. ~Y

• ::'.nsil'~ In t"l~ Ut~ ottni! '.'?p::rt ) ·JU u,e tt,E- ké)'l i t.lnf TQo::; e- f ni!.:!etlaty,u lilenU!'yyCIL:"T~f ,U a º!i,AP oc Fu:. '! ~ f t)' Ot'gJr.ttYJ.:r.C]pW:l ,UC'l"."Jd'I l!-:'~..ll'!i33;)~t.l!

• ~" ID;;& ~m·~ll?W"'.Jf' ~ Jr::I TD::~

• Tl'T ! . j.a~. cn;r,*'9 ~ r.:r e- nJnt-?r, -:r:;.,: :;..~ r.r~rlilu • c .a11C. !_:t r,u:r.>.:r w u, 2- ·cr:·~ct..ei.r-s.. CO!'n:,;i::·) ~ :~ 2.1~,; c:gi,ixa tio,, • Meüc.,:;. ':l ~ : ,1!':~ Jet..JU"'lt r: Jl'"'lb6 ;r,;er-! ·c:,oe-c,:::,· ro~~...l.f'\)' re•:¡uc.515. ai:t: tJ D! pi~ , MJY lr'"tl':r.i;;t:,i y:rJ c1n a:i:-ilr, a!i~Ii~ tie QJ1:r. Of"h:s·ne; or91r,¡¡:a:i;r. wm be e: treT~r,tJu¡ ilHi,C.m:€ :." :t'.S fr·.-H~;pa..'Vl ,3¡,IS ri pí!','!'lttng n.Jrr~r at:1Cil • C·::r.tact ) :>Jr telE-gl'UY'I¿ ser,"l:e ~owta:-r: :r.ey .r.a,- o~ ;ar.E- ca .x'Ell~ ty t"~ pruoR& OI ni! J'iac.t;. • ~t,r.·Jl:S rc,:1.aave a.17 Q.:!S.ll~, ;t!i:Mt- ~nla:t ·:r.-e 'i.J:"o::.lJ CXf".J!n...i~r,g ~ ~~r r::n c c, ·, ~"Jr~c;.r:ir., .iit ~1::-=3 q.e1r:, .g:·.. · o.r 1-JJ-:'.3!-s.c&c

...

"2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 41 de 83 BANCO DE l"\[XICO

DGTI.ESPTl.20.01.1 ANEXO "J"

.b!!.QJ/www.cbc.ca/n ews/poli tics/ha ckers-cel Iphone-secu rity-1.4406338 • Consultada el 8 de octubre de 2018

l'.1¡;111:, lt!,·I:

cae One rnar!cer shows Dubé near Parliament Hill. Another marks rhe plilCe he '* 1n morning lives wheri he's worlcing Ottawa. One more shows an earlt trip lo HacJc:ers only needed a phone number to track this sht airport to p1ck up h1s partner frolTI a businen tllp MP's cellphone "That's creepy. That doesn't make you feel 1Jery comfonable," sald the Quebec MP. W • in

HC! looks tlown clt 1he lapmp showlnf: the m Jp ag,11n and laughS nervously. Tests show Canada's two largest telecoms vulnerable to international hackers

Ari¡_¡,rrc- flw• ni. (.,:~w-,i11 r> (u!lf:' ri. r.,;•.lN F~>'ro;Q1 1 r A, t~ .. ,·.,, !'t'l~IHl "1 ,W ;:~. :•J1 7 :i"JO PM (T Ln~i U~:::.~!P.d ' f'\;11·:i>l'r1b1:r 2 ... ~01 i'

• •

Fll11ritlt,,:it:,le1i - fw.MM";,l•.,r1<•11!Q f),,IW' i phuM IOWrfl&~ J\r;lh"l'4'1tí!"-lr,•,.._..,ll,r rM.irc Robltr.1váJCtZ"l

r-. L) P MP Mc.1 tthe-·,,, 01Jbe>. took. oan: 111 ,:m e:o:pe,u,'M!..,E w1th CEIC/Rad,o· C:.,n.;da u·,at re11ca!cd 11;.1!ner;ib1Hl ·C$1n U1n.id•iln tell!c~r,- n uwtni''.i, (1..1:~rc P.ob1r '1;:li:;iJ{IK) "I guess 1t's not something rn jcke about bue I guess you think: 'Good thing ! w a;n"t doing anyth111g inaµpropriate.' • NDP MP Matthew Dube looks ata map !.howing chal hackers r.racked his rnoverr:ents 1hrouch h1 s uillphone for days lt wasn·1 Jusr h!s movemenrs. H.;ickers were ab!e co record Oubé·s .:.ills. too.

UK' llt! OIK

· Someone ¡5, s:pying on ccllphone!i in Otuw.a ~rhc: tcchriology is built w1th good ntenl'ions to rn,1ke ;¡ vcry useful phone • R.CMP, CSIS launch investigatlons lotn phonit &pylng network and good user expe nence but lt l,1ck.s any kmrJ of securiry and 1t's open to a buse.• ltwas all parr of u Cl:3C/R.:>d io.(anada dcmons1r,mon of just how Vli!ncrable Canada's phone networks ure. With Dubé's consent and the he!p of • RCMP used r.e llphone r.racking technology unla wfully 6 times, s.ays cybersecunty experts based in Germany, CBCtRadio·C anada learned that prlv ilcy w.itchdog Canada'!i two larges.t cel!phune netwnrks are vulnerc1b!e to allack.

lt"5 not just Nohl soundlng the alarrn The U.S. Department of Homeland

How can hackers access your phone? Securily pul ául ;i repon in April warning rhat ··,;1gl'!1fil:,rnt weakne.s!>eS 1n SS7 ha;,,e becn known ror mnre rhan a dccade ." Tht> s aJI pos\; ,ble hecc1u!;e o ( vulnerab1lity in the 1nrcrnat1onal tcle<:mr1mur.1r.ation r,et•,vanc. H 1nvoive~ wh,1t's known a~ Sign.:.iU1ng S~'!.tem 1 IH~ report notes tha1 pmennal abuses c,í SS7 inclu rJe e,wc~dropp1ng. No. 7- or SS!. trac!<,ng and t,aud, w1ih "1en1 nf iP'louunds of e ntry po1n ts worldw1de. many ol which .Jre comrotred by countries o r organizalions that support terrorism SS7 15 thc Wil'J ce llphone nctworks amund the wotld commur,1catc wilh one or esp1onage.~ another lt's a hldden layer ot rnessages about setting up and tearing down connections far a phon~ call. exchanging billing infcrrnation or allowing a phone to roarn. But hackers c.111 galn access trJ SS7, too. SS7 abuse

SS7 attacks can eas,ly go ccmp!etely undetected. However, German ''Those commands c.an be $ent by a nybody," said Karsten Nohl, a Berlín· Journalisrs reported on ari incident earl ier th1s year where customers of based cybers,~cumy expert whose ter)m helped CBC/Radio·Canada h,1.c k lnco Telcfonica bar.k h,ld untold ,;i mounts of money drained from their o1ccou ncs Dubé's phone. because of phish1ng ema1l5 and SS7 atfc)Clcs..

Th,it can go beyond spying on phone (onvN!'i,Hions nr geolocJt111g a phonc. SS7 J t:a, ks c,:i n ulso be used to alter, udd c r deletc rnntent.

FQr e.:t1mple, !>, c:hl s.11d he rnuld set up .3 person's cellµhone vo,cema1J so a!I mes,;:.;1ges v,ent duectly 10 h,m. The user rr11ght never 1mow t~e messages were m iss1ng

m1.·10:::0111

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 42 de 83 BAN(QoEJv\[XI(O

DGTI.ESPTl.20.01.1 fa.t~m only ~~ -1 phunr nu!Wt 11tr 1t.d ltiis: ii'l"'to cdlphonc C'lll' f,,,:f!Vrill

CBC/Radlo-Canada wanted rn lmow Just how wc!J Canadi,w ccllphonc oetwor~s would rare .1 nd osked Oubé to be part of .J demonstrnl!on.

Oub é the \nCe-chair of the House o: Commons sr.:inding committee on puft~C' safety and national security, went to the mall and p1cked up a new phone for 1t,e- experiment. CBC/Rad1o·Canada agreed not to use h1s current work phone in orcJer l'O protecL the privacy of those ¡)hooe calls.

Dubé's new phone number was glven to Nohl and his team of hackers in Bcrhn. H didn't take long far thcm to access hls calls.

IIMU:M Her.& ~ óire~tor of Srcurlly ~t~~1rch L1U:. !i.:t:45 \l"w t'fll,O rna,n C•NIC,ill' Mlf("1>

In that case. the bank used tour-d1g;t codes sent to customer:; phones m order to complete money transfers. Hackers used 557 to get thase cedes .and take the funds for themselves.

The sheer number of SS? artacks becomes clear when networks beef up thc1r sccurhy, saicJ Nohl.

-"lhen they st,1rt block1ng thls abuse. the)"re blocklng m illions of otherwu abusive mess.:iges.Thar s far a single network m,:, single country. So you can

imagine the magnitude of abuse worldmde. .. El!lic~ t,,ac~r luu ~ li+I~ ·! Mseá 11\ ~ Ión W,;!'I JU\ti< phc,nr r,u rr-0et, ~ w,t; ,1.c,h! 111 tdf:~ tlllO Dubé , r,l-~11:·. L~ t r, in h1, .:.111-;, •rari: hi, ... t:., rnbOul, 11111a ,nNtt, ¡it to:., :r~t mK s,ir.r-; (CO;.'.l

Hacking a Canadían phone Flrst.. the hackers were able to record., conversation between Oubé 1n hls otf:ce on Parhament Hm and our Radio-Canada colleague Bngltte Bureau. Nohl sa1d sorne tefecom companies, pnmarlly 1n Europe. have beefed up who was sitting at a café in Berhn. the,r defences to ward off 557 attacks.

J!lt(:b:n.ll!'II) ~ :1,i!llooc numl>er to Lr:«:k 1h1, Mf"11 cc1lph11ni:I ('Jl(' :-Jew.1 f"ái¡u,a 1 4,:ll

Next, n was D conve.rsat1on berwee-n Dubé and his assisunt. wt,o were The CBORadio-Canada dernonstrat1on raises que.s tions ahour personal boch m ouawa. securily. tl(' said, and also about who else might wanl lO ~PY on sensít1ve­ d1scuss1ons. Nohl's team also tracked che geolocation data from the phone, painting a pleture of Oube's where.1bouts. "To know other n .Jtions or criminal groups c,1n eavesdrop on C.1n,1dlan cornmunicarion is really worrisome, especlally at Lhe potitical level.~ When the C:BC/Radio·Cc1nada team was back In Canada, the cafls were played for Oubé and he was shown a map of hls inovemems. Companies say security a priority

''lt's exactly what I did that day.Just phone calls are bad enough. When you Bel/, Rogers and the Canadi.!n Wireless Telecommunicacions A.ssoci.1 tion start knowing where you are, thtJt'S pretty scary stuff," s.aid Dubc!-. decllned to sit down wlth CBC/Radlo-Cc1nada and speak about the test resu lts. Out> E?':s phone was on the Rogers Network,. bu{ CBC/ Radio-Canada atso rana similar test w1 th phones on the necwork.

'Easy to hack'

Nohl offered hi~ assessment of tnt ,~sults.

~Relat1ve to other networks In Eurape and elsewhere io the world, the Canadian networks are easy to hack."

He belleves there's muen more rhat Roger:s J nd Bell could be dotng.

~1 think the two Canadlan networks we tested have about 10 perccnt of thc security that lhey need to do to prou~ct from SS7 attacks.'

lt's a source oí concern far Pierre Ro berge, too. He spent more than 10 ycars with Canad.i's C:ommunicatrons Securlty Establlshml!nt - thc C,11"'.,"'! 1 11 ~f'!t(.0 ~ l old e~ ',;,v.; Lh ~I lie'.\lf:1\1 '1.d IOP pnor.1¡1 ~¡,d CU l!il!> .u, mor,11e,1!1:l. 1-'.r.o,,...... ,.,,cnq electronic spy age-ncy charged with protectmg Canadian d,g1tal secunty. He·s now the CEO oí Arcadia Cyber Dehmce.

08.' J(l:!Olll OII 10:Ut N

"2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 43 de 83 BANCO DE MÉXICO

DGTI.ESPTl.20.01.1 lla..:k~~ only nt~~cd a phtint nucnbcr 10 11~: I: 1his MI''¡ crllplnJ111 l t. 'Ul' ~1

Vla erniJil, CBC/R,3dlo-Canada sent a senes of questmns about whilt thc CBC/Radio-Canada also reached out to Public Safety Minister Ralph networks were doing to prevent SS7 am1cks and wl')y customcr'5 wercn'( Goodale's office to ask what "'ªs be1ng done to protca Canad1ans and was being told c.:on'-'er~ations c:ould be carnpromlsed. Ooth neli.\'orks responded directed to the Cornrnur,lcation Security Establishment. wltli general statements about their secur!ty efforts. In a statement, CSE sa1d its role is to prov1dt adwce and gurdance to help Rogers Commun1c.c1t1ons ::;~Jid security 1s a top pnonty .lnd thar 1t has a protcct systcrns of importance to thc Governmcm of Canada.~ cytJersecunry teani rnomtori1i1~ threats and is 1ntroduc10g ncw •ne.asure la protelt wstomers. ..CSE ha~ been activtly worklng with Canadu'~ telecom indu~try and cnt•cal lnfrastructure operators to addres$ lssues related to SS7 to de"Velop best ~an 557. we have already ll"ltroduced rc speclflc detalls ror wlth 557." security reasons." How to protect yourself Bell sent a two ·line response. There are wuys to m1n1rn1ze the chance someone w1ll spy on your "Bell works wirh intematronal tndustry groups such as che GSMA [an com rnunicat1ons, s.-1 id Nohl. internalional mobile phone operators assoctationj to identiíy and addres s emerging security risks, lncluding those relatmg to SS7." He recommcnds encr,ptian sof(ware.

A spokesperson added th

The group rhat represems Canad1an telecorns was also fa1rly t1ght·hpped The Canad1an Wireles:1, Telecommunicat,ons Assocrat1on sa1d ,t works w,th domest1c ilnd 1ntl~marionat bodies on ~ecw11y s.trmdilrd5. 't il!Sc ~.c1id ! works w1th faw l!nforcernent to ~a,tive!y moflltor and address r1sks ~

Government reaction

·M(IJJ'il'•l.4406338 oiµJ0,'20U! íl M..I I0:201 !1

l'á¡,iiooll dcl2 l'Jgill.11.!Jct!

• <\ !lr<'" 10 .J\ ~·.-,~1,m r,i 11","I •:10 .-,¡ r ~t"fl'Nf ! ='! ;, h .~~~ir,g 'lfH'l4'nt n,·r, •11r..¡: .1 i:,,.rr:-,111 RJ r.~ l l"r .,:1,1 , 1111¡.:111...'1',y i~ :1,1,c ,r,( dtnt 4111J...-.lt ., 20i4 In l¡f.t ~ O, lt,•·e:,:I ':!i•~er lhli~·e,1, •: ,,, • .J .'f'I ··.·~•l',V t ~

U)J11C e n~•)·t•l'N -·~;)~ la•! S·g•,.,1 ctf· .J ".".'1"'6.1,Ap¡., t..i,, j,;!·p 1,N' C'i:~t -¡r:,:1 l•·JI" '.i~ 7 ,l'ldt~~- ..,,.r.uqfa•~ ;o ',;,,t,I itu1 vr'l''~ y."11,• r·'ll'•u·fl ,:,11. y,)I: t i!' -"11'." t \,111) 1o!,:, ~11, ..1, r w 1 .-~Jr"II:":

MHyou're uslng Srgnal, WhatsApp, Skype, you're ce rtait1ly protected from 557 anJcks... . 8111 lhere's other types of attacks that could ha r,pen aga1nst you. your computer, your phone. So you'rc ncver fuily sufe.'

When it comes ro having your movements tracked, Nohl said the on!y protection is to turn your phone ofí - sorneth1n~! that's not a!ways practicar.

"We'rc so dependcnt on our phoncs. The networks ~hould protect us from these attacks rather than us having to torgo all the beneíits of carrying a phone.''

D,i1Jé ~aid th,H depcndency ,s wh.at makes th1s mos.t troublinr,.

"The scanesi rhing o( all 1s thJt I know thm ton1gtl( or tomorrow morning, when ! make <.a!ís lo fnends co go out for a drink or when I rnake ccills to colleagues 10 resolve a pohtical or professional 1':ls,rn - l'm sciH golng to have to use the phone."

H1Hl=n1. ~ ~f'lll'.lh(!!lf h;1i; ,.,..,.,. tef'r, r ,,i, :r.r th;;r1k\ to ·1 v1/11e,r;1L'\Jt ~ u, k•1uttlel.!tt! ol ~;1

Correctlons

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 44 de 83 JB BAN(QoEf\[Xl(O DGTI.ESPTl.20.01.1 ANEXO "K11

https ://www. wyden .senate .gov/imo/media/ doc/wyden-fcc-ss 7-letter-may-2018. pdf Consultada el 8 de octubre de 2018

RONW'r'Dt:N COMMITTEES:

O:M'ft'II. r. ON fn:,;:,rr ~-!JW•.LLi l , , oo,,·•r-...:..11 0~11r.r· .. "'" R:•.-'·:.. :.T . llnitcd Statcs Srnarc !:llh.'f nt-'r.ffll.l ... llof ffi.!.!.;.1..:.·1 WASl l!NGTON, DC ;~():, lO 370:}

May 29, 2018

Th<." Honornhlc Ajit Pai Chairman Federal Communicalions C'ommission 445 l ::?th Street Southwest Washington. DC 20554

Dear Chairman Pai:

One ycar ago I urgcd you lo addrcss ~crious cybcr:;cc.1.1rity ,ulncr.ibilitks in U.S. tck-phnnc networks. To date. your Federal Communications Commission has don<' nothing hut sit on its h.ands, lcaving cvcry Anu.:rican wi1h a mohilc phonc at risk.

1\-lobilc telcphone networks connect to each <1ther Lhrough Signaling System 7 (SS7). which is riddled with long.standing cybersecurít} \ulncrabilities that pose n major natíonal security threat. SS7's flaws expose U.S. telephone m:tworks Lo hacking by lTÚnÍilals and foreign governrnents. Hackers can ex.ploit SS7 tlaws to track Amcricans, interecpt their caJls and texts, and hsck their phoncs to steal fínmcinl information, know when thcy are at home or away, and othcrwise prcy on unsuspecting consumers. Jv!orcover, according to multiple news reports. SS7 spying products are widely n,·ailable to both criminals and foreign governmems.

Over the past year. rny oftice has consulted w tth mobile sccurity expens. the major wireless carriers. and thc [k-par\mcnl nf Homcland SL-curity (DHS) ti> discuss thcsc \'u lncrabilítics. Thcsc meetings have mndc clear that SS7 vulnerabilitics po:se a major threat that must be addressed ímm~idiau:ly. a conclusion thc DHS 2017 S11utv cm Mobil,· De,,i,·c &rnri~v shares.

This threut is not merely hypothetical-nmlicious atiackers are alrcady exploiting SS7 vulncrabilitics. Onc of the major ~less c:u-ricrs infonncd my officc that it reporlcd an SS7 breach, in which customer data was accessed, to la\V enforcement through lhe govemment's Customcr Pmpríctary Nctwork lnfonnation (CPNI) Rcporting Portal. This is a legal rcquircment for wireless providers who beiíeve that prívate consumer infonnation has been illegally accessed. Submissions ,,ia thc portal are automnlically delivercd 1o the FCC, the U.S. Sccret Service, and the Federal Bureau of lnvest.igation.

Although the security failures of SS7 have long been known to tbe FCC. the agency has failed to address this ongoing thrcat to national sccurity and to thc 95% of t\mcricans v,;ho have wircless service. In 201 6, the FCC created a ne\v working group under the Communicatíons Security, Réliability and lntcroperahiliLy Council (CSR.IC) to explore and address SS7 vulnernbilitics. However, tbe working grnup w.as dominated by wirckss industry insiders with serious conflicL~ ofintcrcst. CSRIC appoinred a senior official from the wireless industry' s trade association.

,\\-IJil..l' ~~ : ;\'il,1"'\'. HLl..n~;1 , ,.., n "-~rn1n:~ Till ,l.';Yf',..:)Nfil .. ílltll'i ~,i:;tJ!t·,f Si"""'"fflZf?.i~,.. 1 !Wi f'I':~ t1 11wt.'",T l,TI! n nt t~ IJ,w;.\~'-f .:o¡\·C ..1'm-MCJ , r:1< ~.':: ;,! l( U:JC...(JU'"IIJ,1J !-l}Jfj' :.,, 11 MU)M Jl,~ -._t.!' t Jj';' ,!/'.1)1.~!S~:. ólll4JI r= l.-\ ~'-O°Jf. OP.: !>i l:f.1 ~ale· I")!·: ?i~)I ~:~·;ci. t ,r,. ,no~ rt.Jl1llf-' 7 t1~I .t.611MA,..•.1.:::.a ,.t11 •n:,;!

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 45 de 83 / BAN(QDEf\[XICO

DGTI.ESPTl.20.01.1

CTIA. tn be lcad editor ofthe group's l'cport. Ofthc fiftccn mm-go,·cmmcnl members, twe:ve worked for telecomm1mic.ations companies or indastr} associatfons. No academic cxpcrls or n:p:rescntatives from civíl society \>wcrc mcmhcrs nf tbc workíng gmup. Likewise, although perscmnel from DHS 's 1\ atinnal Coordínatin.-1 Center ú•r Communkatíons (:'.\ICC) pmticipated, DHS has infonued my office :,: .. t '.he vust majlirity of !he

·n1e fCC dc!t:rr..:d to ltlL' w:ire:ess industry to ,1:,,,:,,. the same :,,~·~urlty \•ulncrnbi!itics that the industry has kmg ígnored. CSRIC''s fin.11 ~ep011, published in \lc;rrh 2017 openly acknowlcdgcd that ''thc attack surfocc for a bnd actor to potenliall)' exploít... [SS7] has incrcascd" and "there is rccported evidence ofattacks launched U.S. carriers." While sorne ofth<.' \\orking h:d1nica! n:<:ommenclations were com,tmctive, ít lcl the wireiL·,,!> indu.stry ofl'the lmok for "'"'""''"" these íssues for dec:adcs and dicl n(1t n:~ommcnd that rhe FCC use its regulatory authori!y to force thc to tix these and other long.-standing !1aws. '11mt the appointed thc H ·e lo this hmc did not recommcnd a more forcefül hdicvc. no! ;1 coincidence.

In n pi ior follcr to me. ym1 dismissed my requt~St for thc FCC to use its rcgulatory authority to force the wireless to addrcss the SS7 vulnerabililies. You dted 1he work ofthe CSR[C as i;:vidcm.:c füat the FCC is thc thrcat. Hut 11ci1hcr CSRIC nor the FCC have taken hundreds of miilions of America11s from survdlhmce ijm.rert11menis, The must miw take swifl action, its regulawry authority 011er t.he wirclcss to add.ress the market faílure that has the industry to this and otber serious cv101.,'1:s1:(:un issues for decades. I also ask thal you me &TlSWt'TS to the foi!OW!ng '4!J'Cl>1n,i1" July 9. 201 íL

• Swdy on A!obile Device Security staled "nll U.S. carriets are in risk to national security." In response m mic of my then- Mkhm:il with me !hat ''the of nuibih: ne!works nccds lo and Hle vulner<1bilifü:s ofSS7 mu:..l be part ofth11t work Do you sgree wllh DHS ami NSA S:S7 vulncrabifüies pose a 11ational thre-at? o If you do not, picase ditlers. • Thc CSRJC~V group lO w-as chargcd with thc <..Tcation of a r(;,k Assessmem uf thcir The avaílable oniy summruizes the ufthc Rísk Assc:s.sment me a copy of thc fü!I Risk Assessment • h! ead1 ofthe five calendar years. h{)w rmmy brcac.hes have been to the fCC thmugh CPNí brnach portal? o How many of 1hesc hrcaches in which SS7 was used to access &'Uhi'll!riht:r infol1l!atitm? fn 1:ach nffü¡; past fivc calendar how many hreaclles of Cll.'>lomer loc1lllon data have been repnr!cd to HX wirdess carriers.

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Págína 46 de 83 ]1?11 BAN(Qocf'\ÉXICO

DGTI.ESPTl.20.01.1

o Ilow many ofthese were bre.aches in whích SS7 was used to ,11:ces, suhscriber infonnaticm'.' • For each SS7-related breach, please describe wh.at steps, if any. the FCC took to invcstigat.: the breacl1. • Fc•r eoch .,,7-relnted breach, díd the foCC' nnti'.~ the individuals whose infonnation w a.'\ stolcn? o Ifnot, please ex¡,lain \\·hy the FCC did not notif} these individuals.

If you have any questions regarding this request, pleasc cnntact Chris Soghoian in my oflicc.

Sinc.erely.

Ron Wyden Uníte

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 47 de 83 BANC0°,J"\tXICO ]1?11 DGTI. ESPTl.20.01.1 ANEXO "L"

http://fortune.com/2016/06/29/symant ec-nortonvulnerability/

Consultada el 18 de septiembre de 2018

Googlcfounci S}1>nuiec a,,.d Xorton Vuker.sbiliti.e, 'A, Bad .!',:;. lt Gets' I Fortur.e D SUBSCRIBE M~·',\ ;.ur o ~ Wage Gap. ~leet Equity Gap: Tesla Said to Be facing Crimina] " "omen Hold Ottl)· 9% of St.lrtup Probe 0Yer Elon '.'lusk Equity Statemenb

ei\: 1~=- ~H:, .:. 1_•ro• FCC Head .-1.jit P;ri Compares .-1.udi's .>J.1-Electric Sl'.Y Is Califomia's Net )l'eutr.1I!ty C=·m.uw's First Serions Shot Regulations to Pfastic stra11· .\cross Tesla's Bow Baus

1['] r

Don't 5etfle ft For the ful! persi

TEC li CH-

Google Founcl Disastrous Sy1uantec and N orton Vnlnerabilities That Are •As Bad .A..s It Gets'

http:.'ifom,=..com'10i 6.'06 '}9'o,=tec-cot1on-vulnen.':,ility·[J S 09.'lOIS l~:J l :54 p . ,,,.]

"2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 48 de 83 Jl~.I. BAN(Qocf'\ÉXI(O

DGTI.ESPTl.20.01.1

Goo~ f ound Symantec .wi ~orton Vuk,er.,.bilitie,. 'As Bad As lt Get,," 1Fortw!e

Juoe :!J. By ROBERTH.-\CKF.l'I' ~016

Google's "project zero" team, a group of securíty analysts tasked with lmnting for compute1· bugs, díscovered a heap of critical vulnerabilities in Symant

The vulnerabilities affect millions of people who run the company's endpoint securíty and antivirus software, rather íronically to protect their devices. Indeed, the flaws rendered all 17 enterprise products (Symantec brand) and eight consumer and small business products (Norton brand) open to attack.

In the words ofTavis Ormandy, an English hacker who works on the Google {GOOG, +1.15%) team: "These \'lilnerabilities are as bad as it gets"- and have ªpotentially devastating consequences."

Rernove V9 Redirect Virus. - \/9 Redirect Virus Removal lnst A bro'M~er hijJ:k~, d~i!jned to :orr.e c.ornputer u= to v..:,: :hoe tJRL ~'l. com enigrnasor.Nare. com

Get Data Sht•et, Fortune's teC'hnology newsletter.

"An attacker could easily com.pro1nise an entire enterprise fleet using a vulnerabillty

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Pá gina 49 de 83 }1~1 BAN(Qocf'\txICO

DGTI.ESPTl.20.01.1

Google f owi.:! Syma.n1ec ar.d !{orton Vulr.enl>ililíes ·.~ Bad k It Gei,;' ¡ Fo!twce

like this," Ormandy •.u it-35 on :l Googl

Ormandy's post published soon after Symantec íssued advisories of íts m~11, which credit him for reporting the bugs. "An attacker could potentially run arbitrary code by sendíng a specially crafted file to a user," the notice ,·:arns, before mentioníng that the company has "verified these issues and addressed them in product updates."

Por more on Symantec., watch:

The vuluerabilíties affect a "dec,omposer engine"-a program that unpacks cmnpressed files in order to help sean for potentially malícious ones-that's used across Syrnantec's products. "It's e::,,.'1:rernely challenging to make code like this safe," Ormandywrites. To avoid such problems, 011nandy recommends that security vendors use sandboxing, a technique that detouates suspic.ious code in a secme, virtual envfronment, as we11 as securíty-first softwar e development strategies.

Ormand:,, further demonstrated that the flaws can be exploited to propagate

http:!ifortu:r,..,.com:'2016f06.•29:,:.=mtec-n.orton-ntlnerabilityl[J&'OSF20lS 12:31:54 p. L'>.J

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página SO de 83 11~1 BAN(Oocf'íÉXICO

DGTI.ESPTl.20.01.1

computer worms, meaning virally infectious malwa.re. "Just emailing a file to a victim or sending them a link to an exploit is enough 10 trigger it," he says, '"the victim does not need to open the file or interact with it in anyv,,ay."

Symantec, \vhich recently purchased the Bain Capital-backed cyberseera-i1:y firm Bluo: Coat for $4.65 billion, also employed open source oode that it faiied to update even after seven years of use, Ormandy notes. He lists the additional vulnerabilitíes in that code here.

Ormandy has beeu on atear rooting out similarly nasty computer bugs. He helped identify comparable flaws-knmvn techuically as buffer overflows and m.emory cor:ruption vulnerabilities-ín products developed by the cybersecurity companies Comodo, ESET, Kaspers}q,, Fireeye (FEYE, +2.50%), lnt,2:l (INTC, +2.16 1Security's McAfee, Trend Micro (TMICY, +3 46%), and others in recent years.

Custoruers of Symantec should visit the company's website to learn ,1.·hid1 products have heen updated automatically, and ,.,,·hich require manual updates.

Sponsored Stories

Chess players .iround the The Amazing Eye Vision Designing Your Home for world .tre falling in love Discovery Work .ind Play with this Strategy game

Throoe

~:. . :(.~. ,~~,¡~;.. , ·.¡r .. ·- '""'""""'---'-'""""' The Most Addictive Game Surprising New Method to The Extr.ivagance on These

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 51 de 83 JIJ;i BAN(Qo,f'\[XICO

DGTI.ESPTl.20.01.1 ANEXO "M"

https;//www.offenS-ive-security.com/metasploit-unleashed/information-gatheringf, Consultada el 22 de enero de 2018

2:.·u201a ln:omution Galhering - Meta,ploij Uni~ashed

Information Gathering in Metasploit

Information Gathering with Metasploit

The foundation for any successful penetratíon t est is solid reconnaissance. Failure to perform proper ínformation gatheríng ....~11 have you flaiUng around at random, attacking machines that are not vulnerable and m issing others that are.

We' 11 be coveri ng just a few of th ese information gatheri ng tech niques such '"s:

• Port scaooiog • Hunting for MSSOL

• Service ldentification • Password Sniffing

• SNMP sweeping

root(§)k.a!l: ~

Lers take .a look at .sorne of the built-in Metasplolt features that help aid us in information gathering.

https:/:\,,... .,. w.offensiv,e-.5,éQ.lri~ ooml.met3sploit-unle3she-d1inforrna~ion-ga.therir-~ · 1/1

"2020, Año de Leona Vica rio, Benemérita M adre de la Patria" Página 52 de 83 j)?; BAN(Qorf'\ÉXICO 1 DGTI.ESPTl.20.01.1 ANEXO "N"

https://en.wikipedia.org/wiki/Equation Group, Consultada el 19 de junio de 2018

,!.Notlogged m Talk ConlfbJliom Cre.:tl:e account Log in

Article T3lk Read Ed~ View histoiy 1~ ..r.i ,..l~t:1• EJ

WIKIPEDIA The Free Eno~ c~>¡>«lio Equation Group From Wikipedia, the free eocydopedia Mv1 ¡x:,;¡e "Equation Group" is an infom1al name forthe Contents Equation Group Featured cootent Tailored Access Operations (TAO) uní! ofthe Type Act,anced pernistenl Curren! eve11t:1 Umted States Natronal Securíty Agency ttveat Random arficl4 (NSA)_l112l(3141 Classified as an advanced Location United Stlter. Don:ite 10 'Nih1peóia perslstent threal, Kaspersky Labs describes them Wi>;ipeda store ProCArt Wlki¡)eó a position of superiority wíth the creators of Community portal and .!5li 6J Most of lheir targets have been in Ir.In, Russia, Pakistan, Afghanistan, India, Recent ch311ges Syria, and MaliJ6J Crome! page The name Equation Group was chosen because of the group's predtleclíon for sophislicated Tools encryption methods in their operations. By 2015, Kaspersky Clocumented 500 malware

,...'tlatlinks l\ere infections by !he group in al Jeast 42 countries, wllile acknowledging lhat the actual number Related dlanges could be in lhe tens of thousands dueto its self-tenninalíng protoco1.l817l Uplood ñle In 2017, Wikileaks published a discussion held within the CIA on how ít liad been possíble to Special p;,ges Permanent li'1k idenbfy the group_lBJ One commenter wrote tila! "the Equation Group as labeled in !he report Page illformaticn does not relate to a specific group but rather a col1ection of tools" used tor hackíng.l>

L..a:,guages 5 Referen ces 5 Extemal links Deutsct, .,..;:;. Fra~ais El~ Discovmy [e~J Pol::.ki At the KaspersI(y Security Analysts Summit held in Mexico on Februar¡ 16, 2015, Kaspersky lab Pyccioo'i announced ils discovery of the Equation Group. Accollling to Kaspersky Lab's report, the group Slm·eméuu has been active since at least 2001 , with more ttlan 60 actors.l101 The marware used in lheir btl¡n://m.mkipedi. .orp',-ili/Equatimi._Group[ISl ,'06,'.201 B0 7:

"2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 53 de 83 BANC0°,f'\ÉXICO j)~1

DGTI.ESPTl.20.01.1 Equation Gwup - \Vih-ipe,:!ia

Yi

Probable links to Stuxnet and the NSA [editl

ln 2015 Kaspersky's researcil findings on !he Equation Group noted that its loader, "Grayfish", had similarities to a previousr~· discovered loader, "Gauss·, from another attack series, and separately noted that the Equation Group used two zero-day attaclls later use{! in Stuxnet; the rnsearchers concluded that "the similar type of usage of both e¡¡;ploits togelher in different computer wom1s, at around the same üme, indicates thal !he EQUATION group and the Stuxnet developers are either the same or working closely together".1 11J: l3

Firmware [edil]

They also ·ctentified that the platform had at times been spread by iníerdiction (interception of legitimate CDs sent by a scientific conference organizer by maíl),111J:15 aml that !he platfom1 had the "unprecedented" ability to inlect and be transrnítted through ttie hard drive firmware of several of the majar hará drive mamrlactmers, and create anci use hidden disk areas and virtual disk systems for its purposes, a feat demanding access to the manufaclurer's source code of each to achieve)1 1J. i13-;e and that Ule tool was designad far surgical precision. going so far as to ex elude specific countries by IP and atlow targetin.g of specific usemames on discussion forums.!11J:23-2fl

Codewords and timest.Jmps [editj

The NSA codewords "STRAITACID" and "STR.AITSHOOTER" have l>een ÍOllíld inside !he m:1lware. In addition, trmestamps in the malware seem to indicate tnat the programmers worked ove,whelmingly Monday- Friday in what wou!d correspond to a 08:00-'17:00 workday in an Eastem United Slates timezone.!l1J

The LNK exploit [editJ

Kaspersky's global research and analysis team , other.vise known as GReA T. claimed to have found a píece of mat11are that contained Stuxnet's •privlib" in 2008.!1 31 Specifically íl contained the LNK e;:ploit round in Stumet in 2010 Fanny is classified as a worm that affects certain 1Nindows operaiing systems and attempis lo spread laterally via netwo~ conneclion or USB stor::ige. Kaspersky stated that they suspect that because of the recorded compile tim e of Fanny that !he Equalion Group has been around longer than Stuxnet.!51

Link to IRATEMONK [edil!

F-Secure claims that the Equation Group's malicious llard drive firmware is TAO progr:im "lRATEMONK"Jl4J one of !he items from the NSA ANT catalog exposed in a 2013 article. IRATEMONK provides the

"20 20, Año de Leona Vicario, Benemé rita Madre de la Patria" Página 54 de 83 j)~.l BAN(Qncf'\ÉXl(O

DGTI. ESPTl.20.01.1

-~·-·-·~iRATEMONK J\NTP:odu:t D.1,·are to install ~=- --- -~ ·lf\ --~...... ,.,_.. 1 •• 1 !r-1': .... --..---.,.~.;_. ... _ each time the computer is booted upJ 5J lt is capable of --,...... ,...,.,...,,..-#:~·~·---·--··...... --,...... --~_,,.._,,._.. ..flrl\lltlP..ft._..F_. ,~..... - infectíng certain hard dlives from Seagate, Maxtor, •-.....i-- - -- ·--.., .... - f- •• Westem Digital, Samsung,l l5J ¡su, Micron Technology Q:-·....""\ - ...

and ToshibaJ!J The NSA's lisüng of rts Ta:lored 5J Ac= Opemtions prog:ram named IRATEMONK from lhe NSA ANT 2016 breach of the Equation cat;:ilog. Grou;e [edlJ

In August 2016, a hacking group calling itsell "• announced thal it had stolen malware code from the Equalion Group.1161Kaspersky Lab noticed similarities between the stolen code and earlier lmown cocle from the Equation Group malware samples it had in íts possession including quió