Jl?ji BAN(QoEJ'\ÉX!CO
COMITÉ DE TRANSPARENCIA
ACTA DE LA SESIÓN ESPECIAL 09/2020 DEL 04 DE MARZO DE 2020
En la Ciudad de México, a las trece horas del cuatro de marzo de dos mil veinte, en el edificio ubicado en avenida Cinco de Mayo, número veinte, colonia Centro, demarcación territorial Cuauhtémoc, se reunieron María Teresa Muñoz Arámburu, Titular de la Unidad de Transparencia; Erik Mauricio Sánchez Medina, Director Jurídico; y Víctor Manuel De La Luz Puebla, Director de Seguridad y Organización de la Información, todos integrantes del Comité de Transparencia; así como Sergio Zambra no Herrera, Subgerente de Análisis Jurídico y Promoción de Transparencia, en su carácter de Secretario de este órgano colegiado. ------ También estuvieron presentes, como invitados de este Comité, en términos de los artículos 4o. y 31, fracció n XIV, del Reglamento Interior del Banco de México (RIBM), así como la Tercera, de las Reglas de Ope ración del Comité de Transparencia del Banco de México, publicadas en el Diario Oficial de la Federación el dos de junio de dos mil dieciséis, (Reglas), las personas que se indican en la lista de asistencia que se adjunta a la presente como "ANEXO 1", quienes también son servidores pú b Iicos de I Ba neo de México.------ Al estar presentes los integrantes mencionados, quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia manifestó que existe quórum para la celebración de la presente sesión, de conformidad con lo previsto en los artículos 43 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 64, párrafos segundo y tercero, de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); 83 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO); 4o. del RIBM; así como Quinta y Sexta de las Reglas. Por lo anterior, se procedió en los términos siguientes: ------ APROBACIÓN DEL ORDEN DEL DÍA. ------ Quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia, sometió a consideración de los integrantes presentes de ese órgano colegiado el documento que contiene el orden de I dí a. ------Este Comité de Transparencia, con fundamento en los artículos 43, párrafo segundo, 44, fracción IX, de la LGTAIP; 64, párrafo segundo; 65, fracción IX, de la LFTAIP; 83 de la LGPDPPSO; 4o. y 31, fracciones 111 y XX, del RIBM, y Quinta, de las Reglas, por unanimidad, aprobó el orden del día en los términos del documento que se adjunta a la presente como "ANEXO 2" y procedió a su desahogo, conforme a lo siguiente: ------PRIMER O. VERSIONES PÚBLICAS ELABORADAS POR QUIENES SON TITULARES DE LA DIRECCIÓN DE INFRAESTRUCTURA DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES, AMBAS DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. ------Quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia, dio lectura al oficio con fecha de veintiuno de febrero dos mil veinte, suscrito por quienes son titulares de la Dirección de Infraestructura de Tecnologías de la Información y de la Dirección de Apoyo a fPªs Operaciones, ambas del Banco de México, mismo que se agrega a la presente acta como "ANEXO 3" , por medio del cual hicieron del conocimiento de este órgano colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, c7 nf rmidad con la fundamentación y motivación señaladas en las carátulas y en las ruebas de l1- . O
"2020, AOo de L~oa v;cacio, Beoeméci daño correspondientes, respecto de los cuales se generaron las ve rsi ones públicas respectivas, y solicitaron a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones p ú b Ii ca s. ------Después de un amplio intercambio de opiniones, se determinó lo siguiente: ------ Único. El Comité de Transparencia del Banco de México, por unanimidad de sus integrantes, con fundamento en los artículos 1, 23, 43, 44, fracción 11, y 106, fracción 111, de la LGTAIP; 1, 9, 64, 65, fracción 11, y 98, fracción 111, de la LFTAIP; 31, fracción 111, del RIBM, el Sexagésimo segundo, párrafo segundo, inciso b), de los Lineamientos generales en materia de clasificación y desclasificación de la información, así co mo para la elaboración de versiones públicas, vigentes, y la Quinta de las Reglas, confirma la clasificación de la información referida y aprueba las correspondientes versiones públicas, en términos de la resolución que se agrega al apéndice de la presente acta como "ANEXO 4,, ' ------SEGUNDO. VERSIONES PÚBLICAS ELABORADAS POR QUIENES SON TITULARES DE LA DIRECCIÓN DE INFRAESTRU CTURA DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES, AMBAS DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. ------ Quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia, dio lectura al oficio con fecha de veintiuno de febrero dos mil veinte, suscrito por quienes son titulares de la Dirección de Infraestructura de Tecnologías de la Información y de la Dirección de Apoyo a las Operaciones, ambas del Banco de México, mismo que se agrega a la presente acta como "ANEXO 5", por medio del cual hicieron del conocimiento de este órgano colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, de conformidad con la fundamentación y motivación señaladas en las carátulas y en las pruebas de daño correspondientes, respecto de los cuales se generaron las versiones públicas respectivas, y solicitaron a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones p ú b I i ca s. ------Después de un amplio intercambio de opiniones, se determinó lo siguiente: ------ Único. El Comité de Transparencia del Banco de México, por unanimidad de sus integrantes, con fundamento en los artículos 1, 23, 43, 44, fracción 11, y 106, fracción 111, de la LG TAIP; 1, 9, 64, 65, fracción 11 , y 98, fracción 111, de la LFTAIP; 31, fracción 111, del RIBM, el Sexagésimo segundo, párrafo segundo, inciso b), de los Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas, vigentes, y la Quinta de las Reglas, confirma la clasificación de la información referida y aprueba las correspond ientes versiones públicas, en términos de la resolución que se agrega al apéndice de la presente acta como "ANEXO 6,, . ------TERCER O. VERSIONES PÚBLICAS ELABORADAS POR QUIEN ES TITULAR DE LA DIRECCIÓ N DE AP OYO A LAS OPERACIONES DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. ------ Quien ejerce en este acto las funciones de Secretariado del Comité de Transparencia, dio lectura al oficio de fecha veintiuno de febrero dos mil veinte, suscrito por quienes es titular de la Dirección de Apoyo a las Operaciones del Banco de México, mismo que se agrega a la presente acta como "ANEXO 7", por medio del cual hizo del conocimiento de este órgano colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, de conformidad con la fundamentación y motivación señaladas en las carátulas y en la prueba de daño correspondiente, respecto de los cuales se generaron las versiones públicas respectiv,nas / "2020, Afio d e ''°"' Vicacio, Seaeméri solicitaron a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones p ú bI i ca s. ------Después de un amplio intercambio de opiniones, se determinó lo siguiente: ------ Único. El Comité de Transparencia del Banco de México, por unanimidad de sus integrantes, con fundamento en los artículos 1, 23, 43, 44, fracción 11, y 106, fracción 111, de la LGTAIP; 1, 9, 64, 65, fracción 11, y 98, fracción 111, de la LFTAIP; 31, fracción 1.11, del RIBM, el Sexagésimo segundo, párrafo segundo, inciso b), de los Lineamientos generales en materia de cla sificación y desclasificación de la información, así como para la elaboración de versiones públicas, vigentes, y la Quinta de las Reglas, confirma la clasificación de la información referida y aprueba las correspondientes versiones públicas, en términos de la resolución que se agrega al apéndice de la presente acta como "ANEXO 8". ------Al no haber más asuntos que tratar, se dio por terminada la sesión, en la misma fecha y lugar de su celebración. La presente acta se firma por los integrantes del Comité de Transparencia que asistieron a la sesión, así como por quien en este acto ejerce las funciones de Secretariado. Conste. COMITÉ DE TRANSPARENCIA Presidenta VÍCTOR MANU A LUZ PUEBLA Integrante / SERGIO ZAMB RANO HERRERA Secretario " 2020, Año de Leona Vicario, Benemérita Madre de la Patria" "Anexo 1" BANCO m t\EXICO Jl?;1 LISTA DE ASISTENCIA SESIÓN ESPECIAL 09/2020 04 DE MARZO DE 2020 COMITÉ DE TRANSPARENCIA MARÍA TERESA MUÑOZ ARÁMBURU Directora de la Unidad de Transparencia ERIK MAURICIO SÁNCHEZ MEDINA Director Jurídico VICTOR MANUEL DE LA LUZ PUEBLA Director de Seguridad y Organización de la Información RODRIGO VILLA COLLINS Gerente de Análisis Jurídico y Promoción De Transparencia EDGAR MIGUEL SALAS ORTEGA Gerente de Instrumentación Jurídica JOSÉ RAMÓN RODRÍGUEZ MANCILLA Gerente de Organización de la Información SERGIO ZAMBRANO HERRERA Subgerente de Análisis Jurídico y Promoción de Transparencia HÉCTOR GARCÍA MONDRAGÓN Jefe de la Oficina de Análisis y Promoción de Transparencia "2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 11111 BAN(ODLt\ÉXICO INVITADOS PERMANENTES OSCAR JORGE DURÁN DÍAZ Dirección de Vinculación Institucional y Comunicación FRANCISCO CHAMÚ MORALES Director de Administración de Riesgos INVITADOS ALAN CRUZ PICHARDO Subgerente de Apoyo Jurídico a la Transparencia JONATHAN NAVARRO VILLEGAS Abogado en Jefe en la Subgerencia de Apoyo Jurídico a la Transparencia LUIS ADOLFO CASTILLO REYEROS Abogado Especialista CARLOS FERNANDO ÁNGEL AMADOR Abogado "2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 ]1~ BANCO ,. J"\E.XICO 1 RODRIGO MÉNDEZ PRECIADO Gerente de Enlace Institucional y Relaciones Públicas MIGUEL ÁNGEL NEVÁREZ MORALES Jefe de la Oficina de Enlace Institucional MARGARITA LISSETE PONCE GUARNEROS Gerente de Riesgos No Financieros CARLOS ALBERTO ARIAS VÁZQUEZ Subgerente de Seguimiento de Riesgos y Continuidad Operativa. MARTHA MARISOL CAPILLA GUTIÉRREZ Subgerente de Identificación y Evaluación de Riesgos Operativos. MARCOS PÉREZ HERNÁNDEZ Dirección de Infraestructura de Tecnologías de la Información MOISÉS RIVERO VÁZQUEZ Director de Desarrollo de Sistemas "2020, Año de Leona Vicario, Ben emérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 ]1?11 BANCO DL !'\[XICO ARTURO GARCÍA HERNÁNDEZ Gerencia de Seguridad de Tecnologías de la Información CARLOS ENRIQUE MUÑOZ HINK Subgerencia de Coordinación de la Información ALFONSO ROSENBERG GONZÁLEZ Oficina de Administración de las Páginas en Red BLANCA YAZEL JIMÉNEZ HERNÁNDEZ Oficina de Administración del Archivo de Concentración y Organización de Archivos ALICIA ADRIANA AVALA ROMERO Subgerencia de Planeación y Regulación RICARDO ALFREDO GONZÁLEZ FRAGOSO Líder de Especialidad ALFREDO CALLEJAS CHAVERO Líder de Especialidad "2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 Jl?Ji BANCO DL M[XICO JOAQUÍN RODRIGO CANO JAUREGUI SEGURA MILLAN Director de Apoyo a las Operaciones CLAUDIA TAPIA RANGEL Especialista Investigadora MARTÍN CAMPOS FERNÁNDEZ Analista de Información DANIEL EULALIO TRINIDAD VÁZQUEZ Jefe de la Oficina de Servicios Administrativos GUILLERMO JIMÉNEZ GÓMEZ Analista Administrativo MIL TON ADRIAN GONZÁLEZ PONCE Analista Administrativo TZOALLI DANIELA PÉREZ TEJADA ROJAS Analista de Información "2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 BANCOmJ'\ÉXICO Jl?;1 ADRIANA CAL Y MAYOR MOGUEL Analista de información GUILLERMO ALBERTO MEDINA TOLENTINO Analista de Información MIGUEL DORAS FUENTES Analista de Información " 2020, Año de Leona Vicario, Benemérita Madre de la Patria" SESIÓN ESPECIAL 09/2020 "Anexo 2" }11 BAN(OocJ'iÉXICO COMITÉ DE TRANSPARENCIA ORDEN DEL DÍA Sesión Especial 09/2020 04 de marzo de 2020 PRIMERO. VERSIONES PÚBLICAS ELABORADAS POR QUIENES SON TITULARES DE LA DIRECCIÓN DE INFRAESTRUCTURA DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES, AMBAS DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. SEGUNDO. VERSIONES PÚBLICAS ELABORADAS POR QUIENES SON TITULARES DE LA DIRECCIÓN DE INFRAESTRUCTURA DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES, AMBAS DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. TERCERO. VERSIONES PÚBLICAS ELABORADAS POR QUIEN ES TITULAR DE LA DIRECCIÓN DE APOYO A LAS OPERACIONES DEL BANCO DE MÉXICO, PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE TRANSPARENCIA PREVISTAS EN EL ARTÍCULO 70 DE LA LGTAIP. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" BANCOctf·\tX!CO "Anexo 3" RECIBIDO JI?\ BAN(Oocf'\[XJCO 2 8 FEB ~:] Comltf dP. Tran~parencia Ciudad de México, a 21 de febrero de 2020 COMITÉ DE TRANSPARENCIA DEL BANCO DE MÉXICO P res e n te. Nos referimos a la obligación prevista en el artículo 60 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP), en el sentido de poner a disposición de los particulares la información a que se refiere el Título Quinto de dicho ordenamiento (obligaciones de transparencia) en el sitio de internet de este Banco Central y a través de la Plataforma Nacional de Transparencia. Al respecto, en relación con las referidas obligaciones de transparencia, me permito informarles que estas unidades administrativas, de conformidad con los artículos 100, y 106, fracción 111, de la Ley General de Transparencia y Acceso a la Información Pública, así como 97 de la Ley Federal de Transparencia y Acceso a la Información Pública, y el Quincuagésimo sexto de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes, han determinado clasificar diversa información contenida en los documentos que se indican más adelante, incluyendo los metadatos que se deriven de los documentos señalados, de conformidad con la fundamentación y motivación señaladas en las carátulas y en las pruebas de daño correspondientes. En consecuencia, estas áreas han generado las versiones públicas respectivas, junto con las carátulas que las distinguen e indican los datos concretos que han sido clasificados, al igual que los motivos y fundamentos respectivos. Asimismo, se han elaborado las correspondientes pruebas de daño, que se adjuntan al presente. Para facilitar su identificación, en el siguiente cuadro encontrarán el detalle del título de los documentos clasificados, los cuales coinciden con los que aparecen en las carátulas que debidamente firmadas se acompañan al presente. TÍTULO DEL DOCUMENTO CLASIFICADO CARÁTULA NÚMERO PRUEBA DE DAÑO DE ANEXO NÚMERO DE ANEXO - Autorización para adjudicar a Faro Soluciones 1 2y3 en Tecnología, S. A. de C. V identificado con el ID 19-1073 Contrato No. 0000024404 4 2 - Dictamen de marca con referencia Ref: Y30-84- 5 2y3 2019 - Alcance al dictamen de marca con referencia 6 2 Ref:Y30-84-2019 "2020, Año de Leona Vicario, Benemérita Madre de la Patria " Página 1 de 2 }Bi BAN(QoEi'\[XICO Por lo expuesto, en términos de los artículos 44, fracción 11, de la Ley General de Transparencia y Acceso a la Información Pública; 65, fracción 11, de la Ley Federal de Transparencia y Acceso a la Información Pública; y 31, fracción 111, del Reglamento Interior del Banco de México; así como Quincuagésimo sexto, y Sexagésimo segundo, párrafos primero y segundo, inciso b), de los Lineamientos, atentamente solicitamos a ese Comité de Transparencia confirmar la clasificación de la información realizada por estas unidades administrativas, y aprobar las versiones públicas señaladas en el cuadro precedente. Asimismo, de conformidad con el Décimo de los señalados "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", informo que el personal que por la naturaleza de sus atribuciones tiene acceso al referido documento clasificado, es el adscrito a: Por parte de la Dirección de Apoyo a las Operaciones: • Gerencia de Desarrollo de Sistemas Operativos (Gerente) • Subgerencia de Servicios de Computo (Subgerente) Por parte de Dirección de General de Tecnologías de Información • Gerencia de Cómputo (Gerente) • Subgerencia de Desarrollo de Servicios de Cómputo (Todo el personal) • Subgerencia de Planeación y Regulación (Todo el personal) Por parte de La Dirección de Recursos Materiales • Gerencia de Abastecimiento de Tecnologías de la Información Inmuebles y Generales (Todo el personal). • Gerencia de Abastecimiento a Emisión y Recursos Humanos (Todo el personal). • Gerencia de Soporte Legal y Mejora Continua de Recursos Materiales (Todo el personal). Atentamente, Director de Apoyo a las Operaciones ~ MARCOS P_,É_R....,,E .-f-.....- Director de Infraestructura de T Página2 de 2 Jl?,i BAN(Oorf'\txICO CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSIÓN PÚBLICA l. Área titular que clasifica la información. Dirección de Infraestructura de Tecnologías de la Información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora Autorización para adjudicar a Faro Soluciones en Tecnología, S. A. de la versión pública. C. V identificado con el ID 19-1073 Director de Infraestructura de Tecn 111. Firma del titular del área y de quien clasifica. JOAQUÍN Director de Apoyo a las Operaciones IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. Página 1 de 2 BANCOocf'\txICO ]1~1 PARTES O SECCIONES CLASIFICADAS COMO INFORM ACIÓN RES ERVADA Información Ref. Pág. Fundamento Legal Motivación testada Al 2, 3 y 5 Información Conforme a la prueba de daño que se adjunta titulada Conforme a la prueba de daño que se adjunta relacionada con las "especificaciones de la infraestructura de tecnologías de la titulada "especificaciones de la infraestructura de especificaciones de la información y comunicaciones del Banco de México" tecnologías de la información y comunicaciones del infraestructura de Banco de México" tecnologías de la información y comunicaciones del Banco de México 1.1 1-6, 8-14 Información de la Conforme a la prueba de daño que se adjunta titulada Con forme a la prueba de daño que se adjunta contratación de las "Información de la contratación de las tecnologías de titulada "Información de la contratación de las tecnologías de información que directa o indirectamente soportan las tecnologías de información que directa o información que operaciones monetarias, cambiarias y de agente financiero indirectamente soportan las operac nes directa o que realiza el Banco de México por cuenta propia y a nombre monetarias, cambiarías y de agente financi o que indirectamente del gobierno federal." realiza el Banco de México por cuenta pr. pla y a soportan las nombre del gobierno federal." operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. / Página 2 de 2 Jl~.1. BANCOrn°/'\ÉXICO CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y dese/osificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSIÓN PÚBLICA l. Área titular que clasifica la información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora la versión pública. Contrato No. 0000024404 111. Firma del titular del área y de quien clasifica. 2-L--~/ JOAQUÍN~ RIGO ~ O JAUREGUI SEGURA MILLAN Director de poyo a las Operaciones IV. Fecha y número del acta de la sesión del Co mité donde se aprobó la versión pública. La PflSfflll~púlllrafuellll'Obadl en II NSldll delComké de T~~ycw;,,\ ·,~rada el di K)(KZO ·~ -delCamilideT~ "'8lo l.lmbtano llenera. Seaetatio del OlndMa'll'lnspa,enda c1e1111nc1o • ...... • HQrGarclaMondngdn."-lodel ~ Comlllfde~adel8ancoddlalco ==- Página 1 de 2 ])~ BANCOocf'\ÉXICO 1 PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada 1.1 20,21,23, Información de la Conforme a la prueba de daño que se adjunta. Conforme a la prueba de daño que se adjunta. 24,26,31, contratación de las 32 tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. Página 2 de 2 l Jl~i BANCO oc l'iÉXICO CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo seg undo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y desc/asificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSIÓN PÚBLICA l. Área titular que clasifica la información. Dirección de Infraestructura de Tecnologías de la Información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora la versión pública. Dictamen de marca con referencia Ref: Y30-84-2019 111. Firma del titular del área y de quien clasifica. IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. u piese11te ve1516npúbllca fut aprablda en la'seslón del Comité de Traqsparencla"éSyR4 0,\ ", IIÚIMIII refuM Clleblada e1A,_c1e w:(\{70 de~ Secrataria del Comité de Tra~p 5el'glo lM!lbrano Htltera, SecNtario del Cllllltflle'l'laasp;wndl dtl Bina> de...... INcta,Glrd;iMondllgón,...__... Olfflllfdehisparendaclll8-dlM""8 Página l de 2 ]11 BAN(Qo,f'\ÉXICO PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada Al l, 2 y 8 Información Conforme a la prueba de daño que se adjunta titulada Conforme a la prueba de daño que se adjunta relacionada con las "especificaciones de la infraestructura de tecnologías de la titulada "especificaciones de la infraestructura de especificaciones de la información y comunicaciones del Banco de México" tecnologías de la información y comunicaciones del infraestructura de Banco de México" tecnologías de la información y comunicaciones del Banco de México 1.1 1-8 Información de la Conforme a la prueba de daño que se adjunta titulada Conforme a la prueba de daño que se adjunta contratación de las "Información de la contratación de las tecnologías de titulada "Información de la contratación de las tecnologías de información que directa o indirectamente soportan las tecnologías de información que directa o información que operaciones monetarias, cambiarías y de agente financiero indirectamente soportan las operaciones directa o que realiza el Banco de México por cuenta propia y a nombre monetarias, camb iarías y de agente financiero que indirectamente del gobierno federal." realiza el Banco de M · · o por cuenta propia y a soportan las nombre del gobier federal." operaciones monetarias, cambiarías y de agente financie ro que realiza el Banco de México por cuenta propia y a nombre del go bie rn o federal. / Página 2 de 2 \ BAN(Qocf'\txICO }1~1 CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo seg undo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" , vigentes (Lineamientos). VERSI ÓN PÚBLICA l. Área t itular que clasifica la información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora la versión pública. Alcance al dictamen de marca con referencia Ref:Y30-84-2019 111. Firma del titular del área y de quien clasifica. IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. 1a...-venl6npúblkafue aprallldl 1111111516nclll ~ de '-,.111CL1"b e;;;ua\ •,IIÚIIWO~ •A.• b0m2-0 ·~ Secretarla dtl Comiti de Trans Sll¡lo Zal!IMIIO Htrre,a, Seffltarlo del Conlllf• 11aa11•1!11Cfadel 111nco• Múlclo. '---ij,11,C:i,L---' Página 1 de 2 BANCQo,f'\ÉXICO ]1~1 PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada 1.1 ly2 Información de la Conforme a la prueba de daño que se adjunta. Con forme a la prueba de daño que se adjunta. contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. Página 2 de 2 }11 BAN(Qot/"\Í_XJCO PRUEBA DE DAÑO Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. En términos de lo dispuesto en los artículos 61 apartado A, sexto párrafo, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 113, fracción IV, de la ley General de Transparencia y Acceso a la Información Pública, 110, fracción IV, de la ley Federal de Transparencia y Acceso a la Información Pública; así como, con el lineamiento Vigésimo segundo, fracciones I y 111, de los "lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" (lineamentos) vigentes, podrá clasificarse como información reservada aquella cuya divulgación pueda menoscabar la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiaría o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien, otorgue una ventaja indebida, generando distorsiones en la estabilidad de los mercados, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, por lo que la Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, se clasifica como reservada, en virtud de lo siguiente: La divulgación de la citada información representa un riesgo de perjuicio significativo al interés público, ya que revelar información referente al software que soporta la implementación de las operaciones monetarias, cambiarías y de agente financiero que este Instituto central lleva a cabo por cuenta propia o a nombre del gobierno federal, pone en riesgo de destrucción, inhabilitación o sabotaje, infraestructura de tal importancia para la economía mexicana que su destrucción o incapacidad tendría un impacto negativo en la efectividad de las medidas adoptadas en los sistemas financiero, económico, cambiaría o monetaria del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal; toda vez que dicho riesgo es: 1. Real, en razón de que revelar o divulgar la ínformoción de lo contratación de los tecnologías de información que directo o indirectamente soportan las operaciones monetarios, cambiarías y de agente financiero que realiza el Banco de Méxíco por cuenta propio y a nombre del gobierno federal, tales como las especificaciones técnicas, los nombres de proveedores, el domicilio de los proveedores, entre otros, facilita a una persona o grupo de personas con intenciones delincuenciales identificar - de manera directa o a través de técnicas de ingeniería social aplicada a los proveedores - información relacionada con la infraestructura informática que soporta las operaciones cambiarias, monetaria y de agente financiero que realiza la banca central, lo cual posibilita la ejecución de acciones hostiles en contra de las tecnologías de la información de este Instituto Central, así como de las infraestructuras que éste administra, opera y supervisa, lo cual, podría menoscabar la efectividad de las mismas a tal grado, que su destrucción o inhabilitación afectaría Página 1 de 22 JF1i BAN(Qotl"\ÉXICO seriamente la efectivídad de las medidas implementadas en los sistemas financiero, económico y cambiario del país, arriesgando el funcionamiento de dichos sistemas y, en consecuencia, de la economía nacional en su conjunto. Al respecto, debe tenerse presente que los artículos 2o. y 3o. de la Ley del Banco de México, señalan las finalidades y funciones del Banco Central de la Nación, entre las que se encuentran, el objetivo prioritario de procurar la estabilidad del poder adquisitivo de la moneda nacional, promover el sano desarrollo del sistema financíero, propiciar el buen funcionamiento de los sistemas de pagos, así como el desempeño de las funciones de regular los cambios, la intermediación y los servicios financieros, así como los sistemas de pagos; operar con las ínstitucíones de crédito como banco de reserva y acreditante de última instancia; prestar servicios de tesorería al Gobierno Federal y actuar como agente financiero del mismo, las cuales comprenden sus funciones de banca central. Las anteriores son finalidades y funciones que dependen en gran medida de la correcta operación de las tecnologías de la información y comunicaciones que el Banco de México ha instrumentado para estos propósitos, mediante el procesamiento de la información que apoya en la ejecución de dichos procesos. Cabe señalar que las Tecnologías de Información que utiliza y contrata el Banco de México, como son los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, son adquírídos, desarrollados o destinados para atender, entre otras, la 1 implementación de las políticas en materia monetaria y, cambiaria , y para atender las funciones de agente financiero del gobierno federal. Por tal motivo, divulgar información relacionada con las especificaciones técnicas, nombres de proveedores, funcionamiento, normatividad interna, o configuraciones de dichos sistemas, puede propiciar su inhabilitación y en un extremo escenario, podría perturbar considerablemente al sistema financiero por su efecto directo en la información y operaciones relativas a la implementación de las políticas monetarias, cambiarías y de agente financiero que realiza Banco de México. Los riesgos aludídos tienen mayor probabilidad de materíalizarse con la entrega de la información, debido a que los delincuentes podrían diseñar estrategias para llevar a cabo ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. Dichos ataques focalízados podrían tener mayor probabilidad de éxito debido a que los delincuentes tendrían la posibilídad de dedicar todos sus recursos a ataques concretos identificados con base en la información en cuestión. Por lo anterior, exponer a los participantes del sístema financiero; así como al Banco Central que las administra, opera y supervísa, a estos ríesgos cibernéticos puede perturbar considerablemente al sistema financiero por su efecto directo en la información y en las 1 Las políticas en materia cambiaría son decisión de la Comisión de Cambios. Página 2 de 22 operaciones a través de las cuales se implementan las políticas monetaria y cambiaria y las funciones de agente financiero. Un ataque cibernético a los sistemas que soportan las operaciones de regulación monetaria, cambiaria y de agente financiero del gobierno federal, puede provocar la sustracción, interrupción o alteración de la información que se recibe, se procesa y se resguarda en relación a, por ejemplo, las asignaciones de las subastas que el Instituto central lleva a cabo con propósitos de regulación monetaria, regulación cambiaria o de agente financiero del gobierno federal, así como las operaciones cambiarías que realiza como agente financiero del gobierno federal o en la administración de la reserva internacional. Una liquidación errónea derivada de una alteración en los sistemas que generan las órdenes de cobro o pago de las operaciones antes mencionadas puede derivar en un incumplimiento involuntario de las obligaciones del Banco Central o del gobierno federal con el consecuente pago de penas, incremento en el costo de operaciones y daño en la confianza y reputación de éstas instituciones. De forma similar, la interrupción o imposibilidad de ejecutar las subastas monetarias, cambiarías y de agente financiero que realiza el Banco Central, generaría desconfianza, nerviosismo y especulación en el sistema financiero sobre la capacidad del Banco para operar en los mercados financieros, originando presiones sobre las tasas de interés y sobre el tipo de cambio y afectando por ende, el cumplimiento del objetivo prioritario del Banco que es la estabilidad del poder adquisitivo de la moneda nacional. La realización de hechos como los previamente narrados podría traducirse en un menor interés por parte de los intermediarios financieros en participar en las subastas con propósitos de regulación monetaria, cambia ria y de agente financiero del gobierno federal, comprometiendo la implementación de la política monetaria y por ende la consecución del objetivo prioritario de procura la estabilidad de precios del Banco. De igual forma comprometerían la implementación de la política cambiaria establecida por la Comisión de Cambios con el consecuente deterioro del mercado de cambios local y por ende del sistema financiero del país; e incrementarían el costo de las operaciones del gobierno federal que, al verse imposibilitado de conseguir financiamiento a través de las subastas primarias de valores gubernamentales, tendría que buscar otros medios de financiamiento a mayores costos. En efecto, proporcionar la información materia de la presente prueba de daño, facilitaría que terceros logren acceder a información financiera o personal, modifiquen los datos que se procesan o resguardan en ellas o, incluso, dejen fuera de operación a dichas tecnologías. Es de suma importancia destacar que los ataques a las tecnologías de la información y de comunicaciones, son uno de los principales y más importantes instrumentos utilizados en el ámbito mundial para ingresar sin autorización a computadoras, aplicaciones, redes de comunicación, y diversos sistemas informáticos, con la finalidad de causar daños, obtener información o realizar operaciones ilícitas. Estos ataques se fundamentan en descubrir y aprovechar vulnerabilidades de dichos sistemas, basando cada descubrimiento en el análisis y estudio de la información de las especificaciones técnicas de diseño y construcción, seguridad informática, especificaciones técnicas en materia de seguridad, procesos de Página 3 de 22 ]11 BANC0°•!"\ÉXICO continuidad operativa y, en general, información relacionada con los sistemas correspondientes e infraestructura informática. Otra característica de este tipo de ataques, es la propia evolución de los equipos y sistemas, pues con cada actualización, nueva versión que se genera, o nuevo componente que se instale, se abre la oportunidad a la aparición de vulnerabilidades y, por ende, a nuevas posibilidades de ataque. Por ejemplo, en la actualidad, es común que en materia de sistemas de información se empleen herramientas con licencia de uso libre {p.e. librerías de manejo de memoria, traductores entre distintos formatos electrónicos, librerías para despliegue de gráficos, etc.), y que el proveedor publique las vulnerabilidades detectadas en ellas; contando con esta información y con las especificaciones técnicas de la aplicación o herramienta tecnológica que se quiere vulnerar, aquellos individuos con propósitos delincuenciales pueden elaborar un ataque cuya vigencia será el tiempo que tarde en corregirse la vulnerabilidad y aplicarse la actualización respectiva. Está documentado en la literatura especializada en la materia que los principales elementos de información que requiere conocer un cibercriminal son: la arquitectura de los sistemas, sus especificaciones técnicas, horarios de operación, funcionalidad general, protocolos de comunicación, aspectos de seguridad informática instrumentados, entre otros, para descubrir y aprovechar los puntos débiles que pudieran existir en estos elementos y atacar a los sistemas. 2 En el caso en concreto, la información materia de esta prueba de daño contiene detalles sobre los formatos y códigos necesarios para la realización de pagos y liquidaciones, nombres de proveedores, especificaciones respecto de los servicios prestados, entre otros, por lo que su divulgación proporcionaría elementos de información que facilitarían a los cibercriminales aprovechar los puntos débiles de las infraestructuras que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, y en consecuencia llevar a cabo ataques informáticos más certeros con la finalidad de causar daños o disrupción de servicios, obtener información, o realizar operaciones ilícitas como fraudes a través de éstas infraestructuras. 2. Demostrable, ya que es un hecho notorio que los sistemas de los Bancos Centrales han sufrido ataques cibernéticos a través de estas infraestructuras, como SWIFT, la cual ha sido utilizada para realizar robos de capital, uno de estos casos es el del Banco Central de Bangladesh, que sufrió un robo de 81 millones de dólares. O como el caso del Banco del Austro en Ecuador, en el que los atacantes utilizaron un método muy similar al de Bangladesh, para robar 12 millones de dólares. Respecto de lo anterior, a la fecha SWIFT continúa siendo objeto de ataques por diferentes grupos de delincuentes informáticos, y expertos en seguridad informática consideran que este tipo de actividades es susceptible de expandirse a otros servicios y sistemas financieros. Asimismo, los sistemas de empresas Wilshusen, G. C., & Powner, D. A. (2009). Cybersecurity: Continued efforts are needed to protect information systems from evolving threats (No. GA0-10-230T). GOVERNMENT ACCOUNTABILITY OFFICE WASHINGTON DC. Página 4 de 22 BANCO oc l'\ÉXICO }1~1 como Google, Facebook, PayPal y el New York Times se han visto comprometidos por ataques cibernéticos. las investigaciones realizadas señalan que estos ataques han sido orquestados por organizaciones criminales internacionales con herramientas y técnicas sofisticadas que, además de dañar la reputación de las instituciones afectadas, han generado cuantiosas pérdidas económicas. Esta serie de ataques se encuentra en una fase avanzada, que comenzó con ensayos desde 2017 y que ha logrado la consecución de sus objetivos en algunos casos. En todos ellos, la detección de vulnerabilidades a nivel aplicativo y sistema operativo son elementos en común, por lo cual es totalmente demostrable que el entregar información precisamente sobre las vulnerabilidades de los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, permitiría a los delincuentes o grupos delictivos el llevar a cabo más ciberataques que pudieran dañar de forma más severa las plataformas a través de las cuales se instrumentan las políticas monetaria y cambia ria, y las actividades de agente financiero del gobierno federal. Para demostrar lo anterior, se citan algunos de los ataques más relevantes: i) El ataque de tipo "Watering hole" en Polonia, que permitió utilizar un servidor de la Autoridad de Supervisión Financiera para distribuir código malicioso a más de 20 bancos polacos3, el cual se presentó en diversos países incluyendo México, en donde la Comisión Nacional Bancaria y de Valores resultó afectada;4 ii) El ataque del ransomware de WannaCry, que aprovechó una vulnerabilidad inherente de Microsoft Windows, para cifrar la información contenida en las máquinas y exigir el pago de un "rescate" para devolver el contenido a su forma original, el cual interrumpió significativamente la operación rutinaria de varias instituciones comerciales y gubernamentales, incluidas Fedex, Deutsche Bahn, Megafon, Telefónica, el Banco Central de Rusia, Ferrocarriles de Rusia y el Ministerio del Interior de Rusia;5 iii} la alerta mencionada por la National Emergency Number Association en coordinación con el FBI, sobre la posibilidad de ataques de negación de servicios telefónicos conocidos como TDoS (Telephony denial of service, por sus siglas en inglés) a entidades del sector público; iv} El ataque que se perpetuo a BANCOMEXT el 9 de enero de 2018 a través de una afectación en su plataforma de pagos internacionales provocada por un tercero. Dicho Badcyber, Author. "Severa! Polish Banks Hacked, lnformatíon Stolen by Unknown Attackers." BadCyber, 9 de febrero de 2017, http://badcyber.com/several-polísh-banks-hacked-information-stolen-by-unknown-attackers/ consultado el 24 de septiembre de 2019. 4 BAE Systems Applied lntelligence. "BAE Systems Threat Research Blog." Laza rus & Wateríng-Hole Attacks, 12 de febrero de 2017. http://baesystemsaí.blogspot.mx/2017/02/lazarus-watering-hole-attacks.html consultado el 24 de septiembre de 2019. Mattei, T. A. (2017). Privacy, Confidentiality, and Security of Health Care lnformation: Lessons from the Recent WannaCry Cyberattack. World Neurosurgery, 104, 972-974. Página 5 de 22 Jl?ji BAN(ODEr\txICO ataque es similar a intromisiones ocurridas en otras instituciones en México y América Latina; 6 v) El ataque ocurrido a las instituciones financieras participantes del SPEI, el cual consistió en la alteración de sus aplicativos para conectarse a esta IMF, mediante código malicioso, el cual distribuyó dinero desde las cuentas concentradoras de los participantes a cuentas de usuarios específicas, los cuales fueron utilizados como 11 mulas" para la extracción del dínero.7 A la fecha de elaboración de la presente prueba de daño, se estima un daño a los participantes del SPEI de aproximadamente 300 millones de pesos. 8 El ataque producido a las plataformas que son usadas por proveedores externos en algunos bancos en México, en relación con el SPEI, ha sido catalogado como similar al que ocurrió con el sistema de pagos internacional S.W.I.F.T. en Rusia. vi) La filtración a través de redes sociales de la base de datos de tarjetas de los clientes del Banco de Chile dada a conocer por el grupo de hackers llamado "TheShadowBrokers". vii) La introducción a la red interna de Pemex de un ransomeware el pasado 10 de noviembre, que forzó a la compañía a apagar equipos de cómputo de sus empleados en todo el país, inhabilitando, entre otros, el sistema de pagos de la empresa.9 En particular, respecto del sistema financiero mexicano, los ataques han sido focalizados a las tecnologías de la información de las instituciones pertenecientes al mismo y se han incrementado en 2019, destacando nueve principales eventos con una afectación total de 784.7 millones de pesos. Estos ataques aprovecharon vulnerabilidades en infraestructura de cajeros automáticos, banca de inversión, banca móvil, un corresponsal y un enlace con el procesador. Estos ataques son de gran importancia, puesto que representan un riesgo sistémico para la economía mexicana.10 Dicha situación demuestra la realidad e identificación del riesgo que representan los ataques cibernéticos en el sistema financiero mexicano, por lo que los programas que utiliza el Banco de México para interactuar con el 5 BANCOMEXT. "Acción oportuna de BANCOMEXT salvaguarda intereses de dientes y la institución". 10 de enero de 2018. http://www.bancomext.com/comunicados/18443, consultado el 24 de septiembre de 2019. 8 Acorde con los "Puntos importantes sobre la situación actual del SPEI" publicados en la página de internet del Banco de México, 22 de mayo 2018 htt¡:¡://www.banxíco.org.mx¿inicíofbanner/informacion-importante-sobre-la-situacion• =~~~==="'-'-""'-=-'~=""'--'=""'-'="-"'-~'-"'.!..="'-'-'=,,_,.consultados el 24 de septiembre de 2019. 9 Excélsior, Hackers piden cinco millones de dólares a Pemex en ciberataque, 12 de noviembre de 2019. https://www.excelsior.com.mx/nacional/hackers-piden-cinco-m i llones-de-901ares-a-pemex-en-ciberatague/134 73 7 7 con su Ita do el 14 de noviembre de 2019. 10 Morales, Yolanda, 'Ataques cibernéticos generaron afectaciones por 784 millones de pesos', El Economista, 4 de diciembre de 2019, en https ://www. el economista. co m. mx/secto rfi na ncie ro/A tag ues-cibe rn eticos-ge nera ron-afectaciones-por- 784-m i llon es-de-pesos- 20191204-0141.htm l, consultado el 9 de diciembre de 2019. Página 6 de 22 JI?\ BAN(QoEJ'\ÉXJ(O mismo están en alto riesgo de ataques y deben reservarse los datos que, de difundirse, pudieran actualizar una vulneración. Al respecto, uno de los modus operandi de los ciberataques es precisamente a través de la obtención de información pública, información fácilmente accesible o información inaccesible, lo cual puede ocurrir mediante solicitudes de acceso a la información, o bien, a través de las organizaciones que operan o tienen acceso a los sistemas, en complicidad o no, con el único objeto de conocer las vulnerabilidades de las instituciones, empresas, sistemas e infraestructura de tecnologías de la información.11 Por otro lado, es de destacar que los cibercriminales han utilizado técnicas de ingeniería social para obtener información y con ello acceder o vulnerar incluso los sistemas más seguros. Una de las formas más comunes de vulnerar los sistemas es mediante la obtención de información a través de diversas fuentes y mecanismos que les permita diseñar ataques informáticos encaminados a ingresar sin autorización a computadoras, sistemas, aplicaciones, y redes de comunicación, entre otros elementos, con la finalidad de causar daños o disrupción de servicios, obtener información, o realizar operaciones ilícitas como fraudes. Las corporaciones multinacionales y las agencias de noticias han sido víctimas de sofisticados ataques dirigidos contra sus sistemas de información derivado de la aplicación de técnicas de ingeniería social. 12 Por lo anterior, los estándares de seguridad y las mejores prácticas en materia de seguridad informática y comunicaciones, recomiendan abstenerse de proporcionar especificaciones de componentes, arquitectura o configuración de los programas o dispositivos a personas cuyo rol no esté autorizado,13 en el entendido de que dicha información, al estar en posesión de personas no autorizadas, puede facilitar que se realice un ataque exitoso contra la infraestructura tecnológica del Banco Central de la Nación, impidiéndole cumplir sus funciones establecidas en la Ley del Banco de México, así como aquello que le fue conferido por mandato constitucional. Sea cual fuere el origen o motivación del ataque contra las tecnologías de la información y de comunicaciones administradas por el Banco Central, éste puede conducir al 11 El Financiero, El sistema financiero mexicano fue víctima de una campaña de ciberataques, 15 de mayo de 2018. https://www.eleconomista.com.mx/sectorfinanciero/El-sistema-financiero-mexicano-fue-victima-de-una-campana· de-ciberatagues-20180515·0097.html consultado el°24 de septiembre de 2019. 12 Granger, S. (2001). Social engineering fundamenta Is, part 1: hacker tactics. Security Focus, 18 de diciembre de 2001. https:ljwww.symantec.com/connect/articles/social·engineering-fundamentals-part+hacker-tactics consultado el 24 de septiembre de 2019. 13 Ver por ejemplo las 10 medidas básicas de ciberseguridad de la Security lnformation Center, en particular la relacionada con "Implementar un programa de capacitación en seguridad cibernética para empleados" en donde recomiendan sensibilizar sobre los temas de ingeniería social que buscan obtener información mediante diversos canales de comunicación solicitando información sensible. https:ljwww.waterisac.org/sites/default/files/publíc/10 Basic Cybersecurity Measures- WaterlSAC June2015 O.pdf consultado el 24 de septiembre de 2019. Página 7 de 22 BAN(Ooc!'itxICO Jl?;1 incumplimiento de su objetivo prioritario y de sus obligaciones hacia los participantes del sistema financiero y/o provocar que a su vez, estos no puedan cumplir con sus propias obligaciones, y en consecuencia, generar un colapso del sistema financiero nacional, lo que iría en contravención a lo establecido en el artículo 2o. de la Ley del Banco de México. 3. Identificable, puesto que el Banco de México se encuentra permanentemente expuesto a ataques provenientes de internet (o del ciberespacio) que, en su mayoría, pretenden penetrar sus defensas tecnológicas o inutilizar su infraestructura, tal y como queda identificado en los registros y controles tecnológicos de seguridad de la Institución, encargados de detener estos ataques. Sin perjuicio de lo anterior, se puede mencionar que durante 2018, se registraron un promedio de 700 intentos de ataque al mes, llegando a presentarse hasta 1500 intentos de ataque en un único mes. Si bien dichos ataques no han logrado irrumpir en los sistemas del Banco de México, resulta claramente identificable que el objeto final de dichos ataques son los sistemas que soportan las operaciones del Banco de México, entre ellas las que realiza con propósitos de regulación monetaria y cambiaría, y como agente financiero del gobierno federal, cuya seguridad depende de la reserva de la información materia de la presente prueba de daño. Lo anterior no es ajeno a la banca mundial, la cual es continuamente asediada por grupos denominados "hacktivistas", como ocurrió en junio de 2017, donde se pretendía inutilizar los sitios Web de los bancos centrales: "Anonymous anuncia 07 de junio como inicio de operación #Oplcarus 2017, cuyo objetivo son bancos centrales del mundo y otras instituciones financieras como la Reserva Federal y el Fondo Monetario Internacional en Estados Unidos. La operación iniciará mañana 07 de junio y tendrá una duración de 14 días, como protesta por las decisiones de los gobiernos de todo el mundo que no cumplen con las necesidades de la población.,, Adicionalmente, si bien las afectaciones a la infraestructura de las tecnologías de la información y de comunicaciones pueden también deberse a riesgos inherentes a las mismas, es importante considerar que cuando estas afectaciones han ocurrido en el Banco de México, se ha generado alerta y preocupación de forma inmediata entre los participantes del sistema financiero; por lo que de presentarse afectaciones derivadas de ataques orquestados a partir de información de especificaciones o configuraciones de estas tecnologías, entregada por el propio Banco Central, se corre el riesgo de disminuir la confianza depositada en este Instituto con el consecuente impacto en las políticas que implementa el Banco y por ende en la economía, con lo que esto conlleva. En ese sentido, un ataque informático derivado de proporcionar información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, podría resultar en la afectación y alteración de las asignaciones de las subastas que este instituto lleva a cabo con propósitos de regulación monetaria, cambiaría y de agente financiero del Gobierno Federal. A su vez estas afectaciones podrían, en caso de alterar las asignaciones de las Página 8 de 22 Jl~i BANC0°tl'\ÉXICO subastas, menoscabar el efecto de las medidas adoptadas en las políticas monetaria, cambiaría y del sistema financiero del país; y en las órdenes de transferencia de fondos, podrían derivar en una pérdida de patrimonio no sólo para las instituciones financieras del país sino del propio banco central o el mismo gobierno federal. El riesgo de perjuicio que supondría la divulgación de la información materia de esta prueba de daño, supera el interés público general de que se difunda, pues el interés público se centra en que no se comprometa la efectividad en las medidas implementadas en los sistemas monetario, cambiario, financiero y económico, que propician el buen funcionamiento de esos sistemas y de la economía nacional en su conjunto por lo que, la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, no satisface un interés público, por el contrario, es información que pone en riesgo la efectividad de las medias adoptadas en los sistemas monetario, cambiario, del sistema financiero y de la economía nacional en su conjunto. Asimismo al realizar una interpretación sobre la alternativa que más satisface dicho interés, se puede concluir que debe prevalecer el derecho más favorable a las personas, esto es, beneficiar el interés de la sociedad, el cual se obtiene por el cumplimiento ininterrumpido de las funciones del Banco de México. En consecuencia, proporcionar la información en cuestión, no aporta un beneficio mayor a la transparencia y rendición de cuentas que sea comparable con el perjuicio que implicaría el hecho de divulgarla, esto es, que permita planear y perpetrar ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal y a la infraestructura relacionada con estos, los cuales tengan como resultado la creación de mecanismos que faciliten el acceso indebido, la substracción de información - como datos personales referente a sus usuarios y las operaciones que realizan-, la alteración de resultados de las subastas que realiza este instituto y de las órdenes de transferencia entre las cuentas bancarias de los participantes o la disrupción en éstos. En este sentido, el riesgo de perjuicio antes señalado supera claramente el interés general de que se difunda la información. Por otra parte, la limitación se adecua al principio de proporcionalidad, toda vez que debe prevalecer el interés que más beneficie a la colectividad, y como se ha dicho, proteger la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal evitará poner en riesgo la efectividad de las medidas en materia monetaria y cambiaría, del sistema financiero y de la economía nacional en su conjunto. Asimismo, reservar la información en cuestión representa el medio menos restrictivo disponible para evitar el perjuicio, en aras salvaguardar la efectividad de las medidas adoptadas en materia cambia ria, así como la estabilidad del sistema financiero, puesto que el propio legislador determinó Página 9 de 22 BANC0°•J'\ÉXICO jl?,1 que el medio menos restrictivo es la clasificación de la información cuando actualice las causales prevista en la Ley, tal y como se demostró en el presente caso. Por otra parte, se hace referencia a lo establecido en el artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública {LGTAIP), así como en la parte conducente de la Ley Federal de Transparencia y Acceso a la Información Pública {LFTAIP), donde se contempla que los sujetos obligados, entre los cuales se encuentra el Banco de México, deberán poner a disposición del público y mantener actualizada diversa información, de acuerdo con sus facultades, atribuciones, funciones u objeto social, según corresponda, en los respectivos medios electrónicos, por lo menos, de los temas, documentos y políticas señalados en las fracciones I a XLVIII, de dicho artículo. Cabe destacar que con la finalidad de establecer la forma en que los sujetos obligadas deben dar cumplimiento al citado artículo 70 de la LGTAIP, el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI), publicó en el Diaria Oficial de la Federación de fecha 4 de mayo de 2016, el "Acuerdo del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, por el que se aprueban los Lineamientos técnicos generales para la publicación, homologación y estandarización de la información de las obligaciones establecidas en el título quinto y en la fracción IV del artículo 31 de la Ley General de Transparencia y Acceso a la Información Pública, que deben de difundir los sujetos obligados en los portales de Internet y en la Plataforma Nacional de Transparencia" {en la sucesiva, Lineamientos Técnicas Generales). En dichos Lineamientos Técnicas Generales, dentro de su anexo 1, se establecen los criterios sustantivos de contenido {metadatos)14, en razón de la fracción correspondiente al artículo 70 de la LGTAIP, que los sujetos obligados deben publicar en los respectivos medias electrónicos a efecto de cumplir con las obligaciones establecidas en el título quinto y en la fracción IV del artículo 31 de la mencionada ley. En tal virtud, debe destacarse que dichos metadatas comprenden información relativa al contenido de la contratación que se reserva con fundamenta y motivación en las consideraciones vertidas en la presente prueba de daño, cuya publicación podría poner en riesgo la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiaría a monetario del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su casa, de la economía nacional en su conjunto, a bien, otorguen una ventaja indebida, generen distorsiones en la estabilidad de los mercadas, o puedan incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, tal como se ha manifestado en la presente justificación. En ese sentida, es evidente que las consideraciones formuladas en la presente prueba de daño respecto de la reserva de la contratación objeta de clasificación, son aplicables a los metadatos 14 Según el INEGI, los metadatos son "datos estructurados que describen las características de la información: su contenido, calidad, condición y otros aspectos de los productos o conjuntos de datos espaciales". En otras palabras, los "metadatos" son información. Fuente: http://www.inegi.org.mx/geo/contenidos/metadatos/default.aspx, consultado el 25 de abril de 2018. Página 10 de 22 }11 BAN(QoEf'\ÉXICO relativos a dichos documentos, por lo que son de clasificarse como reservados de conformidad con el artículo 113, fracción IV, de la LGTAIP, el cual dispone que: "como información reservada podrá clasificarse aquella cuya publicación pueda afectar la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaría o del sistema financiero del país; pueda poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país, pueda comprometer la seguridad en la provisión de moneda nacional al país, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal". En consecuencia, es claro que revelar la información contenida en los "metadatos" derivados Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal actualizan el supuesto previsto del artículo 113, fracción IV, de la LGTAIP, toda vez que contiene información cuya divulgación "pondría en riesgo la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambia ria o del sistema financiero del país; pueda poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país, , o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal". Adicionalmente, los Lineamientos Técnicos Generales permiten reservar esta información, publicando en la pestaña correspondiente del portal de Internet una leyenda con el fundamento legal que especifique la información se encuentra clasificada. Esto ha sido realizado por el propio INAI, en el Sistema de Portales de Obligaciones de Transparencia, respecto de la información reportada bajo la fracción XXVII del artículo 70 de la LGTAIP, en el campo correspondiente a "Sentido de la resolución" y "Nota".15 Por lo anterior, se clasifica como reservada la información contenida en los metadatos siguientes: Fracción XXVIII art. 70 de la LGTAIP: Descripción de las obras, los bienes, servicios, requisiciones u orden de servicio contratados y/o adquiridos, Nombre completo o razón social de los posibles contratantes, Registro Federal de Contribuyentes {RFC} de las personas físicas o morales posibles contratantes, Nombre o razón social del adjudicado, Registro Federal de Contribuyentes (RFC) de la persona física o moral adjudicada, Hipervínculo en su caso, al (los) lnforme(s) de avance físicos en versión pública si así corresponde, Hipervínculo, en su caso, al (los) lnforme(s) de avance financieros, en versión pública si así corresponde, Hipervínculo al acta de recepción física de los trabajos ejecutados u homóloga., toda vez que al revelar dicha información al público en general, se pondrían en riesgo las funciones del Banco de México, el funcionamiento del sistema financiero y de la economía nacional en su conjunto. Fracción XXXII art. 70 de la LGTAIP: Nombre, denominación o razón social del proveedor o contratista, Estratificación, Origen del proveedor o contratista, País de origen si la empresa es una filial extranjera, Registro Federal de Contribuyentes {RFC) de la persona física o moral, Entidad 15 Esta información puede ser consultada a través de la siguiente liga: http://consultapublicamx.ina1.org.mx:8080/vut-web/ Página 11 de 22 111 BANC0°,f'\ÉXICO federatíva de la persona físíca o moral, El proveedor o contratista realiza subcontrataciones, Actívidad económica de la empresa, Domicilio fiscal de la empresa, Domicilio en el extranjero, Nombre del representante legal de la empresa, Datos de contacto, Correo electrónico, Tipo de acreditación legal que posee, Dirección electrónica que corresponda a la página web del proveedor o contratísta, Teléfono oficial del proveedor o contratista, Correo electrónico comercial del proveedor o contratista, toda vez que al revelar dicha información al público en general, se pondrían en riesgo las funciones del Banco de México, el funcionamiento del sistema financiero y de la economía nacional en su conjunto. En razón de lo anterior, y vistas las consideraciones expuestas en el presente documento, con fundamento en lo establecido en los artículos 60., apartado A, fracciones I y VIII, párrafo sexto, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 1, 100, 103, segundo párrafo, 104, 105, 107, 108, último párrafo, 109, 113, fracción IV, y 114 de la LGTAIP; 97, 100, 102, 103, 110, fracción IV, y 111 de la LFTAIP, lo., 2o. y 3o., fracción 1, de la Ley del Banco de México; 4o., párrafo primero, 80., párrafos primero, y tercero, 10, párrafo primero, 12 y 19 Bis 1, del Reglamento Interior del Banco de México; Segundo, fracción VI, del Acuerdo de Adscripción de las Unidades Administrativas del Banco de México; así como, así como Primero, Segundo, fracción XIII, Cuarto, Sexto, Octavo, párrafos primero, segundo y tercero, Vigésimo segundo, fracciones I y 111, Trigésimo tercero, y Trigésimo cuarto, párrafos primero y segundo de los Lineamientos, se clasifica como reservada, por el plazo de S años a partir de la fecha de clasificación, la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal y los metadatos listados anteriormente, toda vez que el Banco Central continuará utilizando la infraestructura tecnológica protegida por la presente prueba de daño para el ejercicio de sus funciones, considerando que los periodos de reemplazo de la infraestructura tecnológica, y por consiguiente la vigencia de sus propias especificaciones, se extienden a rangos de entre diez y quince años. Página 12 de 22 })~ BANC0°•f\ÉXICO 1 REFERENCIA 2 United States Govemment Aeeotmtability Office Statement far the Record GAO To the Subcornmitt.ee on Terrorism and Homeland Security, Co:mnrittee on the Judiciary, U.S. Senate Continued Efforts Are N eeded to Protect Information Systems from Evolving Threats State:ment of Gregory C. Wtlshusen, Director Infonnation Security Issues David A Powner, Director Information Technology Mm:tagement Issues GAO :• ,., ...... ,, ...... _ GA0-10-2301' Página 13 de 22 Jl~i BAN(QocMÉXICO REFERENCIA 3 131612[]16 BadCyber Making lnfo!>ec jouma!lsm greatagainl Several Polish banks hacked, information stolen by unknown attackers t'-:3c,cybeí Feh"uary 3~ 2017 Cr"n1e~ k\vest.ig·ation , banking. m .3f\;vare. Po1and " 241 f 1114 Página 14 de zz BANCO DE MÉXICO REFERENCIA 4 ..... BAE SlSTfMS THRfAT RESEAIICU BLOC SMISCRIBt Posted by BAE s~A¡,plied lnlell\¡¡era - Smday, 12 Fei:nu,y 201¡ LAZARUS & WAlIRIHG-HOLE ATIACIS On U1l F•lir113ry 21117, re """ ,epo¡t ~'111!!• an As st!ted in lbe blog, the attacks are suspected of llfÍIÍl\llq frllm1flewebsite o! llt! PIIÍ311 Fi11mial Siq,errisiat Autbcrity {knlguvf.Jpl), sl!o1111 below: M IJZIE'.'lNIK Ul{L.1::'.DO\.VY ~ K0.\·11:s.1 . :-.,-,u.lu1w 1·1N ,\f.¡:suwu... o t • •1tr11r ,T ¡ ;; 1.. •:t• ·, : JI' :.-::··- - ··-· ·-;- ···~: ..... · ,-... . , Forft:mh.~ li'rtbl'l'Mitn or m&.- b-. n¡,erf, plr.ftl'oon1;W;I.VL - - . - - - -- . - ... - - ~ - -- -- Ftom at1e.a&12016-1D-01 ID~Ja!Wal}'1he MelliltA>C002 1'1ad otenmcxllr.e<11oca.U&e -IO Gcwrolead ...... ,.,.~flle51R! '11'9 Página 15 de 22 jl~i BANC0°•t'\ÉXICO REFERENCIA 5 ResearchGate Privacy, Confídentiality, and Security of Health Care Information: Lessons from the Recen t WannaCry Cyberattack Artide World Neurosur¡¡er¡ • Ju.ne 20t1 :,O, lUQ..,.-2!,IT.O!, la< CITAllO~ ~lADS l 142 iautoor: Eastem Maine t, edical Cente1 Pá gina 16 de 22 1u1L.) BAN(Qm:f'\ÉXICO REFERENCIA 6 OOBANCOMXT. Ciudad de México a 10 de enero de 2018 ACCIÓN OPORTUNA DE BANCOMEXT SALVAGUARDA INTERESES DE CLIENTES Y LA INSTITUCIÓN El Banco Nacional de Comercio Exterior (Bancomext), informa que, a pesar de las robustas medidas de seguridad con que cuenta, el día 9 de enero fue victima de una afectación en su plataforma de pagos internacionales provocada por un tercero. Las autoridades han confirmado que el modus operandi de los presuntos "hackers· es slmilar a Intromisiones ocurridas en otras instituciones en México y América Latina. Afortunadamente, el protocolo y la oportuna reacción de las áreas responsables de la operación, con el apoyo de los bancos, las autoridades correspondientes y el Banco de México, lograron contener este hecho. Cabe destacar que los .intereses de nuestros clientes y los del propio Banco se encuentran a salvo y que Bancomext está reanudando operaciones para sus clientes y contrapartes. A medida que exista mayor información se hará del conocimiento del público. Teléfono de Comunicación Social: 15551024 Página 17 de 22 Jl~.I. BAN(Qocf'\txICO REFERENCIA 7 - ·-! ==-matJil . Página 18 de 22 BAN(QDE M.ÉXICO REFERENCIA 8 Ja BANCOD~·.MÉXICO 12 de mayo de 2018 Puntos Importantes sobre la Situación Actual del SPEI. 1. Se tienen registrados 5 participantes ron vulneraciones de ciberseguridad. Todos los ataques que se han observado han sido diñpdos hacia los baocos, c;asas de bolsa y otros participantes del sistema de pagos•. Esto.s han Mtado enfocados en tos sistemas de los participantes con los q·ue se conectan al.SPEI. 2. El sistema rentral del SPB.. que opera el Banm de Méxii;o, no se ha visto afec;tado y no ha sido blam:o de nmcún aaaq;ue. El sistema central opera de manera secura y eficiente como lo ha hecho desde waeación. 3. los rl!Qluos de los dientes de instituciones financieras están seguros, no estuvieron. en pelii,gro y no han sido el objetiw de los ataq·ues, Los recursos que se han extraído han sido de los panicipantes {bancos, casas de bolsa, etc.). Los atac.inte.s han buscado vulnerar las amexiones de las instituciones con el SPEI, inyectando Instrucciones de pago fraudulentas a partir de cuentas inexistentes, lo ·cual afecta la cuenta transaccional de los participantes. en el SPEI, pero no las cuentas de los dientes ñnall!'.5. Los re~ de los d ientes están seguros porque radican en un sistema separadoam val.idaciones individuales por operación. 4. Para salvaguardar la rontimñdad operativa, el Banco de México alenó a los participantes en el SPEJ y solicitó a los participantes ron un mayor perfil de rie:sgn, migrar la operación a una plataforma contingente. Este esquema de. operación rontingente y las. vaíldac:iones adicionales que han implementado los partiápantes han propiciado la ralen.tizaciónde los: flujos de pacos.. S. Una vez recibidas en el SPEI, el 100% de las operaciones son proa-sadas y enviadas a IDS participantes recepmres en segundos. Por otra parte, desde que se recibe la solicitud P Página lde3 Página 19 de 22 }1?1.1. BAN(Qoe l'\ÉXICO REFERENCIA 9 131512018 FACTOR CAPITAL ..JSIA ~ EL ECQNOMJSTAz~oNEs tiU MANO 2018 BBVA Bancomer AFECTACIONES Al.. SPEI El sistema financiero mexicano fue víctima de una campaña de ciberataques Algunas instituciones del sistema financiero en México sufrieron una campaña de ciberataques1 a principios del 2017, que afectó los aplica.m•os y la infraestructura de TI que dan sopo1te a los servicios de banca en.línea. Página 20 de 22 }11. BAN(Qo,f'\ÉXICO REFERENCIA 10 +2 2Vatu Social Engineering Fundamentals, Part 1: Hacker Tactics By:.O Creat»d 18 De<: 2001 1111 o Commem;,¡ o m o " by Sarah Granger Social Engineerirg Fundamenr.als, Part 1: Hadcer Taaics by Sarah Granger (ma111D:[email protected]) last updated December 18, 2001 A True St.ory One moming a few years back, a group of strangers walked into a large shipping tirm and walked out with access to the firm's entire corporate network. How did they do lt? By obtaining small amounts of access, bit by bit, from a number of different employees in that füm. Rrst, they did research about the company for two days befare even attempting to set foot on the pl'"eml!les. for example, they learned key employees' names by caUing HR. Next, they pretended to lose their key to the front door, anda man let them in. Then they "lost" d1eir identity badges when entering the third floor secured area, smiled, anda fñendly employee opened the door forthem. The strangers knewthe CFO was out of town, so they were able to enter his office and obtain financia! data off his unlocked computer. Th.ey dug through the corporare trash, finding ali kinds of useful documents. They as.ked a janitor for a garbage pail in whidi to place their contents and carried afl ofthis data out of the building in their hands. The strangers had studied the CFO's voice, so they were able to phone, pretending to be the CFO, in a rush, desperately in need of his. netw,arlc password. From there, they used regular technical hacking tools to gain super-user access into the system. Página 21 de 22 ]1?1.l BAN(QoE¡'\[x](O REFERENCIA 11 ,.,':_ WaterISAC ' S~lnformatian~mer 10 Basic Cybersecuñty Measures Best Practlces to Reduce Exploitable WeaKnesses and Attacl June 2015 Developed in partnefship wíth the U. S. Depanment of Homeland Seruñty Industrial Control S\'5tems CyberEmergencv Response Team (ICS-CERO. the FBI, and the lnformation Technology ISAC. WaterlSACafso ac.knoY..tedges tl)e Multi-State ISAC f(Jf' its rontribu:tions to thís document. @ WateñSAC 2015 Página 22 de 22 }1~ BANCQo,J'\ÉXICO 1 DGTI.ESPTl.20.01.1 PRUEBA DE DAÑO Especificaciones de la infraestructura de tecnologías de la información y comunicaciones del Banco de México. En términos de lo dispuesto por los artículos 60., apartado A, sexto párrafo, 28, párrafo sexto y séptimo de la Constitución Política de los Estados Unidos Mexicanos, 113, fracciones 1, IV y VII de la Ley General de Transparencia y Acceso a la información Pública (LGTAIP}; y 110, fracciones 1, IV y VII de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP}; así como el Décimo séptimo, fracción VIII, Vigésimo segundo, fracciones I y 11, y Vigésimo sexto, párrafo primero, de los "Lineamientos generales en materia de claslfícación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes, es de clasificarse como información reservada aquella cuya publicación pueda: a} Comprometer la seguridad nacional; b} Afectar la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaria o del sistema financiero del país; c} Poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país; d) Comprometer la seguridad en la provisión de moneda nacional al país. e} Obstruya la prevención de delitos Por lo que, la información relativa a las especificaciones de la infraestructura de tecnologías de la información y comunicaciones referente a la arquitectura de los componentes, que conforman la infraestructura, es decir, la organización y relación entre los equipos de cómputo, de telecomunicaciones, de seguridad electrónica y de seguridad informática, sus números de serie, configuraciones, los números de teléfonos celulares asignados por el Banco a su personal, las actualizaciones de seguridad de estos componentes; la ubicación en donde se emplean estos componentes en las instalaciones del Banco de México, incluyendo los centros de datos y telecomunicaciones; la información relacionada con los servicios de consultoría y de asesoramiento en inteligencia de amenazas informáticas relacionadas a Banco de México, la información relacionada con las evaluaciones y análisis de riesgos tecnológicos y de seguridad que se realizan sobre dichos componentes, referente a los proveedores de los servicios contratados, las características de estas evaluaciones y resultados entregados, riesgos o hallazgos identificados y las acciones para corregirlos o mitigarlos; los programas de seguridad informática o seguridad de la información, el sistema de gestión de la seguridad y las actividades que lo conforman; los manuales y procedimientos de operación de recuperación y de continuidad operativa para restablecer su funcionamiento; el diseño, el código fuente y los algoritmos que se desarrollan o se configuran para "2020, Año de leona Vicario, Benemérita Madre de la Patria" Página 1 de 83 JIJJ,. BANCO DE l'\[XICO DGTI.ESPTl.20.01.1 operar en ellos; así como toda información derivada de estas especificaciones, que de forma aislada o agrupada, permita vincular directa o indirectamente, a algún elemento específico de tecnologías de la información y comunicaciones con los procesos del Banco de México en que éste participa o con algún elemento de seguridad informática, incluyendo la marca, el modelo, fabricante e información del proveedor de dicho elemento de seguridad que da protección a la referida infraestructura tecnológica; es clasificada como reservada, en virtud de lo siguiente: La divulgación de la información representa un riesgo de perjuicio significativo al interés público, ya que con ello se compromete la seguridad nacional; así como la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaría o del sistema financiero del país; pondría en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país; y comprometería la seguridad en la provisión de moneda nacional al país; toda vez que la divulgación de la información posibilita la destrucción, inhabilitación o sabotaje de cualquier infraestructura de carácter estratégico o prioritario, como es la que coadyuva a los procesos de emisión de billetes y acuñación de moneda a nivel nacional, así como menoscabar la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas y, en el caso que nos ocupa, de la economía nacional en su conjunto; y obstruiría la prevención de delitos informáticos1 en contra del Banco de México cuya planeación y ejecución se facilitarían con la divulgación de la información referida, toda vez que dicho riesgo es: 1) Real, dado que la difusión de esta información posibilita a personas o grupos de ellas con intenciones delincuencia les a realizar acciones hostiles en contra de las tecnologías de la información de este Banco Central. Debe tenerse presente que, en términos del artículo 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos, el Banco de México tiene a su cargo las funciones del Estado en las áreas estratégicas de acuñación de moneda y emisión de billetes. En ese sentido, los artículos 2o. y 3o. de la Ley del Banco de México, señalan las finalidades del Banco Central, entre las que se encuentran, proveer a la economía del país de moneda nacional, con el objetivo prioritario de procurar la estabilidad del poder adquisitivo de dicha moneda, promover el sano desarrollo del sistema financiero, propiciar el buen funcionamiento de los sistemas de pagos, así como el desempeño de las funciones de regular la emisión y circulación de la moneda, los cambios, la intermediación y los servicios financieros, así como los sistemas de pagos; operar con las instituciones de crédito como banco de reserva y acreditante de última instancia; prestar servicios de tesorería al Gobierno Federal y actuar como agente financiero del mismo. Las anteriores son finalidades y funciones que dependen en gran medida de la correcta operación de las tecnologías de la información y comunicaciones que el Banco de México ha instrumentado para estos propósitos, mediante el procesamiento de la información que apoya en la ejecución de esos procesos. 1 Cfr. Cassou Ruiz, Jorge Esteban, "Delitos informáticos en México", Revista del Instituto de la Judicatura Federal, México, núm. 28, julio-diciembre de 2008, pp. 220-225. https://www.ijf.cif.gob.mx/publicacíones/revísta/28/Delitos inform%C3%A1ticos.pdf t,2020, Año de Leona Vicario, Benemérita Madre de la Patria¡, Página 2 de 83 BANCQoEJ'\ÉXICO 11~1 DGTI.ESPTl.20.01.1 Al respecto, es importante destacar que los sistemas informáticos y de comunicaciones del Banco de México fueron desarrollados y destinados para atender la implementación de las políticas en materia monetaria, cambiaria, o del sistema financiero, por tal motivo, divulgar información de las especificaciones tecnológicas de dichos sistemas, de la normatividad interna, o de sus configuraciones, puede repercutir en su inhabilitación. En este sentido, el artículo 5, fracción XII, de la Ley de Seguridad Nacional establece que son amenazas a la seguridad nacional, los actos tendientes a destruir o inhabilitar la infraestructura de carácter estratégico o indispensable para la provisión de bienes o servicios públicos. A su vez, el artículo 146 de la Ley General del Sistema Nacional de Seguridad Pública dispone que se consideran instalaciones estratégicas, a los espacios, inmuebles, construcciones, muebles, equipo y demás bienes, destinados al funcionamiento, mantenimiento y operación de las actividades consideradas como estratégicas por la Constitución Política de los Estados Unidos Mexicanos, entre los que se encuentra la infraestructura de tecnologías de la información y comunicaciones del Banco de México. Asimismo, el Décimo séptimo, fracción VIII, de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes, señala que se considera como información reservada, aquella que de difundirse actualice o potencialice un riesgo o amenaza a la seguridad nacional cuando se posibilite la destrucción, inhabilitación o sabotaje de cualquier infraestructura de carácter estratégico. Consecuentemente, pretender atacar o inhabilitar los sistemas de Banco de México, representa una amenaza a la seguridad nacional, ya que publicar la información materia de la presente prueba de daño, posibilita la destrucción, inhabilitación o sabotaje de la infraestructura tecnológica de carácter estratégico, como lo es la del Banco de México, Banco Central del Estado Mexicano, por mandato constitucional. En efecto, proporcionar las especificaciones de la infraestructura de tecnologías de la información y comunicaciones, indudablemente facilitaría que terceros logren acceder a información financiera o personal, modifiquen los datos que se procesan en ellas o, incluso, dejen fuera de operación a los sistemas de información del Banco Central. En consecuencia, se actualiza la causal de reserva prevista en el artículo 113, fracción 1, de la LGTAIP, ya que la divulgación de la información referida compromete la seguridad nacional, al posibilitar la destrucción, inhabilitación o sabotaje de la infraestructura de carácter estratégico con la que opera el Banco de México. Por otra parte, y en atención a las consideraciones antes referidas, es de suma importancia destacar que los ataques a las tecnologías de la información y de comunicaciones, son uno de los principales "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 3 de 83 }1~ BAN(Qo,f'\[XICO 1 DGTI.ESPTl.20.01.1 y más importantes instrumentos utilizados en el ámbito mundial para ingresar sin autorización a computadoras, aplicaciones, redes de comunicación, y diversos sistemas informáticos, con la finalidad de causar daños, obtener información o realizar operaciones ilícitas. Estos ataques se fundamentan en (1} descubrir y aprovechar vulnerabilidades, basando cada descubrimiento en el análisis y estudio de la información de las especificaciones técnicas de diseño y construcción, incluyendo el código fuente de las aplicaciones, la arquitectura o servicios de tecnologías de información y de comunicaciones que se quieren vulnerar, y (2) tomar ventaja de cualquier información conocida para emplear técnicas de ingeniería social que les faciliten el acceso indebido a los sistemas, con el propósito de substraer información, alterarla, o causar un daño disruptivo. Otra característica que hace relevante a este tipo de ataques, es la propia evolución de los equipos y sistemas, pues con cada actualización o nueva versión que se genera, se abre la oportunidad a nuevas vulnerabilidades y, por ende, nuevas posibilidades de ataque. Por ejemplo, en la actualidad, es común que en materia de sistemas de información se empleen herramientas con licencia de uso libre {librerías de manejo de memoria, traductores entre distintos formatos electrónicos, librerías para despliegue de gráficos, etc.} y que el proveedor publique las vulnerabilidades detectadas en ellas, contando con esta información y con las especificaciones técnicas de la aplicación o herramienta tecnológica que se quiere vulnerar, individuos con propósitos delincuenciales pueden elaborar un ataque cuya vigencia será el tiempo que tarde en corregirse la vulnerabilidad y aplicarse la actualización respectiva. Sea cual fuere el origen o motivación del ataque contra las tecnologías de la información y de comunicaciones administradas por el Banco Central, éste puede conducir al incumplimiento de sus obligaciones hacia los participantes del sistema financiero y/o provocar que a su vez, estos no puedan cumplir con sus propias obligaciones, y en consecuencia, generar un colapso del sistema financiero nacional, lo que iría en contravención a lo establecido en el artículo 2o. de la Ley del Banco de México. En este sentido, de materializarse los riesgos anteriormente descritos, se podría substraer, interrumpir o alterar información referente a, por ejemplo: las cantidades, horarios y rutas de distribución de remesas en el país; la interrupción o alteración de los sistemas que recaban información financiera y económica, y que entregan el resultado de los análisis financieros y económicos, lo que puede conducir a la toma de decisiones equivocadas o a señales erróneas para el sector financiero y a la sociedad; la substracción de información de política monetaria o cambia ria, previo a sus informes programados, su alteración o interrupción en las fechas de su publicación, puede igualmente afectar a las decisiones o posturas financieras y económicas de nuestro país y de otros participantes internacionales; la corrupción de los datos intercambiados en los sistemas de pagos, la pérdida de su confidencialidad o la interrupción de estos sistemas, causaría riesgos sistémicos. Con lo anterior, se menoscabaría la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas y, en el caso que nos ocupa, de la economía nacional en su conjunto, y se "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 4 de 83 BAN(Om:J"\ÉXICO Jl?11 DGTI.ESPTl.20.01.1 comprometerían las acciones encaminadas a proveer a la economía del país de moneda nacional, dañando la estabilidad del poder adquisitivo de dicha moneda, el sano desarrollo del sistema financiero y el buen funcionamiento de los sistemas de pagos. Por lo anterior, mantener la reserva de las especificaciones de la infraestructura de tecnologías de la información y comunicaciones, que soportan en su conjunto a los procesos destinados para atender la implementación de las políticas en materia monetaria, cambia ria o del sistema financiero, permite reducir sustancialmente ataques informáticos hechos a la medida que pudieran resultar efectivos, considerando aquellos que pueden surgir por el simple hecho de emplear un medio universal de comunicación como lo es Internet y los propios exploradores Web. En efecto, el funcionamiento seguro y eficiente de los sistemas de información depende de las especificaciones de la infraestructura de tecnologías de la información y comunicaciones. Por tanto, se actualiza la causal de reserva prevista en el artículo 113, fracción IV, de la LGTAIP, toda vez que la divulgación de la información referida puede afectar la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambia ria o del sistema financiero del país; puede poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país y puede comprometer la seguridad en la provisión de moneda nacional al país. Finalmente, los riesgos aludidos tienen mayor probabilidad de materializarse con la divulgación de la información referida, debido a que podrían tener acceso a ella individuos o grupos con intenciones hostiles, con lo que tendrían elementos que facilitarían el diseño y la ejecución de estrategias para llevar a cabo ataques cibernéticos dirigidos específicamente a la infraestructura tecnológica de este Banco Central, mismos que pueden ser constitutivos de delitos. Dichos ataques focal izados podrían tener mayor probabilidad de éxito debido a que personas con intenciones delincuenciales tendrían la posibilidad de dedicar todos sus recursos a la realización de ataques específicos identificados con base en la información en comento. Al respecto, la divulgación de fa información relativa a las especificaciones de la infraestructura de tecnologías de la información y comunicación del Banco de México, implica la puesta a disposición de elementos importantes al público en general, incluyendo las personas o grupos con intenciones delictivas para la realización de conductas constitutivas de delitos. En consecuencia, la divulgación de la información clasificada, representa un obstáculo para la prevención de conductas constitutivas de delitos, por lo que se actualiza la causal de reserva prevista en el artículo 113, fracción VII, de la Ley General de Transparencia y Acceso a la Información Pública. 2} Demostrable, ya que los ataques dirigidos hacia las tecnologías de la información y comunicaciones que apoyan la operación de infraestructura de carácter estratégico de los países, como son las redes eléctricas, las redes de datos públicas, las redes de datos privadas, los sistemas "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 5 de 83 DGTI.ESPTl.20.01.1 de tráfico aéreo, control de oleoductos, provisión de agua y, por supuesto, operación de plataformas financieras, ocurren todos los días, en todo el mundo. Adicionalmente, las herramientas para realizar ataques cibernéticos son de fácil acceso y relativamente baratas, e incluso gratuitas, capaces de alcanzar a través de internet a cualquier organización del mundo. Por citar sólo un ejemplo, considérese el proyecto Metasploit.2 Como ésta existen numerosas herramientas que, si bien su propósito original es realizar pruebas a las infraestructuras de tecnologías de la información y comunicaciones para corregir errores en sus configuraciones e identificar posibles vulnerabilidades, en malas manos permiten crear códigos maliciosos, efectuar espionaje, conseguir accesos no autorizados a los sistemas, suplantar identidades, defraudar a individuos e instituciones, sustraer información privada o confidencial, hacer inoperantes los sistemas, y hasta causar daños que pueden ser considerados como ciberterrorismo, se están convirtiendo en las armas para atacar o extorsionar a cualquier organización, gobierno o dependencia. A manera de ejemplo, se cita lo siguiente: • A principios de 2018, se anunciaron dos tipos de vulnerabilidades asociadas a los circuitos procesadores, que se encuentran en prácticamente cualquier sistema de cómputo fabricado en los últimos años. Estas son conocidas como "Meltdown" y "Spectre" y permiten ataques denominados "side-channel", en el sentido de que permiten acceder a información sin pasar por los controles (canales) de seguridad. Aprovechando "Meltdown", un atacante puede utilizar un programa malicioso en un equipo, y lograr acceder a cualquiera de los datos en dicho equipo, lo cual normalmente no debería ocurrir, esto incluye los datos a los que sólo los administradores tienen acceso. "Spectre" requiere un conocimiento más cercano de cómo trabaja internamente algún programa que se usa en el equipo víctima, logrando que este programa revele algunos de sus propios datos, aunque no tenga acceso a los datos de otros programas. La propuesta de los fabricantes de estos procesadores para mitigar el aprovechamiento de estas vulnerabilidades incluye, tanto el parchado del sistema operativo, como la actualización del 3 microcódigo del BIOS • • Un ataque a la plataforma de pagos internacionales del Banco Nacional de Comercio Exterior 4 (Bancomext} que obligó a la institución a suspender sus operaciones de manera preventiva • • De acuerdo con la Agencia Central de Noticias de Taiwán, informó que la policía de Sri Lanka, un país soberano insular de Asia, capturó a dos hombres en relación con el robo de casi 60 millones de dólares al banco de Taiwán. En dicho robo al parecer fue utilizado un malware instalado en un equipo de cómputo, el cual logró obtener credenciales y acceso para generar mensajes fraudulentos en el sistema SWIFT, los fondos fueron transferidos a cuentas de Camboya, Sri Lanka y Estados Unidos.5 2https://es.wikipedia.org/wikí/Metasploit, consultada el 16 de octubre de 2017. Se adjunta una impresión del artículo como ANEXO "A". 3 h tt ps :// www, com puterworl d, co m / a rti cle/3 25 7225/ microsoft- wi n dows/i ntel-rel e a ses-more-meltd o wn spectre-fí rm wa re-fixes- m icrosoft-feínts-a n-s p3-patch. h tm l, consultada el 3 de marzo de 2018. Se adjunta una impresión del artículo como ANEXO "B" 4https ://www.gob.mx/ba neo m ext/ prensa/ a ce ion-oportuna· de-ba n comext -salva guarda-intereses-de-diente s-y-1 a-in stitucion, consultada el 15 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "C" 5 https://www.theregister.eo.uk/2017/10/11/hackers_swift_taiwan/, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "O" "2020, Año de leona Vicario, Benemérita Madre de la Patria" Página 6 de 83 BANCOm:l'\[XICO j)~1 DGTI.ESPTl.20.01.1 • De acuerdo a Reuters, el Director del Programa de Seguridad del Clientes de SWIFT, Stephen Gilderdale, dijo que los hackers continúan apuntando al sistema de mensajería bancaria de SWIFT, aunque los controles de seguridad implementados después del robo de 81 millones de dólares en Bangladesh, han ayudado a frustrar muchos otros intentos6 • Dos ataques realizados contra la infraestructura crítica que provee energía eléctrica en la capital de Ucrania en diciembre de 2015, y diciembre de 2016, dejando sin electricidad a 7 225,000 personas . • El reciente caso de fraude en el que se utilizó el sistema de pagos SWIFT, afectando al Banco de Bangladesh, donde aún no se recuperan 81 millones de dólares. Este caso ha recibido gran cobertura en los medios, la empresa BAE Systems reporta algunos detalles de este hecho, particularmente hacen notar que el código malicioso desarrollado para este ataque fue realizado para la infraestructura específica de la víctima.8 • En relación al anterior punto, se concretó un ataque al Banco del Austro en Ecuador para atacar su acceso al sistema SWIFT y extraer dinero. Se cita la fuente de la noticia: "Banco del Austro ha interpuesto una demanda contra otro banco, el estadounidense Wells Fargo, que 9 ordenó la mayor parte de las transferencias (por un valor de 9 millones de dólares)" . Los ladrones utilizaron los privilegios de acceso en el sistema global SWIFT de los empleados del Banco del Austro y, Wells Fargo, al no identificar que eran mensajes fraudulentos, permitió que se traspasara dinero a cuentas en el extranjero. • El ataque ocurrido a las instituciones financieras participantes del SPEI, el cual consistió en la alteración de sus aplicativos para conectarse a esta IMF, inyectando órdenes de transferencia apócrifas en los sistemas de los participantes donde se procesan las instrucciones de pago de los participantes afectados. lo cual distribuyó dinero desde las cuentas concentradoras de los participantes a cuentas de usuarios específicas, los cuales fueron utilizados como "mulasJJ para la extracción del dinero. A la fecha de elaboración de la presente prueba de daño, se estima un daño a los participantes del SPEI de aproximadamente 300 millones de pesos. • La alerta mencionada por la National Emergency Number Association en coordinación con el FBI, sobre la posibilidad de ataques de negación de servicios telefónicos conocidos como TDoS (Telephony denial of service, por sus siglas en inglés) a entidades del sector público.10 • En relación a dar a conocer el número telefónico de un teléfono celular proporcionado por la Institución, como parte de la infraestructura de cómputo y telecomunicaciones, con el fin de que sus empleados realicen sus funciones asignadas, donde además de la geolocalización, se puede obtener información de llamadas o de mensajes de texto del 6 http://www. reu ters.co m/article/ cyber -heist/ swift-say s-hacke rs-stil 1-ta rgeting-ba nk-mess aging-system-id USL2N 1 M N 298? rpc=401&, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "E". 7 http://www.bbc.com/news/technology-38573074, consultada el 15 de enero de 2018. Se adjunta una impresión del artículo como ANEXO"F" 'http://baesvstemsai.blogspot.mx/2016/04/two-bytes-to-951m.html, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "G". ' http://es.gizmodo.com/roban-12-millones-a-un-banco-de-ecuador-en-un-nuevo-ca-1778855375, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "H". 10 https://www.nena.org/news/119592/DHS-Bulletin-on-Denial-of-Service-TDoS-Attacks-on-PSAPs.htm, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "I". "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 7 de 83 DGTI.ESPTl.20.01.1 usuario del dispositivo móvil , que puede poner al descubierto información de actividades del personal en cumplimiento de sus funciones para el Banco, o aspectos de su ámbito 11 personal, con el simple hecho de llevar consigo este dispositivo móvil . Por este mismo problema, recientemente un senador de los Estados Unidos de Norte América envió una carta al presidente de la Comisión Federal de Comunicaciones de ese mismo país en donde 12 le advierte de los riesgos a los que los dispositivos móviles están expuestos . • Las tecnologías que proporcionan seguridad informática a las organizaciones, no están exentas de presentar, como cualquier otra tecnología, vulnerabilidades, por lo que es recomendable no difundir qué marcas, fabricantes y características, tiene un cierto elemento de seguridad informática, para evitar el facilitar que un posible atacante aproveche dicha información con propósitos nocivos dirigidos a las instituciones que les usan estas protecciones de seguridad informática. A manera de ejemplo se cita un caso en que dos de los grandes proovedores de seguridad informática a nivel mundial presentaban vulnerabilidades que pudieran comprometer a las organizaciones "Google Found Disastrous 13 Symantec and Norton Vulnerabilities." . Por otro lado, el dar a conocer marcas, modelos o fabricantes de los controles de seguridad informática puede dar una ventaja a un atacante para fabricar un ataque especialmente diseñado (dirigido), sabiendo de antemano la serie de controles presentes en una organización con el fin de evadirlos, aumentando así la probabilidad de éxito del ciber ataque. Aunado a esto, expertos en el tema de seguridad, como Offensive Security14 consideran que la obtención de información técnica de especificaciones como: ¿qué equipos componen la red?, ¿qué puertos de comunicaciones usan?, ¿qué servicios de TI proveen?, ¿qué sistemas operativos emplean?, etc., es la base para cualquier intento de penetración exitoso. Esta tarea de obtención de información sería mucho más sencilla para un posible ataque, si ésta se divulgara directamente bajo la forma de información pública. En este mismo sentido, posibles vulnerabilidades se pueden obtener indirectamente a través de los números de serie de los equipos de cómputo y telecomunicaciones, accediendo a la información que los fabricantes tengan de cada uno de estos dispositivos, teniendo como ejemplo la operación llamada "Equation Group" 15 Por otro lado, el Banco de México utiliza serv1c1os y herramientas de diversos proveedores tecnológicos para la evaluación de la seguridad del Banco que, por su naturaleza, obtienen información de posibles vulnerabilidades o riesgos en la infraestructura del Banco, esta información que reside en estas herramientas, no debe por ningún motivo llegar a manos de alguien que quiere 11 http://www.cbc.ca/news/politics/hackers-cellphone-security-1.4406338, se anexa como ANEXO "J" 12 https:/ /www.wyden.senate.gov/imo/media/doc/wyden-fcc-ss7-letter-may-2018.pdf, se anexa como ANEXO "K" 13 http://fortune.com/2016/06/29/symantec-norton-vulnerability/ consultada el 14 de septiembre de 2018. Se adjunta impresión como ANEXO "L" "https://www.offensive-security.com/metasploit-unleashed/ínformation-gathering, consultada el 22 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "M". 15 https://en.wikipedia.org/wiki/Equation_Group. Se adjunta una impresión del artículo como ANEXO "N" "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 8 de 83 JI?l BANCO DE l'\ÉXICO DGTI.ESPTl.20.01.1 causar un daño al Banco; así mismo, se contratan consultorías para diversas actividades relacionadas con la seguridad de la información y de los sistemas que soportan las operaciones del Banco de México, incluidos servicios de consultoría y asesoramiento en inteligencia de amenazas informáticas dirigidas al Banco y que por la naturaleza de sus productos y servicios, llegan a tener acceso al tipo de información que se describe en este documento. Estos proveedores no quedan exentos de sufrir ataques que tengan como objetivo el extraer información sensible de Banco de México, con el propósito de utilizarla para afectar a este Instituto Central. Como ejemplos de lo anterior, se enlistan los siguientes casos: • Ataque a la compañía Deloitte, una de las más importantes firmas consultoras a nivel mundial, que ofrece servicios en tecnologías de la información, auditoría y seguridad informática e inteligencia de amenazas informáticas, y que cuenta con clientes en el sector financiero, gobierno y empresas de presencia multinacional. Debido al incidente, los atacantes pudieron hacerse con información privilegiada de sus clientes (cuentas de usuario, contraseñas, diagramas de arquitectura, reportes y alertas de inteligencia), así como mensajes de correo electrónico. La empresa Deloitte dio a conocer este incidente en 16 septiembre de 2017 , aunque varios medios reportan que la intrusión sucedió en otoño de 17 2016 . • lnvolucramiento del software antivirus Karspersky en la intrusión y robo de información procedente de la Agencia de Seguridad Nacional de los Estados Unidos {NSA por sus siglas 18 en inglés), en la que presuntamente están implicados atacantes rusos , y que provocó que el Departamento de Seguridad Nacional de los Estados Unidos {DHS por sus siglas en inglés) emitiera un comunicado para que todas las agencias y departamentos federales identificaran y dejaran de utilizar en sus sistemas, software relacionado con la empresa 19 Karspersky en el menor tiempo posible • En este caso, la información de que las herramientas de seguridad ofrecidas por un proveedor podían ser utilizadas para ingresar a los sistemas de información de sus clientes representó el riesgo suficiente para que la DHS tomará la determinación de ya no utilizar herramientas de dicho proveedor. Adicionalmente podemos mencionar que los servicios de inteligencia de amenazas informáticas o cíberinteligencia permiten revelar y proveer información acciona ble y expedita, producto del análisis de algunas tendencias en cuanto a amenazas de ciberseguridad y a incidentes de seguridad a nivel mundial. La información producida por un servicio de inteligencia de amenazas informáticas permite reforzar las capacidades de ciberseguridad en una organización en términos de protección, de detección, de respuesta, y de cacería proactiva de amenazas, siendo ésta última la capacidad que apoya a las organizaciones a conducir investigaciones más selectivas, basadas en inteligencia de 16 https://www2.deloitte.com/global/en/pages/about-deloitte/articles/deloitte-statement-cyber-incident.html. Se adjunta una impresión del artículo como ANEXO "O" 17 https ://www.theguardian.com/business/2017/sep/25/ deloitte-h ít-by-cyber-attack-revealing-cl ients-secret-emaíls. Se adjunta una impresión del artículo como ANEXO "P" 18https://www. wa sh íngton post.com /world/ nati o na 1-secu rity /israel-h acked-kaspe rsky-the n-ti pped-t he-n sa-tha t -its-tools-h a d-been brea ched/2017/10/10/d48ce 77 4-aa95-lle 7-850e-2bdd1236be5d_story. html?utm_term=.ee 7 c5f62d814. Se adjunta u na impresión del artículo como ANEXO "Q" 19 https://www.dhs.gov/news/2017/09/13/dhs-statement-íssuance-binding-operational-directive-17-0l. Se adjunta una impresión del artículo como ANEXO "R" "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 9 de 83 JF~t BAN(Qo,J"\ÉX!(O DGTI.ESPTl.20.01.1 amenazas, con el objetivo de detectar tempranamente las acciones de un atacante y anticiparse a que la amenaza se materialice, y una organización resulte afectada. La información técnica que este tipo de servicios de inteligencia entrega está estrechamente relacionada a incidentes de seguridad informática en todo el mundo, como pueden ser métodos de ataque, herramientas de que utilizan los atacantes, análisis forense y análisis de código malicioso avanzado y puede ser clasificada de acuerdo a los intereses de la organización. Es importante señalar que divulgar públicamente información derivada de este tipo de servicios de inteligencia, derivaría en acciones de contrainteligencia o contraespionaje, las cuales son actividades de una contraparte o de un atacante, dirigidas a la organización que utiliza la información de inteligencia para proteger su infraestructura de TI, para interceptar e incluso modificar ta información de inteligencia que utiliza la organización con el propósito de engañar y confundir, lo cual podría debilitar sus capacidades de ciberseguridad, llegando incluso a potencialmente provocar disturbios o sabotaje a la infraestructura de la organización. Por lo anterior, los estándares de seguridad y las mejores prácticas en materia de seguridad informática y comunicaciones, recomiendan abstenerse de proporcionar especificaciones de arquitectura, configuración de los programas o dispositivos a personas cuya intervención no esté autorizada, información de las evaluaciones y análisis de riesgos tecnológicos y de seguridad, en el entendido de que dicha información, al estar en malas manos, puede facilitar que se realice un ataque exitoso contra la infraestructura tecnológica del Banco Central, impidiéndole cumplir sus funciones establecidas en la Ley del Banco de México, así como aquello que le fue conferido por mandato constitucional. 3) Identificable, puesto que el Banco de México se encuentra permanentemente expuesto a ataques provenientes de internet (o del ciberespacio) que, en su mayoría, pretenden penetrar sus defensas tecnológicas o inutilizar su infraestructura, tal y como queda identificado en los registros y controles tecnológicos de seguridad de la Institución, encargados de detener estos ataques. Sin perjuicio de lo anterior, se puede mencionar que durante 2018, nuestros registros indican un promedio de 844 intentos de ataque al mes, llegando a presentarse cerca de 1500 intentos de ataque en un único mes. Lo anterior no es ajeno a la banca mundial, la cual, es continuamente asediada por grupos denominados "hacktivistas", como ocurrió durante el mes de mayo de 2016, donde se pretendía inutilizar los sitios Web de los bancos centrales. Se cita la fuente de la noticia: "Anonymous attack Greek central bank, warns others"2º. El colectivo amenazó a los bancos centrales de todo el mundo, luego de afectar por más de seis horas la página del Banco Nacional de Grecia. Estos ataques formaron parte de una operación, orquestada originalmente por el colectivo "Anonymous", conocida como "Oplcarus" y que desde 2016 ha presentado actividad; siendo la más reciente la 20 http://www. reuters .co m / article/ us- gr eece-cen ba n k-cyber / anonym o u s- atta ck -gree k-centra 1- b an k -wa rn s-other s-id US KCNOXVO RR, consultada el 22 de enero de 2018. Se anexa una impresión del articulo como ANEXO "S". "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 10 de 83 DGTI. ESPTl.20.01.1 denominada "OpSacred" o "Oplcarus - Phase 5", que tuvo lugar en Junio de 2017, y cuyos objetivos 21 nuevamente fueron los sitios públicos de bancos centrales alrededor del mundo • Por ejemplo, en términos económicos, para dimensionar de manera más clara la posible afectación de un ataque informático dirigido al Banco de México, se puede identificar que mediante el sistema de pagos electrónicos interbancarios, desarrollado y operado por el Banco de México, en los meses de enero a diciembre de 2018, se realizaron más de 601 millones de operaciones por un monto mayor a 260 billones de pesos 22; lo que equivale a más de 68 mil operaciones por un monto de 29 mil millones de pesos por hora. De manera que es evidente que la disrupción o alteración de la operación segura de los sistemas del Banco Central pueden llegar a tener efectos cuantiosos en la actividad económica del país. Adicionalmente, sí bien las afectaciones a la infraestructura de las tecnologías de la información y de comunicaciones pueden también deberse a riesgos inherentes a las mismas, es importante considerar que cuando estas afectaciones han ocurrido en el Banco de México, se ha generado alerta y preocupación de forma inmediata entre los participantes del sistema financiero; por lo que de presentarse afectaciones derivadas de ataques orquestados a partir de las especificaciones de la infraestructura de tecnologías de la información y comunicaciones, divulgada por el propio Banco Central, se corre el riesgo de disminuir la confianza depositada en este Instituto con el consecuente impacto en la economía que esto conlleva. Por otro lado, es importante mencionar que el Banco de México es ajeno a la gestión interna de seguridad de sus proveedores, los cuales son susceptibles de ser blanco de personas o grupos malintencionados que realicen ataques informáticos, con el objetivo de vulnerar a sus clientes, entre ellos el Banco de México. En consecuencia, este Banco Central quedaría susceptible de recibir ataques a causa de información extraída a sus proveedores, y aprovechar esta información para incrementar su probabilidad de éxito. En el mismo sentido, dar a conocer información sobre los proveedores que conocen y/o cuentan con las especificaciones de la infraestructura de tecnologías de la información y comunicaciones; facilita que personas o grupos malintencionados puedan conocer, mediante ingeniería social u otro mecanismo, información suficiente como para incrementar las probabilidades de éxito ante un escenario de ataque informático al Banco de México. En general, dada la importancia de la seguridad en los sistemas que se administran en el Banco para el sano desarrollo de la economía, se considera que cualquier información abre un potencial para ataques más sofisticados, riesgo que sobrepasa los posibles beneficios de hacer pública la información. 21 https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/opicarus2017/, consultada el 17 de enero de 2018. Se adjunta una impresión del artículo como ANEXO "T" 22 http://www. ba nxíco. o rg. mx/S ie Internet/co nsu Ita r Directorí olnternetActio n. do ?sector=S&accion =con su Ita rC uadro&idCu ad ro=CF252&1o cale=es, consultada el 27 de marzo de 2019. Se adjunta una impresión del artículo como ANEXO "U" "2020, Año de leona Vicario, Benemérita Madre de la Patria" Págína 11 de 83 }l'-3 BANC0°, r\ÉXICO 1 DGTI.ESPTl.20.01.1 El riesgo de perjuicio que supondría la divulgación de la información materia de la presente prueba de daño, supera el interés público general de que se difunda, ya que el interés público se centra en que se lleve a cabo de manera regular la actividad de emisión de billetes y acuñación de moneda a nivel nacional, se conserve íntegra la infraestructura de carácter estratégico y prioritario, se conserve la efectividad en las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, que propician el buen funcionamiento de esos sistemas y de la economía nacional en su conjunto, así como que se provea de manera adecuada a la economía del país de moneda nacional, conservando la estabilidad en el poder adquisitivo de dicha moneda, en el sano desarrollo del sistema financiero y en el buen funcionamiento de los sistemas de pagos. En consecuencia, dar a conocer las especificaciones de la infraestructura de tecnologías de la información y comunicaciones contenida en el documento que se clasifica, no aporta un beneficio a la transparencia que sea comparable con el perjuicio de que por su difusión se facilite un ataque para robar o modificar información, alterar el funcionamiento o dejar inoperantes a las tecnologías de la información y de comunicaciones que sustentan los procesos fundamentales del Banco de México para atender la implementación de las políticas en materia monetaria, cambiaría o del sistema financiero, así como su propia operación interna y la de los participantes del sistema financiero del país. Las consecuencias de que tenga éxito un ataque a la infraestructura estratégica referida, que sustenta a los procesos fundamentales, tendrían muy probablemente implicaciones sistémicas en la economía, y afectaciones en la operación de los mercados, provisión de moneda o funcionamiento de los sistemas de pagos; dado que todas estas funciones del Banco de México dependen de sistemas e infraestructura de tecnologías de la información y de comunicaciones, y de que se garantice la seguridad de la información y los sistemas informáticos que las soportan de manera directa e indirecta. Con ello, se imposibilitaría al Banco de México cumplir con las funciones constitucionales que le fueron encomendadas, contenidas en el artículo 26, párrafo sexto de la Constitución. En efecto, divulgar las especificaciones de la infraestructura de tecnologías de la información y comunicaciones del Banco de México, no satisface un interés público, ya que al realizar una interpretación sobre la alternativa que más satisface dicho interés, debe concluirse que debe prevalecer el derecho que más favorezca a las personas y, consecuentemente, beneficiar el interés de la sociedad, el cual se obtiene por el cumplimiento ininterrumpido de las funciones del Banco de México y los sistemas de pagos administrados por éste. Por lo anterior, el revelar información en cuestión, comprometería la seguridad nacional, al posibilitar la destrucción, inhabilitación o sabotaje de cualquier infraestructura de carácter estratégico o prioritario. Asimismo, con ello se menoscabaría la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, la puesta en riesgo el funcionamiento de "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Págína 12 de 83 DGTI.ESPTl.20.01.1 tales sistemas o, en su caso, de la economía nacional en su conjunto, así como el comprometer las acciones encaminadas a proveer a la economía del país de moneda nacional, dañando la estabilidad del poder adquisitivo de dicha moneda, el sano desarrollo del sistema financiero, y el buen funcionamiento de los sistemas de pagos. Adicionalmente, se obstaculizaría la prevención de hechos constitutivos de delitos, pues de divulgarse la información en cuestión se proporcionarían elementos relevantes para que personas o grupos de personas con intenciones delictivas lleven a cabo un ataque exitoso en contra de la infraestructura de tecnologías de la información y comunicaciones que utiliza este Banco Central. La limitación se adecua al principio de proporcionalidad y representa el medio menos restrictivo disponible para evitar el perjuicio, ya que debe prevalecer el interés público de proteger la buena marcha y operación del sistema financiero y a sus usuarios, respecto de divulgar la información relativa a las especificaciones de la infraestructura de tecnologías de la información y comunicaciones. De otra forma, de divulgarse la información de dichas especificaciones, el Banco de México debería establecer nuevos y más poderosos mecanismos de protección respecto a su infraestructura de tecnologías de la información y de comunicaciones para cubrirse de los riesgos de ataques que se pueden diseñar con la información que se entregue; con lo cual, se iniciaría una carrera interminable entre establecer barreras de protección y divulgación de especificaciones con las que individuos o grupos antagónicos tendrían mayor oportunidad de concretar un ataque. Dicha determinación es además proporcional considerando que, como se ha explicado, dar a conocer las especificaciones de la infraestructura de tecnologías de la información y comunicaciones generaría un riesgo o daño de perjuicio significativo, el cual sería claramente mayor al beneficio particular del interés que pudiera existir en el dar a conocer dicha información. Por lo tanto, la reserva en la publicidad de la información, resulta la forma menos restrictiva disponible para evitar un perjuicio mayor, y deberá mantenerse en esta clasificación por un periodo de cinco años, toda vez que el Banco Central continuará utilizando la infraestructura tecnológica protegida por la presente prueba de daño para el ejercicio de sus funciones, considerando que los periodos de reemplazo de la infraestructura tecnológica, y por consiguiente la vigencia de sus propias especificaciones, se extienden a rangos de entre diez y quince años. Además de que su divulgación posibilita la destrucción, inhabilitación o sabotaje de cualquier infraestructura de carácter estratégico o prioritario, como es la que coadyuva a los procesos de emisión de billetes y acuñación de moneda a nivel nacional y, en consecuencia menoscaba la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas y, en el caso que nos ocupa, de la economía nacional en su conjunto. Asimismo comprometer las acciones encaminadas a proveer a la economía del país de moneda nacional, dañando la estabilidad del poder adquisitivo de dicha moneda, el sano desarrollo del sistema financiero y el buen funcionamiento de los sistemas de pagos. Finalmente, la divulgación de la información obstruiría la prevención de delitos. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 13 de 83 JF-1 BAN(Qo,f'\ÉXI(O 1 DGTI.ESPTl.20.01.1 En consecuencia, con fundamento en lo establecido en los artículos 6, apartado A, fracciones I y VIII, párrafo sexto, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 1, 100, 103, 104, 105, 108, 109, 113, fracciones 1, IV y VII, y 114 de la LGTAIP; 1, 97, 100, 102, 103, 104, 105, 106, 110, fracciones I, IV y VII, y 111, de la LFTAIP; 146, de la Ley General del Sistema de Seguridad Pública¡ 5, fracción XII, de la Ley de Seguridad Nacional; 2o. y 3o. de la Ley del Banco de México; 4o., párrafo primero, 80., párrafos primero, segundo y tercero, 10, párrafo primero, y 29, del Reglamento Interior del Banco de México; Primero, párrafo primero, Segundo, fracción IX, del Acuerdo de Adscripción de las Unidades Administrativas del Banco de México; así como Primero, Segundo, fracción XIII, Cuarto, Sexto, Octavo, párrafos primero, segundo y tercero, Décimo Séptimo, fracción VIII, Vigésimo segundo, fracciones I y 11, Vigésimo sexto, párrafo primero Trigésimo tercero, y Trigésimo cuarto, párrafos primero y segundo, de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así corno para la elaboración de versiones públicas}}, vigentes; las especificaciones de la infraestructura de tecnologías de la información y comunicaciones, del Banco de México, se han determinado clasificar como reservadas. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 14 de 83 Jl?;i BAN(Qo,f'\ÉXICO DGTI. ESPTI .20.01.1 ANEXO "A" https;//es.wikipedia.org/wiki/Metasploit, Consultada el 22 de enero de 2018 Mmsplait - Wiki¡:edia,.b ei>c:i.clopedj: h"ln .!. No ha!;. "cce Artículo Discus ór. Leer Edi!N Verhlstorial il-111~ I~ WIKIPEDIA Metasploit Metasploit e\ un proyecto open source de. Portad.'.! seguridad infonnáticn que proporciona iofonnación Metasploit Framework Portal de la comunid.'.ld acerca de rnlnerabilidades de ~egu.rid.1d y a:i..ida eo Acru:l!idad W,W{.TechGeek365.COITi:f,jl , tests de penetración "PentestiDg" y el de~-u:rot!o de Cantios. recientes ww«.mecz,poilrom¡f y ,,vww met.1sploit.com@ Páginas nuevu firmas para l.'Ískm!IS de dé>teccíro de intmsos. Págin:.i llleatoria Su 5tibproyecto más CODDcido es el Metasploit metasploit® Ayudli liJ Framework, una herramienta para de~am:illar y Donaciones Noti'icar un error ejecutar exp!oits contrn 1lllB máquina remota. Otros mbproyectos importantes sou la~ ba.ses de dato, de Imprimir/exportar opcodes (códigos de operación), tui arcbivo de Crear un libro shel/codes. e investigación 50\Jre segwidad. Det:ea•gar como PDF Inicialmente fue creado utilizando el lengu.,je de Ver.;ioo pam imprima- progran1.ic.iói1 de scripting Ped a1mq1ie Información general En otros proyedos actu:úmeute el Mdasploit Frameworkb.a sido Género Seguridad escrito de !lDeVO completamente en el leagu:ije Willimedia Commoos Programado en Ruby Wíltilbrol Ruby .. Sistema multiplatafonna operativo Herramientas Índi ce [ocu!lar) licencia Licencia BSD En otros idiomas 4 C3rgas útiles ¡,,_,.JI 5 Referencias Deulsch 6 Enlaces e~temos Engl:Sh Fran~ois S ;$:;l Historia [editar] Metasploit fue creado por HD !-·!oore en el 1003. como una herramienta de red portátil usando el lenguaje Portugués Peri. El 21 de octubre de 2009. el Proyecto Mdasploít amwció1 que había ~ido adquirida por Rapid7. P;,i:ct001 't'.A um empm.a de reguridad que ofrece soluciones unificadas de ge,tión de \111nernbilidades. 13más Al igual que !os productos de la competencia, como Core Security Technolog¡es y (ore Impacto. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 15 de 83 lB BAN(QoEf\ÉXI(O DGTI.ESPTl.20.01.1 Mer...pl.oit - Wili¡,e Jl.ofetasploit ,.e· puede utilizar parn probar la vulnerabílid:ld ele los ~i;temas infon.mitico, o enlrar en sistema, remotos. Al igual que muchas herramientas de segurid:ld wform.itica, }.,fetasploit ~ puede urilizar tanto p.:ira activida~ legitimas y ai.1torizacfas. como para actividades ilícitas. Desde fa adquisic.iou ele };fetasploit Frnrncwork. Rapid7 ha añadido dos Open ,mu·ce ''Código abierto" ll:torndo,; Met.1.•,ploit Expres;; y Meta&p]oit Pro. Meta;ploit 3.0 comenzó a incluir be1Tamiei:ias di' fuzzing. utilizad..,~ parn descubrir las v1.úne1-abilidadi's del software. en lugar de sólo explotar bugs couocido:.. 1Ieta;ploit -tO fue lam:ado en agosto de '.!011. Marco/Sístema Metasploit [editarJ Los pa~-0 .. ba'.icos para la explotación de un '.i.stenia que utiliza. el Sistema incluyen.: 1. La ,;elección y cooñgu:ación de un código el cual se rn a explotar . El cual entra al sistema objetivo, medtantr el aprovechamiento de un.1 de lmgs; Existen cerca de 900 e¡¡ploits incl111dos para \Vinclows . Uui..._ _.' Linm: y J\.fac OS X ; 1. Opción para comprobar si el ~is1ema ~tino e'. susceptible a los bugs degidos. 3. La tecnica para codificar el ~is1ema de prevención de intm~ione; (IPS) e ignore la c¡¡rga íitil codificada; 4. Vi~uatización a la hora ele ejecutar el e¡¡ploit. Metasploit s,e ejecura en Uni." (incluyendo Linuic y Mru: OS X) y en '.l.'!lldows. El Sisteni.'1 Metasploit se ¡ruede extender y e~ capaz utili= colllplementos en ,,ari.o.'> idioma;., Pnrn e.legir 1.lll exploil )' la ca:rga útil, se necesita un poco de ÍllÍonnacián sobre el sisi.ema objetirn, como la ve.rsión del Iisteulll ope.rati·,o y lo~ s.eniC'io:s de red m~alados. Esta infum1ación puede ser obtenida con el escaneo de puertos y "OS fmge.1.printing", puede~ c,btene.r esta información co.n heaamieaus como Nulllp, NeXpose o Ne~~1.1S, esto,. programa,, pueden cletechl!· vulne1·abi!id,u!e$ del sistema de destino. Meta;ploit puede importar los datos ele la explorncióu ele ,'lllnerabilidades y cowpa.ar llls vulnerabilidades identi:ficada~.2 Interfaces de Metasploit [edi'.arJ Hay varias Í1llemces parn. :M.e-tasploit di, pocibles. Las m.is populares son mantenidas por Rapid7 y fatratégico Ciber ucl Edición Metasploit (editarj La versión gratuita. Contiene una mterfnz de linea ele coU1audos, la impot1acióu de terceros. la ei..-plotacióu manual y meua bmta. 3 Edición Community Metasp!oit [editar] En octubre de 2011. Rapid7 limó l\!emploit Commur:uty Edilion, m a interfaz de usuario grahúta basada en la web para ~fel11sploit. Metnsploit comru1uiity .incluye, detección de 1-edes, navegación por módulo y l.'l ei..-plotactáu 111anu.1l. Metasploit express (editar] En abril de 201O . Rapid7 líhero 1'·1etasp.loit EK.press, tma edición comercial ele código abiato, para los hltps:.'./e,;.wik~.Or!,<'...-ilulMet,,ploí1{22'0lt1018 06:54 :36 p. m.] "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 16 de 83 Jl~i BAN(QoE]'\[xJ(O DGTI.ESPTl.20.01.1 Meusplait - Wilcipedia, la enciclapedia libre «p.1ipos de seguridad que neceitan verificar n1lnerabilid.1.des. Ofrece una i.oteñaz gráfica de 1muario, integra wmp paia el descubrimiento. y añade füe.tz3 bruta inteligente. así como la recopilación de pniehas auíOlllat.izado . Metasploit Pro [editar] En octubre de 2010, Rapid7 añadió Metasploit Pro, de código abierto para pruebas de penetración. :Meta~ploit Pro inchlye todas las caracteristicz de Metn¡,loit Expi-es~ y añade la exploración y explotación de aplicaciooes web. Armitage [editar] Annitage es una heuamienta de ge"Jtión gráfica pa:rn dberataques del Proyecto l\·!etm,ploit, ';-rni."'lhza objetivos y recomienda métodos de ataque. Es un.a hemunienta parn ingenies-os en. seguridad web y es de cod.igo abierto.. Destaca por su., contribuciones a la colaboración del ec¡,.üpo rojo, pemutiendo sesiones compartidas. datos y comunicación a travé~ de uoa única iostancia Metasploit4 M&sploit ofrece llll.lC"hos tipos de cargas útiles, ioclll)-endo: • 'Shel/ de comandos' pennite a los w.uario~ ejecutar ~oipis de cobro o ejecutar comaodos aroit.rario~. • 'Jl1eterpreter' permite a l lista de los de5.31.rolladores origimle.s: • H. D. MoOie (fundador y arquitecto jefe) • Matt Miller (software) 1Matt JI.filler (desarrollador del núcleo 2. .004-2008) • Spooum (clesaaolladar del núcleo 2003 basta 2008) Referencias [editar) 1. ¡ (•P..apid7 fü.'11sa.~ i§i. Rap1d7. Consultado el Rapid7. Consultado el esl~ li!dia eslll pasad.1 18 de febrero de 2015. lo le ag¡w. cao;o por Íl!\•or y gracrns por stt 2. • [hnp:. 1,www.metasploit.com!dom:tload nta1cion chaus.ini.. «Hemmi.ienta de Pruebas de Pe!letración, 3. ¡ " b Piautit:.,:Cirnn web Meta~l.oit, gratuito ~scargar - Rapid7»]. 4. t Pl.a:ntilfa Gte ooticias. Enlaces externos [editar] • Toe Mo?tasploit Project rfl website oficial • Licencia BSD tres cláw.uL1.s @ :Met&'Ploit Repo!.itory COP'YING file. • Rapid7 U..C @ Em¡Hu dueña del Proyecto Metasploit • Lugar de de::.c.u-ga ,¡; ICateg orías: Software ltbre I Seguridad informática "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 17 de 83 BANC0°[r\ÉXICO DGTI.ESPTl.20.01.1 Se -editó es:a página por Úl1irro vez el 13 nov 2017 a las 05: 13. El te:..to es~l disponible bap 13 Lice~a Creabve Comrnons .A::.ribu:::r.)n Corr,p.:rtr Igual ~.C·; puadln 3plícarse ctiusufas adicionales. Al usar este sitio. us~ed a1:.ep':.1. nuestros t~-rrJnos de use y nuestra pclÍ1Cl de, piv~. Wikipedi a® e.s una marc.3 re,gistrad.:.: de la Fundación Vlildme Nom1;¡·W3 de priv.Jckfad .t..oerca de \Vwpedia llrrit~":tcion d~ respon~ tad.ad. Desarroll~dores .J~ckiracíón d.:: coolae.s Versión para rróvi~s http<,://a.woopedia.or~fv.ili'M..t.,,¡,loit{221QlrlíJIS 06:S4:36 p. m.] "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Pá gina 18 de 83 }1~ BAN(Om:f'1[XICO 1 DGTI. ESPTl.20.01.1 "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 19 de 83 lB BANCO DE t\[XICO DGTI.ESPTl.20.01.1 ANEXO "B" https://www.computerworld.com/article/3257225/rnicrosoft-windows/intel-releases-more meltdownspectre-firmware-fixes-microsoft-feints-an-sp3-patch.html, Consultada el 3 de marzo de 2018 r, ) Scanning the offíc:.,al MicrO(.Qde Revision Guidilnce f ebruary 20 2018 lpdf). you can see that Coffee L..J ke, Ka.by Uh, !:Jay Trail and most Sl [ Rclatod: How to PJ'Otect Wlndows 10 pe, from r•nsomw•A ) Securlty Advisory JNIEL- $.A-00088 hu been updated with th!l sciu!b: NEWSI\NÁL~SIS We haw- now refe,u~ ncw producthln m lc.rocode updat~s ro our OEM lntel releases more Meltdown/Spectre firmware fixes, Microsoft customt"rs and partners for Kaby lai lnt~l now says 1t has rcleasct1 really new, rcally good firmware versiom, for We conrmue to recommend fh a-f OEMs. cioud ser.,,ice rnost of its chip.~. p roviders, sy.stem manuf.:rcrurers, so ftw.:,re vendors, and end usirs Jtop dl!ploymenr of previ ousJyrf1t,.uued v"rsions o/ lntel chips covered, and those not covered certai.n mkrocodc updat~s addresslr19 v~rf~nl 2 (CVE· 20l 7· 5715). as they may introduce t,Jgher-than · eKpecled reboots aOO other unpretflCQti,(~ .system behavior "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 20 de 83 lB BANCO DE t\[XICO DGTI. ESPTI .20.01.1 We .tfso i;ontir1ue to •sk tNt cx,r indust,y partncrs foc.us and 'Meltdown' 11ariant 3 unrll new microcode can ~ l oitded effort$ on e11aluatin9 the ~ta m/crocode updates. on the system The "For most users" update is kB 4078130. the surpr1se Friday evening For those eonccmt'd .at>out syJtem Slabi/Uy whUI! we fir,alize patch. rele11sed on Jan 26. which ~ almost a mooth ago: these updared soturions. earlJer th1s wuk we t1dWsed that we wer-e working with our OEM partrrers to provlde BIOS updates us,ng previous versioru of mic.rocode not erl'libitil19 these On FmUy night Mrcrosolt released a st,.,nge p.itct, allc-d~ that "di1ables mitigc1tion dS)Jrinst Spectre, Vflticmt 2. ~ The KB article goes Wue.s. but rlJ,t .ilso remoWJd thff m iri9ation$ for 'Spe<:.tre' to great fengths describing how lntel's the bad guy and lts rrncrocode vananl 2 (CVE 2017-SlJSJ ~tche1 don"t wo,lrt rigftt: Microsoft .also provid~d two rcsourccs IOJ' uscrs ro diubl~ There aren't arty dctít;ls, but app,areritty thís patch - which isn't beitlg sent out the Window.s Upó.ate cht.itc: - odds two regístry .settir,gs th.lt 0tigtr1af m/crocod~ upd.ites on plaUorms exhibíting ~ma nu.:,Uy disabfo mitigat,on ilg.ainst S~trc Variant 2" r,1npred/ctlble beh.wior: Rummaging through the l~ngthy M.lcro:,o(t Pro <'.iuiFW\~ there's an For mo.st US"1T:S - An .tt1tomatic IJllSUU:. avaitat;J/e vi1t ttle IT imt,ortanl warning: Microsoft® Updare Cata/og which disables 'Spectre' variant 2 (CVE 2017-5715) mitigatíoru without a BIOS update. Thls ( Got • 1p11ra hour? Takci this online course and learn hcw lo inrtan and update supports Wlndow1 7 (SPJ}, Windaws 8 1. ;and aJI conflg\lrt! Wlndows 10 whh the optlons you need, l versions of Windows JO • cli.mt iJnd server Customers who onry /nsfall the Wmdows Janu~ry and Fet,ruary 2018 For ildvanced IJ.Sets - Rekr to the fo(lowmg Know/edge San secu,ify upCIMes will no! rect"fve the beneOt o( i:,1/ km,wn proter.:Uons (KB} •rtrcles ag.ainst the vutnerabilWes. In ,1dd1tion to insraJUng the J~nuary artd February security updi!lO$, a proc~ssor microc~. or firmWtif'fJ., upd,1te is required. Ttlis should be available rhrough your OE:M devJ.ce ~ ; IT Pro Guldance m.inuf,1c:turrr. ~·Server Guit:Unu Microsoft firmware update for Surface Pro 3 Soth of~JC' optforu el1m1n1t~ ftle nslt of reboo: or otner unp1C'dfcr,1bfe sys1cm bchmrior aSJrx:i;ne,d wilh lhe orig,r,.,I m,crocode updarc anct rerain m iligalions for 'Speclre' variant .t In what musl be an amaz.ing co ncidence, last nighl Micros.ofl ret.eased a ~ . firmware update for the Surface Pro 3. lt's currenlly available as a manual dowffload rMSI form.1n for Surface Pro 3. 1 haverú seen it come down the Wíndows Update chute. Pt'!rhaps Microsoft 1s beta testíng it once .again. Pcr Br.andon Records on the ~ : We 've rere,uC'd .a new driver 11nd fim1ware u¡xJ~te lor Surface Pro J. Thls update ini:tudes new firmware for SurliJcr Uf.FI which resolves p tnenClal secun'fy vuln•r•billfies, irtcluding Microsoft s«<;urity advssory J:.~ .Q.0.2., This updtJtc ff. avai~brc m MSI fo,mat from ,ttc Surface: Pro J Ddll'f!tS and Firm!Ylfc pape: .tf t~ Microsoft Oowntoact Ccnter. Except, golly, the latest verslon of the patch on that pagt {as ot 10 am Eastern US timel Is marked "Date PubMhed 1/24/2018.~ The officlat ~ Pro 3 vodate history page 1/sts the last firmware update far the SP3 as being datcd Ott 27. 2017. Woody L~hn,d i, o col-LJ mm,t IX (cmpclt~fw061d ,mdout/)or o! daum o( Window, book1. And, golty squared, t~1kOOiQU Sec.urity Adyf¡ory 180002 doe~m't even ,nt1u,H.11g 'WJfldow3 IDAll·in·Dn, fur Vvmm111!1. N mention the Surface Pto 3. lt hasn'l been updated since Feb. 13. lt tinks to the SurfAc~ Guidance to prored .against speculative execution side-channel 11ulneri1bilities page, ~ . which doesn't mention the Surface Pro 3 and h1sn't been updated since Feb. 2. 5 tlps fo, worJúng with Sh•rePolnt Onfln• You'd hé:lve to be incredibly trusting - of both Microsoft and tntel - to manualty instan any Surfact firmware patch at 1his point. Panlc uhuly whe n YOU M16HT LIKE you realize that not o ne single Melldown or Spectre-related exptolt Is in the wild. Not ene. Thx Bogdan Po pa Softpedía News. Fretting 011~ Meltdown and Spectre? Assuage your fears on che~ "2020, Año de Leona Vica rio, Benemérita M adre de la Patria" Página 21 de 83 BANCO DE 11tx1co DGTI.ES PTl.20.01.1 New Site Finds ¿Cómo Se Hay Mu i::ir,n:F,n:ier C•mc;tV<,:11 !.Ub;m.u-.: t:,llut~III Cu.u,n kl:i,li,liWl:'1 ..~ ¡la Facilidad Error De ¡quÉ Lujol Los Lo, Millonarios Bitcoin· Para Los Mercado: ¡miles 10 Avíone-s Están millonario ldiom.as. Es De lphonea Privados Más. lnt l"ntando Quiere Que Se F',n l f>t••mll•• r 'lur.&V.rlll Oau f·(• U.11i,,M ,.u 1i.•u-.Jrw~p>1nt iHam~4 SHOP TE(H PRODUCTS AT AMAZON 1 tr,tg f,lj(f!QfiA.fl7R7rlq;< ~ ~h (j,r,n Curft il-H1~>QK e,ur:Uft{JI $341 119 2. ~ i'.t!i.. S.!.akH etilil!llcdtll·lr«ih !Z:000 tntr,I LCl!'Qi§. ffi::wm: iQI f.7PH ~7 3. Miu oey!t 5_:J_r'f~co Pr~\lntol.Cq@j5.._SGB RAM,...2!.-6CBJ.- Now~ ~ i10.17 26 "2020, Año de Leona Vica rio, Benemé rita Madre de la Patria" Página 22 de 83 lB BANCO DE M.[XICO DGTI.ESPTl.20.01.1 ANEXO "C" https://www.gob.mx/bancomext/prensa/accion-oportuna-de-bancomext-salvaguarda-intereses-de-clientes y-la-institucion, Consultada el 15 de enero de 2018 COMUNICADO: ACCIC)N OPORTUNA DE BANCOMEXT SALV AGUARDA INTERESES DE CLIE... Págin.t I de I COMUNICADO: ACCIÓN OPORTUNA DE BANCOMEXT SALVAGUARDA ,,.~ a .1n:.c. N;mco,d tic Concrc10 f .. l1:ll(;f. \ ttC. INTERESES DE CLIENTES Y LA ,.~ct1.:1 4111u:i1·;,1(10.n INSTITUCIÓN 1\lrl~'!r,t'l°.o 0..1\llR .~.,''"tnn:. (cf'IU"lltAdi; ACCIÓN OPORTUNA DE BANCOMEXT SALVAGUARDA INTERESES DE CUENTES Y LA INSTITUCIÓN ::. fa:-,m:o N,J,;.1anal de Cc·rnrrci,:-3 E.,::cnc., ~B;,,n;;.;Jrrüt.l r:form,;; q 1 ;:·, ,:; r.it·'.'>.~" 1t· lüs ro:,,r<,,1.;.1•; mt->d rJn:. 11: xi1_.1n.:.1d cor qJe i~ni,i, f-1d1.:t 1 ª"' ~-:,¡ro r~;~· ·.,;: :. rr,;:, Ct lJ",. I~ Ol' ?·~ : ~J p!til.:1lar1n,·J :1~ r;:;;.:c;-<.; J"ll E>!'"Oil("/t1( ,JclA!J F'i! ; ;"!'.ii.1.'t ::ir: • Jf' .a; Jt1:(¡f.:1~1~1:~ t1~111 c•rn.:i,;.c, ~1..,t: ~ rr11;d•.. :, op,era,1d1-.1-! \1:: fJ!t!iuriL,;!; 'lt,1(k 1'.l'S' ,•:: :,im 1r .l tn1-1[1r. ,t9Dr'lir'S uC\IWdM (·11 orr11~ ,n~:t:1,::11.: ..,1'.S i·,~ r,.,;,•,,:1(0 '/ Arn(:r lr.J 1 :W!h.l At;,irtu·1cJ tlr'~,(·m~_\ •.:I J1rOl(lti,1o yL:1 c¡.,,;,l1, u1,I r<·a,.ti6ri de IJ!i a!t:J\ r•:: µ :,;fl'..Jt~k:, d-: • t!P•fr;;. ;,.;( ,!J, t.c~, ,e dP-0f•)U~ k:!o bdf't:..C:S )' l,j~ di; ~:)! d. C.Jt<' dr:.t,:1,:·..:.r Qwc l·:t'S 1m.:-rcs.cs d~ nvt"!li.rro~ c.i1rr1·c-¡ !' l.j¡ :!el Fr i::::,1,:. Ei:un.:c, .r.~· ~ :r,1r-, il '>Jf..io-¡ qwe .-,..-o:mf!l.in. ~ fPar.~Jrl..v,,b ..::fi"' ,,C,(),...... ;; ::iur .:í :s•,15 C!JPJ'lP•; )• {'OJ ,11.i!fiarIºS (-.;·f1l:.1r'W (hrtus ,·1;.-.,,w.. i,J,·c·tx,oA f(,1n/:,/·,~m:•1,'>t•;t'.t r.,11p" l•-bHp .IJ,·,.w. ;,;t-1:.: rn.:JtJJr·,cJJnHr,t.'r ~er,sJl.:ic.tJon o¡;::CM\.Jrl.J dtt b..irnr:1~..;l Si1 1,'Jtfli.'l"'l!,1 .., t_e;rps_.;:ic. r1f :-ht1n1i:: s 'j 13 1r<,fih ... lo.n~.'ir1·• c;r,~v~p¡f"(p;, 1 ,9,:,1.tH .,.,....,¡, ! t ~ t ,iJ,:J1~l.. •,'-t,u ...,, •'••• .. , !,.. ¡sW19K•M,i .. ! .!~ i•i1ll("... , .~~ .., .,,,.; , i ., .,,.... . - •., rr1,.'1 1,.,u,1 lfo!t:.:um, ,·~ ...rcrxw( ·!IG,~r .,,, ~,· '.'."::'"',i'.,.~U.:·~)·t,!.Jr,.'!J:;e-. '\C.• ..i.11 -.. ~ htlp$:/lwww.go b.1t1;,¡,'hancomc:..tlprcnsa/acdo11-opor1una·dé-bancomcx.t-~al vuguarda-in1crcsc;;-tlc-d icn1e,~-y-l ... 15/0l .'201 K "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 23 de 83 })~ BAN(Qo,f\txICO 1 DGTI.ESPTl.20.01.1 ANEXO "O" https://www.theregister.co. u k/2017 /10/11/hackers swift taiwa n/ Consultada el 22 de enero de 2018 fücke,:. nick S60c.1 fi:om Taiw:me.,e bam. u, rail.ored Si.l.'!Fí attrl • Toe ~gister Lcg in S~~n .JP F:irurns - Secmity Hackers nick $60m from Taiwanese bank in tailored SWIFT attack Arrests after customízed malware apparently used to draín millions By fain Thomson in San Francisco 110 SHARE 11 Oct 20H at 00:58 ,. Updated Hackers managed to pinch S60m from the Far Eastern lnterna!ional Bank in Taiwan by infiltrating its computers last week. Now. most of the money has bee n recove red, and two arrests have been made in connection with the cyber-heist. On Friday, the banl< admitted tl1e cyber-crooks planted malware on its Pes ami servers in arder to gain access to its SV'/IFT terminal, which is used to transfer funds between financia! lnstitutions across the world. The malware's masterminds, we're told, managed to haivest the credentials needed to commandeer the terminal and drain money out of the bank. By the time staff noticed the weird transactions, S60m had http:¡:.'-'ww111•.tl,eregí.;te1· co.uki20¡ 7.1\0-'J. J,'backm._,".¡ft_raiwu,/(22'0111018 07:03 :}S p . m.J "20 20, Año de Leona Vicario, Benemérita Madre de la Pat ria" Página 24 de 83 / BANCO DE r\[XICO DGTI.ESPTl.20.01.1 ~ mc1c $60m fu= T.iw;meoe bank in.tailared SWIFT attack • The Rezister already been wired to banks in the US, Cambodia, and Sri Lanka. Far Eastem vice president Liu Lung-kuang claimed, as they always do, that the software nasty used in the attack was of a type never seen before_ No customer infonnation was accessed during the hackers' raid, he said, and the bank would cover any losses. According to the Taipei Times, the Taiwanese Premier William Lai has thrust a probe into the affa1r, and has asked the banking sector to investigate. lnterpol has already begun its inquiries, and - thanks to security mechanism introduced between banks - all but $500,000 has been recovered. Two arrests connected to the theft were made in Sri Lanka and, according to the Colombo Gazette, one of them is ShalHa Moonesinghe. He's the head of the state-run Litro Gas company and was cuffed after police allegedly found $1 .1m of the Taiwanese funds in l1is personal bank account. Another suspect is still at Jarge. There has been a spate of cyber-attacks against banks in whicll miscreants gain access to their SWIFT equipment to siphon off millions. The largest such heíst was in February 2016 when haekers unknown (possibly from North Korea) stole $81m whi[e trying to pull off the first $1 bn electronic cyber-robbery. SWIFT has, apparentty. tried to help its customers shore up their securíty; it seems the banking sector as a whole needs to be more on its toes to prevent future unauthorized accesses. ® Updated to add A spotcesman for SWIFT has been in touch to stress: "The SWIFT networl< was not compromised in this attack." Sponsored: Mincts Mastering Machines - Cal! for papers now open Tipsand correction s ~ Sign up to our Newsletter - Get IT in your inbox daily MORE Swift Hacking hlt¡x.:11\V\\'W.tlmegisb!r.eo.uld201711 Qfl l/hacker.._•wtft_ta,,,a.1[22!0112018 07:.03:JS p . m.] "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 25 de 83 Jl\.-5 BAN(QoE t\[X!CO 1 DGTI.ESPTl.20.01.1 ANEXO "E" hlli!J/www.reuters.com/article/cyber-heist/swift-says-hackers-still-targeting-bank-messaging-system idUSL2NlMN298?rpc=401& Consultada el 22 de enero de 2018 Wor1d Business Markel.s Po tics T\I D APT28 Vs Javelin See What Would happen lf Javelin As Put Against APT28. Watch Video 7 Javelin Networks Now! SWIFT says hackers still targeting bank messagíng system Jim Finkle TOR0):-:-0, Oct 13 (Reuters) - Hackers contiuue to target the :', WIFT bank m.-ss.aging system, thoug:h security contrnls ínstituti.-d after last year·s $81 million heist at Bangladesh's central bank have helped thwart 111any of those attempts, a senior SWIFT official told Reuters. "Attempts continue." said Stephen Gilderdale, head ofSWIFT's Customer Security Progr:uume, in a phom.· interview. ''That is ,,,hat we expected. We didtú expect the adversaries to suddenly disappear.. " TI1e disclosure under,;cores that banks remai.n at risk of cyber attack& targeting computers nsed to access SWIFT almost two years after the Fehma.ry 2016 theft from a Bangladesh Bank account at the Federal Reserve B:mk ofNew York "2020, Año de Leona Vi cario, Benemérita Madre de la Patria" Página 26 de 83 111 BAN(Qocf\ÉXICO DGTI. ESPTl.20.01.1 SWlFT say; !J.%ci:en stiU tnr~tti,¡g bmk mmcgill~ •},teul Gilderdale dedmed to say how many hacks had been attempted this year, what percentage were successfu1, how much money had been stolen or whether they were growing ar slowing down. On Monday. two people were arres1ed in Sri Lanka for suspected mouey laundering from a Taiwanese bank whose computer ">ystem wa!i hacked to enable illicit transactions abroad. Pohce acted after the state-owned Bank ofCeylon reported a suspiciom. transfer. SWIFT, a Belgium-based co-operati\·e owned by its u5,er banks, has dedined comment on lhe case. saying it does not discuss individual entities. Gilderdale said that some security mea!'.ures i.u'>tttuted in the wake ofthe Bangfadesh Bank heist had thwarted attempts. Asan example, he said that SWIFT had stopped some heists th.ank1o toan update to its software that automatically sends alerts when hackers tamper \Vith data on bank computers used to acces<, the messaging network. SWIFT shares technical i.nformation ali out cyber attacks and othei- details on how hackers target banks on a prívate portal open to its memberr;. Gilderdale was speaking ahead of the organizatlon · e; a11nual Sibos global user c011ferei1ce. which starts on Monday in Toronto. At the confrrence, SWIFT will re1ease details of a plan to !".ta.rt offering secw·ity data in "machine digestible" formats that bauks can use to automate efforts to discover and remediate cyber attacks. he said. SWIFT will also uuveil plaus to sta.It sh:u:ing that data ,vith outside sec1u-ity vendors so they can incorporate the information into their products, he said. Rfporti!lg by fon Finkle. Editing by Ros~a O'Brien Our Srandard.s. U. 71tq,tsml Rguten Tru¡t Principles SPOHS0R!':D "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 27 de 83 BANCO DE MÉXICO DGTJ.ESPTl.20.01.1 ANEXO "F" http://www.bbc.com/news/technology-38573074 Consultada el 15 de enero de 2018 Ukraine power cut 'was cyber-attack' - BBC News Página I de 5 Home News Sport Weather Shop Earth Travel Home I Video I World I UK I Business I Tcc11 1 Scioncc I Sloncs I Enlonalnmcnt & Arts I Hcallh I Wo11d New, TV I More AOVERTISEM.ENT Technology Ukraine power cut 'was cyber-attack' Top Stories 11 Jvnumy 201? f '# O IS:'.i -! Shere Raid on Venezuela pilot ends in bloodshed --1 llou,s ago Turkey denounces US 'terror anny' plan 9 hOur?, ago Cranberries singer Dolores O'Riordan dies 1 hourago AOVERTISEMEN1' A power cutlhat hit part ofthe Ukrainian capital, Kiev, in December has been judged a cyber-attack by researchers ínvestigaling the inciden!. The lllackout !asted ¡usl ove, an hour and slarted jusi before midnight on 17 o c~cember The cyber-security cornpany lníorrrHJ\ion Systerns Security Partners (ISSP) has 1,nked lile incident to a hack and blackout in 2015 that affected 225,000. lt also said a saries of other recent a1tacks in Ukrain8 were connected. The 2016 power cut had arnounleó to a loss ol about one-íilth oí Kiev's power consumptron al that t,rne of nrghl, natronal energy cornpany Ukrenergo sa1d at the time II aílecled lhe Pivnichna substation outside the ca pital, and lefl peo ple rn part of the c,ty anda surrounding a rea w,thout electncity unt,1s hortly alter 01,00. Features htt ://www.bbc.com/news/technolo, -38573074 15/01 /201 8 "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 28 de 83 lB BAN(QoEJv\[XICO DGTI.ESPTl.20.01.1 Ukraine power cut 'was cyber-attack' - BBC News Still Friends? The trouble with otd si·lcoms ISSP Oleksii Y3snskiy, a N!I~ • iSSP, said the auacks io20t6 l!líld201S"were not much d1fferent~ The attack took place elmost exectly one year after a much larger heck on a regional eleclricily dostribulion company. Thal was laler blamed on lhe Russ,an security serv1cas. The Japanese star who taught The lalesl allack has nol publ,cly been allnbuled to any slate aclor. but Ukraine has China's young about sex said Russia directed thousands of cyber atlacks towards it in the final rnonths of 2016. 'Not much different' ISSP, a Ukrainian cornpany invesl1galing the incidenls on behalf of Ukrenergo, now appears to be suggesting a firrner link lt seid lhet both lhe 2015 and 2016 eltacks were connecled, along with a series of 'Floating on air" after 19kg tumour hacks on other state insrnutions this Oecernber, lncluding the national ra itway is removed system, severa! govemmenl minislnes and a nalional pension fund. Oleksii Yasnskiy, head of ISSP labs, said : "The attacks ,n 2016 and 2015 were not much different - the only distinction was that the altacks of 2016 became more cornplex and were much better organ,sed." ~ Tha missing • aftermath of Trump's crackdown The Israelí boy who survived Mumbai attack BRi:: ~IDAH HOFFMAN He also said different criminal groups had worked together, and seemed to be testing techniques that could be used elsewhere in !he wort:l for sabotage. ~ However, David Emrn, principal securijy Researcher et Kaspersky Lab, said it was Looking for my brother was "hard to say for sure" ,f the inciden! was a lrial run. "lt's poss,ble, bul given lhat udícal infrastructure facilities vary so widely - and therelore require difieren! approaches lo compromise !he syslems - tha re-use of matware across syslems is likely to be limiled.' ha told the BBC. htt ://www.bbc.com/news/technolo -38573074 15/01/2018 "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 29 de 83 BAN(Qor_ t\ÉXlCO DGTI.ESPTl.20.01.1 Ukraine power cut 'was cyber-attack' BBC News Página 3 de 5 "On !he olher hand, if a system has proved lo be porous m the past, il is likely to encourage lurther altempts." 'Acts of terrorism' In De-cember, Ukraine's presideof, Petro Poroshenko, sa1d hacl\ers had ta,-geted state institul1ons sorne 6,50ü limes ,., !he rast two mon\hs of 2016. Desert lempfes of stone He said me incidents showed Russia was waging a cyber-war against the country. "Acis of terronsm aná sabotage on crifical infrastructure lacilttíes remain possible today," Mr Poroshenko said dunng a meeting of !he Nat1onal Secunly and Defence Council, accord!ng to a statement released by his office. 'The investigat,on of a number of inCldents ind,cated !he comphcily d,rectly or indírectly al Russian securily servíces." Chile's female prísoners pin their hopes on Pope's vistt Related T opícs Cyber~sl'!curity Ukraioo Sharethís Elephant's trunk? The story of the @sign Most Read More on this story Cranberries sínger Dolores 1 Ukraine hackers claím huga Kremlin emeil breach O'Ríordao d1es suddenly aged 3 NowrnbfJr 2016 46 Rape case collapses afler Ukraine cyber.atlacka 'could happen to UK' 2 'cuddling' photos emerge 29 February 2016 Denmark Facebook sex video: 3 Ukraine power 'hack attacks' exp!ained More than 1,000 young people 29 Sobruary 2016 charged Technology Black Dea1h 'spread by humans 4 not rats' Slill Friends? The lrouble wrth 5 o!d sitcoms Caríllion collapse: Mínislers hokl 6 emergency meeting Fordto invest$11bnin 1,000 youog people charg&d Time machine caltl 15/01/2018 "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 30 de 83 BAN(QoEJv\[XICO DGTI.ESPTl.20.01.1 ANEXO "G" http://baesystemsai.blogspot.mx/2016/04/two-bytes-to-951 m.htm 1, Consultada el 22 de enero de 2018 22/1i2019 BAE Sys:en:s Thre;1t ReS G• Más $igu·emei,q¡:. BAE SYSTEMS THREAT RESEARCH BLOG Home Products Solutions Newn & Events AboutUs Careers SUBSCRIBE Pooted by Sergei Shevchenko - Monday, 25 April :!016 3 .;i, ~l> 1o ~cew our regg C)lberThre31 S l.n Febru.L,y 20-id one o! lhe Largest cyber hels1S ·w.15 OClffl'N'li!d and subseqV'=nttj' t11scfose-:L Ar. unknown att3Cke-rg~ined access to?he B::mg!adesh Bank's (89) SWIFT p..1:yment systero .1nd report~Cl1 l1.str1.Jci::-d an Arr...er..can ba.'lk to :ra.ns.ter money from ee·s 3ccoum ·t:,. :iocolll~ in The Philippinn. -,,., artack<>rs all1!mplold to steal $95'm. c.'1"hlch $8 lm i• still un;,,,0,,.11'.«l lor. POPULAR POSTS The i.>chnical debil.s of the ;,11.>d hJV<> yet to e<> m;,de publc. howe-. ...,ve recen~~ -.lifiedlO T t..s m 3!v,ge ,1;,pE-ars. to be JU"S: par: da Wide-, at!.H ..-k !.OOlkrt... a,.,d would have tlef!n use-::1 t::a CCJl"er tt:-: WANACRYPJOR RANSOMlllORM a:i~· track.s. ..3~ they ~ent forged ~ymant lflstJ'l.J·:;l!:ins ~o m~!i.-a 'tr.!:: :,-..-i,ns~ 1'!i. Thi~ '11',ou-!d have, ham,:Ered 1":-e de~~r, and ff:5.ponse to tt-.e .:l!tL"lck. g;i'li'r,,g more time- for trie sub!eoul:'m rnoney 1.aundenna to ~k,e i:tJce. The lools are highly cont!g..able and given th" eorrect 3caess ooutl fe;>Sii,.!y be use .•. F...,, ...., COHTACl 525a~'!ae-l<>3-:l'lleoce H2a49"-3a54 td1~e.. 11 :mt 11.0:::.05 65.~35 e·~di.Jg. exe 22,:l 11:~'.l:20 Forf..tt,a, _..., ot IX>tü"' ""export, ¡E,15" contKt us. Hl.234 ev•..sys.~e 37e 13:45:3Q 24,fTe 11ro::f_b.e.xe 6207bil2842 b28a4 JaJ~O.J~~e :IClb 7 e"C l NIA 3 3.1!41! gpca.d.3: 183 ·w~ ~ .al &es were O'E.31ed by 1tNII! sam~ .act::,-(~}. bYt 1h:!:! m.ain foc~ of ';'.he report will be- on e:: s- .a :e1.ie4e31t:e.: t;ct : =:.:a-!Y@;e5 .;. : ,:1::.~ce ~.:::E' :1.sihis is. 1tie ~ tha".-conbii.tS kl;ic fer int'!r.JCting 'Mth the SWI FT !iOPhware. http:/,'baesys~sa.i.blogspot.mxl201 Ml4ftNo.b)'Ws-to-Q51m.html 1fl "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 31 de 83 BANCO DE t\ÉXICO DGTI.ESPTl.20.01.1 221112319 .8.AE Sys~ Thre;;,t Re.search Slog: Two bytes '.o $'~51 m Th~ .mJW.3.rl::' r,eg isters kself 3s .3 st?n,,ic; ~n:I cper.J~~.s ~th~ an env;ro..,rr.~nt rul"l"tftg S'NlITs Alli~nce software suite, pa,nrvci by an Orad The ma.~, pJrpos.e is t:t ins.pect S'.'t{!;:"f rr..._:assage!: "or striníJS defined. in the c::::ir,f¡gt..:r.n.on 1h. Frvm tflese mAs..s.:.,ges, tiis ma!v1o•are ca.n extract fields s.uch .Js tra.nsf1:'r ~ ~nd S'NIFT add,..C'sses to irll't:=ra!-1 W:1.~ ttie sys!r:m datab.:1se.. Thé.5E! det3Js are l!"'e-n use,d ~O: dele:e speciTic i:rans.:ict!ons. or tipdat-: trans,a;:;-tion amounts apae3f"lng in bahr,t.,-? reporjng rressa;i:1.:·s ba:.~ on :h-e ,rr.ou'1: c.i: Cc-'1·.•e rt'tH: ~ .:,v~1i:~ble iri SfEd4c JC·:CU.nt.s. Th1s. fun,7-:ion.ali:y r!J!"IS ir , a loo~ un1!1 Uam o n füh -=~tn.i,,;1r; 2016. This i :=> s Mahvarn co111lg anil loggin5 The ror.f;l{J,..r;:;,t:on f&e cc·n".a.ins ~1 list ofT3f!S,3cticn rDs. s-:>rne ad:fr:ions! e-n·vi"·:i:wnem. infoffi"aticn, ..:.1od the: fol!c-win-g •P ...~ JCrE:ss !o be us-eo for ..:::,:rmm.ir.d-and-con'J"ol (C&C;· .------__,__ ,_, ______,_ ___ --·-··¡ ¡' __: ; ~_li)s:- - ______,:~ . 11,1 ______,.. ,. _ ,__ ' ----·----··- - ·-·----- ···------·--·----.. -·----·----·-- - --·- -···--·· {. .. ::~'.:. .:-:-_:..R~~ ·-i:: ·: ; \ t~ s~I::; ·.. ~.,i:. i.Q.t. ='~.~.-~~=\ ~~?~·~~--\ L,:,;:,;.l ·.~. .: ..li.i.:- .~ .~e. .= .;¡.~_. ¿.-,1; ...... ( Mod11le patching The- mJ1,vare e-numerates .:111 pro:::esses . .:.nd if a p:rocess h3s 1he: module .:..:.'!:::.r ..a·:i.::o:. . d.:.l. loaderl i.n it. Jt ,,,~11 ¡:-1~cli 2 oy:e-s :n fts mt"'lT.nry at.? spl?Clfic o'f:.et The pat\."'h wil! rep!.10:.:? b)l"tt"s ,,x "'S a-nd :.:-:.:, .; ·~'i'".h ':h.¿ t~e.:. ,: :t& :· .1nd } ~;, ] . Th':s.e -::w·o byte-s a,re th-E< JNZ a,pcodf>, boe-fiy exp!ained Jis. ':f tte re:u.l: o( tite pre-·.;Jooo compar.=:.:m cpe.... a '!ión i= r..o~ z ero·. ihen ju111,e1/ :Jto tf-.e :a-rid.rr:~ that fa.i'(,mvo fhf:;. inctro~ onr p .fw:; .f byte:;'. "2020, Año de Leona Vica rio, Benemérita M adre de la Patria" Página 32 de 83 BANCO DE MÉXICO DG TI. ESPTl.20.01.1 2211/2018 BAE Sys:ems llue.at Re-ch Blo¡¡: Two t,y,es !o $951 m ki!y Gillily d>adl or ...-...,., s.JOCOK s chNk. The p&t,will repla.ce thi;2-G'fl!'~)omp w~h 2'do-nottlng (NO?) insttuciicns, 6c!Ml1 fon:i.ng tne host .appücation to belRve 1h.1t the faif~ chK:k ha.s in fact svcc:E-eded. For exa:nple. !he original code c:iuld lock like: ss ca test eax, eax sOffle importaftt chaü. ,s ()4 jn: f~iled if failed, ~ to "tai:et' lal>él Nlal 33 co xor e ax, Hll othef"Wi!.f!J s.e-t resu:t to o (succe.s.s) eb 17 i•P eJCit .ar,d t h~n eJr.i t failed, fil! 01 00 00 0 0 nov e ax, 1 set result to 1 (failure) Once- it's ¡:-3tched, it would ,OCW. fte: 85 C9 test eax, "ª" The :cl:..ou.ili. et:: ,roc!u!e i>along;c 1D SW1f1's Allianoe _,.. sui:e. ~<>·1oa'!! • Reading the Al'iance d.lLlbase palh from tlie ,eg,s,:ry. • ~ the databa5e; • Parlorrrin¡¡ dat.,base backup & res1Dre !unctioos. By modlfys,g 1t11e local áns:ance of SWlfT Alrance Acoess sc>f:ware. !he ma,ware gr~.n:s ~self'lh" abil~ to eJ1.ee~1e -database tr.ansae':ions 'fflthin ~h !:! 1,: ic~jm r,E,'Yf'Dric_ S\'{[fl message monitoring Ttie matwara: rnor.itors S',NlFT Financiai Appl;c.;rjon ~FN! mes~ by pantf'IG the r.on:ents o! the ( ~es. ~ .p:= .1 nd ,._ . : .a :. loca~ WChlJ ile óírectones: [aoc:t!"_::=s. :,;.,""E.: : \U~er~ ~~tz...:t,:.:\':!..';J ?~.;.ta \Lc·=.a.: \;h.:.l::...1.:::. ~ \:rn·:::r.. \ i::. \ :E-t.:>~-:_:·F.:,..T;: \tJ!!e:r~\A1:ic.ini.~-e:;.,;,:>.r \ ..~pt.i.t:..;.\Lo,=..;.l ,;... ::1i.a:t.!J \::ii:m\,=, ".....t. \ ------· J 11 parses !he rr.essages, lool "2020, Año de Leona Vicario, Benemérit a Madre de la Patria" Página 33 de 83 BAN(QoE MÉXICO DGTI.ESPTl.20.01.1 2.2/112:J tS BAE Sys:ems Threat Res.earoh Blog· Two bytlas :o Wó1m ,e);~r.Jid3 ~~~_:-P.?:_.PU:'.z' and !.:t.:::s;_~E.1::E'R_?;.;:::_-=~::t:'.E.S.':: TOm th.3:t sa.me messa_ge bt locli.in~ far ,:he> fohowing ha.·d ceded stnngs· r ·------· ------ 1. : __: ;.· ¡;_~~_':__ :___· :_) :_=::_i_. ~-~-·~.:~:. ·~_: __ __·_-. -.=_ : ...~.:' ~" _ ~. ...~ .._ ,:, ~.:::- ~?-:.<.:c-:i :c~:::...~·-!:a.,:;:. c::-. :::..:e ~p=a..¿.a.:. : L------ The m~1\\fa ~e v,ill uso:? this e:<.r..JctM d3t..l t:, f.Jrm v~Nd SOL sL~tE-ff'.cr,ts. ft att,e.mpts to ret02·ve, t"'le SV1/!FT umr,r..;e r--essac1~ r:; ~!:E~~_~_t..:.: :=~1.h.1: CCfTES?O!lds ro 1h e :r,3ns~r refe-r,s,nc~ and s~ntter :Jddre-ss ro?trieved eartier: Th1: Y.E:::;_~_tl<:r: r:. 'i.h-€n pass.ed ~o :E.::.~T!: s!at~men:s. dE -l e".!ftQ :he trans.ac1J::J.n irom ::he IOCJI dat.21b.1s1?:. ¡:: r:.:t:t. ?R:'.!-: "~1 ::,··1 .. :.--:; _v·rsc~_•• :·i:":E!\! ~"i"':- _-_r.__t1c·-, 1 ~-~ 1 i : E.:.t.:L :'T~~- ~.A>.:::-;t~F.._ T!::+:T_~~ :·:~E:'.:!: · · ~ · _S_····-, 1 ~ ~ ' ; Th~ SOL >s~..~t=· men: :!> are óe,pped. in:o ~ t~m~crary' illi? w"i't' ttw 'SQt' pre:-fü.. Tne SOL ~~ l~men~ ,ri!: pr~pendc¡i,d w-..1h 1tie ~llc:.ving r, re'iY.ted :i".jt-1< m;.on:s: S f::'. E:.:H.::· ::-CE'; ?.E:.:'." f'Et.¡: ::-:f'F; 1 ~E.": ~}'.f:~~::·.: ·:T::'; O nce-!he terr.pOf'ar¡ file •1,it.t'! t"'re SCl st a~'?me·nts t5' cc;"l5truc~e-:I it 1.s e:(e-cuted fro;i,o a sh':'11 'SCt"ipt 1..,•ith - " :t:~: 'i.l::. ~ pHmis-sions. An e.-.arr p!e- is shc.·.11r, OO:oo, : i, ~:-:-~ -··; ;;;···~-.. -. -,,-_·.· n-.;:.---.-,-_:.-.,- r- ~--~;~;-:.-..,-.--~---~:--.-.-."-.. -~,-J:-...- ,- ..- ...,,-.,- .-.--.-.-=---,-+-.-, -.. ----~¡ :~-r.,~ ~-::u:: - ----· -··--- --·-----·--· ...... ,_ ... .., ... ·-· ·- · "" -; ·- ·- -·- 1. - ~ lo gin moniloring A ter st..-;ir.. up th~ rr.1J l'll',1'are fJB.s (ntr; ~1 !or.Jp wh-er.e i-:. cori.st.~r:1fy cheoks ;:c..r the· .1,11.1rn al reo-cr-d th..r;:t o:::mt~-:U"'s t."'18- "Login" st"'ing in it' f ;:~~E::· - =~::~: t.;:E-:!:.:T - ::=~l:._i:.'3;.:...:t,;r_T:E: }:T, ·.:7J~1.~:i1::re_-rn::: fllQJd.. . . 1 ¡:;:·::":~~ _;;~ =::.::; ;.;~~-=;•;;:;; _~;:,:~~:: '~; LT 55~:,3: : ,:,~, Le,;H' __ __J lf it f.ai!s :o find the 'Lc:gh.. r-e,ccci, i: falls .:!$feep for 5 seoor.:::h. a nd the"'l 'tt'~e-!;', ,:;¡pi;n. Once t.he "'Login"' re,c::,,ó i~ found, !he maJware sends ..=:i G ET rl:Qt.JeSt ~o th~ remate C,!,w,C. -····-~----~--- .. -... ----~----··-····· ---- 'Th>? ma.t.vare r-.ci:iies tr;e remate C,5..C cach 1-.our cf ev~nts !:.end1r,g ""---:·· ;f 1le 'Lcg1n·• (open) ~ ·~re- m 00-"'t.lrr.ed, "---:., in C351? "log:,ut" (c/o:;e j event ·XCUrred CI" ""---1;n ~ n,ef:h,er OÍ ~.h~ EV·'?r.ts http:Nb.3esystsem sai.blag;spot.mxll01f.•04 ,'t..\~1.es.-t:>~E (m.html " 20 20, Año de Leona Vicario, Benemérita Madre de la Patria" Página 34 de 83 JB BANCO DE MÉXICO DGTI.ESPTl.20.01.1 2211/2018 BAE S~ems Thre.1t R.,...a, dl Blo¡¡: Twobyt;!s io SQ51m ~.e.g.. Maoipulating balances Th :~C.::'_:,:;.:•·iz: .: : \t.r~e::::"' -~'3.!.~:..,,~=:.ir.to::\ A:=:;:.:'a"t..t \.!.-.,c.:i..1 ..Al::::.. ..r-.~\ mcp\:.n\"'."' :;:.-: ::R?-:-:-_:i=:.:,:::t.j : \t!''!l'cr:5\.A.±:::.!.~:.~t=.-t.::\A:;:;?!::.:..ta\I.o..:.a.l J-...lli...a.::-;..~ \ :r.e·p\u?":.}: \ ~ . - :~~-~-:-_:-R:nE: : \tr!!~:c~ Adllaihi:5'!:I•to:.: '-~~3=?! .;.e.:. \L=--:-.;. t ~.ll:.:..::.!! \TC-:-~ ::.:'~p ::a.= :>:'_'.:]::.:•·'1:: :\t,"~e:r.~ \ .r"~::..r.:..~t=~"t...:l::\A:;.:?C•'C.:.. \L,:,-=.:i..1 \.?...:..l:.a.:--~ m-=~ \ :-~::'.s:!' :P.OOT_CR:\.~E~: \V~e:c.=,\.~n::..s'j:r~,:eo::- 1?..?:.:;t'a.e.;; \L':'-c=.: '..A..l.l.:.,n=\rr:C"!I \ f.:i:tp :;o.:-:-:-_:R:1.. 'I. ·; : \T!:5~:C:5 1?.::ic:.i:i:.-se:-.-lt.~:\;,._::,::·'C.it.;;; \l.oc--.: All..i~\mt:.•_'-_=_<·_=_=- ---~ The me.scs.ag~s are p3rsed looll'"G for rnform.1tron c.agged 'Mth the-folk:Jwwlg sTtng:s: J • :fA: >.=.e"; ,. I": :el::.':'•1 1 :~::::~=:~:i:.~ :. l . .:· •.:::e::i.:.:" - ¿-1;: u 1· :e, ~nn,~ Fer examp(e. th€ ne:.!': • field sp,ec?."".es t'1e cf:>sing b31311oe, •...:: ,:.!"': o-: is. opening bJ1anc~. " ... ~.A: 11 is tfa:isa,::ion .!".moun1'. íhc -naWa ..e also ~cti:s if the mess..!~s oontain .a fil~er -spe-c~f.ed wrt.r.in th4: cor,figuraton f.~ .n:,-.:: .a.:i;;.-:: . T~ k>ggN in ai:x:ount. .1s se-en 1'orn the jourr..i.t.. is then U5@d ~ d'ted. horw m uch Con".'11!-rtibl-e CL.nTency arl'IOVnt (!!E~'';_ f'::-1_:::a_AMOt~UT) ii h.3S .a ....a~abfe : Aitt!'l"9\aj\lety itcan ,.;¡uer, fora mes5&p-iora Sc~·ciJ:ie.-d senderllffltt a specifled arnour,t ofCom·-e,tbl~ Currencv-- Q"TF~-- YEº '"' ~ m.:-!'", fi~Olf 5AMatt'.r·.. MES~_ ~5 t·:<::3:r.~ !-!::.:'.G_!E.~::i:::.~_!ii:n_;....!)~!! !...:tu: 'i:tl,tt• N .i:Ji ~srz_F::1_c,:"i_AM~::,:1r u r.E. 1 ~~~1~'4. •; T~ ..lrr.oun: o! Cori•,ertibte Curre,n,cy is dlen rr...anip.uJat~d.., the mes.s.age by chango,g rt to tt,e arbt\rary value (3E.:' ~~c~;;_E":~:_:.:Y _:;!.f,:.:.~¡T): hn¡,1/b.>esystem.sai.blcgspot.mx.1201 M l41!wo-bytes--11>-Q51m.html 5J7 "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Pá gina 35 de 83 BANCO DE MÉXICO DGTI. ESPTI .20.01.1 2.21112018 . . . . ¡;: :-r.:·c ~;.:.:::::;:i:zP.. :-z.;:,;._ t, :s.::T :-:::.i .; _:r::J_.: ,:·:_ :-.1:·:,ct:T ' ~:5 . ; ,,.,;:.,..-._ .;.. !~..:'.:·~·:'!~-q.:-!::..."T_1'::1 .;'.:::'.'!' ·•7;•,.,.._.,..;..,.;_":::·.--·.· t:::._P.~.:·:. :.:.,.:: _ : :,_·:;._p.::~;..;.,: ' t:5' :, t-:::r:;:.,:: T'.::)'.'!_S_t"l~!_: _ _ ._~_•_'_;_ Printcr marupulation In CYd.?r t:J hide- t>.e ~~uduft!nt ~r.:m.~s c.:nri~d ou1 J:y :hEc a::tacker(s). ~he d.J!.5bJs,e.'me~s...l¡;e man!pub~ions are r.01 su'T.ciE-nt S',Nl;::T nEtw:irk ..;lso genera:es conf'irfflation n1o:s~ges. and tnes~ me~~1¡;¡:es .a re se,nt by the '50-=t'w.Jrtl "ot pnni.irg ff ~.he- fr.1udule,n! trat,s~'tion confi rm,:.oons a re prir.~l?d cut, !.h'c' b3nking offici3ls c.Jin c.:¡::-o: .!:t .1r.,,r~q\y .n,.j faen re,.po,d 3ppro~riatefy to stco sui:h tra"' r.'ence, the m.:;tware ..J!so inte:-capts the ccnñrr:-,3jon ~-l \'IFT m.;:ss.3ge5 and t:'"';en !.oends fer piintina t."'le '-::l octored' ~m.ar:ipul3 t~d.: c~;ies af sucl1 rr:f'~<;.lig~s ir. ord~r to oo·:er up :t-.i' fr.luCu!f!.nt tr~s. Ta a-ciiie•.•e fi~:,t. tr¿, S'W iFT mes:.ages tlie m:.;)¡yare i0c.:l':es are re-.1~. p3rsM. and ':'Jnverti:-d into FRT fije,: !> '11 3t de::cri~e thi: teict m ='rint.er Comrr.• J:!'"'.j Largua~')=· t PCL) . These- ':l!fflpor;J,fJ F-RT files .:;re ;h o?r! St.!t",..."r:H.~ ~or pr;n'!ing by using ,'ll'lolli€-r -e1:ecu"'...:.b.-1? f 1e cslf~ n ::: =:::. . ~::.e, ...:::.. 1-e;;:timate IJJd. frc,.T.i the- S""v.'!FT s.c:f.w.:ire- sui:e . CONCUJSIONS The arn lys.f.."d s.am¡:,:e 3 1lows a gtimp::,e i.!1tD tho: too!kit rl cr-.e Df thE te.Jim in 'I/Ell~r:!annej t..3n:I; he:st. MJny pt=Cli'S"· cf 1he puzz.l.e· Jre. still rrj~sing t hcu,11: how· th'i! .attacl:-ers s.ent U"'.e fr~udu!ent tr,:msf€'1"!.; how the rn1:·,\.·~1r,e w~,s impl1rited ; &id ,cruci~íly. who \\'.!1'5 t-er.)r,d rhis. This maruar~ w a s 'ltritter, besook~ for .1rtac h.ir.g ~1 -spe-ciio •Ji:;trm fr:~3suue1.ure-. bt.a tn;? 9~ne-r.l>I too1s. techni~u.;,,s ar;d i::,,rc~cdi.rl".es iJs ed 1n the ~tLlc:k m3y altow the g,;.ng to 'Slrike- ~ain. AII fin.;in:ci;1! instrtuttónJ vs,1ho ru n S.v''.1IFT A, ';an.:e Acce-s.::· and s1mii ..:,r $,Y!:~ems ~hc,uld be sef'Xlur.ty rev iE:wlng thek s~et.. m'!y r ·.ow t::, m ..ske sL·re ':'hey too a re not i!xp:osoed T h:~ j;[1~ckeH ¡.:H.Jt ~1gnif.~nt -=.-ffor. ;n;o ht1p://bae,;yst~m~i.blogspot.mx.'201 e,04/lwo-bytes-to-1151mJ ,tml "2020, Año de Leona Vicario, Benemérita M adre de la Patria" Página 36 de 83 Jl?J1 BANCO DE l'\ÉXICO DGTI.ESPTl.20.01.1 ANEXO "H" http ://es .gizmodo. com/roba n-12-m il lo nes-a-u n-ba nco-d e-ecuador-en-u n-n uevo-ca-1778855 37 5, Consultada el 22 de enero de 2018 R.ob.m Sl2 milla""'• ua Da!lCO de Ecuador en m, nuevo caso de hac:ktoo al si5tema SWJFT GIZMODO .un,-mon Roban $12 millones a un banco de Ecuador en un nuevo caso de hackeo al sistema SWIFT J MíltÍílS S . Zavia en ATAQUES INFORMÁTICOS htt¡n:!l~.~odo.com!robm-l2-.mill=-a-m>·banoo- "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 37 de 83 Jl~.i BAN(QoEJ'\[xI(O DGTI.ESPTl.20.01.1 En febrero, unos hackers consiguieron robar 81 millones de dólares al Banco Central de Bangladesh a través del sistema S\VlFf (y una falta de ortografía evitó que robaran 870 millones más). r\:lás adelante, un banco vietnamita denunció otro caso similar -y ahora ha pasado lo mismo en Ecuador. La falta de ortografía que evitó que unos hackers robaran 870 millones de dólares Escribir fandation en lugar de foundation, la falta de ortografía que evitó que un grnpo de hackers ... Read more El robo a Banco del Austro tuvo lugar hace más de 15 meses, pero desde la entidad ecuatoriana aseguran que no se habían dado cuenta basta ahora. Una vez más, los hackers se sirvieron de mensajes fraudulentos en el sistema S'WIFI' para mover t::! millones de dólares a diferentes entidades bancarias de todo el mundo. S9 millones fueron a parar a 23 cuentas de Hong Kong y los 3 millones restantes acabamn en Dubai y otras partes del planeta. Banco del Austrn ha interpuesto una demanda contra otro b anco, el estadounidense VVells Fargo, que ordenó la mayor parte de las transferencias (por un valor de 9 millones de dólar,í?s). Los ladrones utílizarnn las credenciales de los empleados de v\'ells Fargo en el sistema global SWIFI' para transferir el dinero a sus propias cuentas en el e.\.1:ranjero. En el famoso caso de Bangladesh, la policía culpó del robo al uso M tu1os switches de mala calidad -sólo costaban 10 dólares- en la red. de ordenadores del banco conectada al sistema S\\'lFf. Luego se supo que los hackers habían inyectado un malware en la red loe.al (ertdiag.exe) con el que podían acceder a la base de datos de S\VIFI' y manipular los registros pa1:a ocultar las transferencias. Más de 9.000 socíedades financieras utilizan SWIFI' como sistema de mensajería interbancario. La cooperativa que lo controla ha advertido a los bancos de los casos de fraude y le.s ha proporcionado una a.ctualiución de sofuvare para que no se ,·ean blt¡r.:1/e,.gizmodo.coin!robm-12-mill= -,..,m.~dor-ea-,uM,lle\'O-c•-l 77S855375P-2/0li2018 07:~l :27 p. m] "2020, Año de Leona Vica rio, Benemérita M adre de la Patria" Página 38 de 83 11~1 BAN(Qocf'\[XICO DGTI.ESPTl.20.01.1 Roban S12 mili<>= a un ban Síguenos también en Tw:itter, Facebook y Flipboa1·d. Click here lo v1e',\/ this com emhe ABOUT THE AUTHOR Matías s. Zavia Marias tiene dos grandes pasiones: Internet y el dulce de leche Emaí! Twttter Posts Keys bttps:.'le,;.gizmodo.o "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 39 de 83 BANCO DE MÉXICO DGTI. ESPTl.20.01.1 ANEXO "I" b!!Qs ;//www.nena.org/n ews/11959 2/D HS-Bu l leti n-on-Den ia 1-of-Service-TDoS-Attacks-on-PSAPs. h tm Consultada el 22 de enero de 2018 ~ ~- .,. . :TALARI Networks_ Delivering the last ªªªMile • -.., llllt~IIIICl~IIJ,11.K of 911 Servlces ••• NENA News, Press, & Stories ... : Home Page DHS 13ul!etin on Deniai of Service CTDoS) Attacks on PSAP·; St.lfld:J:{, MG.rt·l'i 11. 2J'l !l ~¡:. 0:'(Y( 'Vi:r1r;: ;:iostS:!J...... ty. 1•••• Ghrs N1;,:,¡,,,·¡;1 ne oer,Jrt.,..,e:·r~ or Ht:irr,~·,.,,.·.:1 terult,f (DH3l '1iccic .• Nall-c.1al Cc íH~~~rnuM , 1·t::irmJ:t:m r,:;,:;e- . ~a trr.,n-•¡ 1"'.1. ··1a:~1~~s me, pes b ~y crf Jt:.c :J.~ 1....,rg-et.ng: tt;e- 1,;-:;:pt:.3r.1: S)S~.2n; t.'H r. J4 ~ se-:::tr.1r ~1r~ ·'.!\i :;.t:¡¡.:;.:t: r, h,i",,,,e: ~a ... g'::-·.e-:1 ~!'".:' Jif.'T''•"Hst"al.h•e .::.::,,:a.::i 11'\ff r.,ot ~r-e- ·;¡¡ ~ :ene:rge-n-::y !lr ~.,. ·r,e p~"pe--rJtJ!".i cf :r,e artr::.i. r,.::r•:'! ·.a;,, ,rr:Í':':l nlgh 't"dUrr,c .i;:-r :::J .L.S iq,;L1s~ t'l"ie-~ ~~' t.yt."lg ui:: tri\:~ "",:ir, H:C.);{',t1g 1e-;¡!Jna.:e :..il s. 1t"",'5. ty~e of .,Jt'.. 1:1t ti r'2~~rr;;:c:, •• .:, JS :; Tí}::.~ Ot H,;:q:\~Jf•)' De ;iH of s:e"'t C$ :Jt'~t. n'l'S.S!!' a.:b.~k'I:, 3 fF.· ;::,~in; M3ij 51rr'l:.3f NENA News il'lUU;ts '1.3\!é r:::-ct.rre-a ~?.'.'.":=J-€:lr9 ül1r!:l6 CU&i"":!:.~'!:!S, an/1 pí.H'.· (,; El~t':S, t1c:u:: 1;} ii1f.' fli'J!",Cl'J &S,,;;".CJ :;.r¡;, cr'!r ¡:,1:::inc ':'rn'1::·~!3'1C.) t::•~-;t.c,·r.s 1"'tf'~e-s1s . l!'Z:Udhg air c ..r~ 1r:~. amt.ulJ1oe J:!·j H::4.!.r:t:-11 ü.:w oorr."l".ir.,::.r.i_:;:.;¡_.s ~.. E~i¡:.. :1..:,;..:.ea.s. :,n; .:mr:.r.g lr:forT~110·, D-.;:IA..'!'~rtAn•a. at i':' re- ;:J¡;_::illt R·~·,!¿-~ .!. Se/}t:~Q·: Ttft.e rr.Cll!!rif'f;:)o:S M.tacts. :ro:! N.:t e~ ar e.:1'.:::·-t:::,r ~ch·e'Tt~· n·e .~r;~·ne ~ ~a J:'.'mr¿ ~ ro~\:, ,:ir;:mU.:2.·.':,r, ri:irn af' l"li:fü;;'U;.;:_· O.':! .nir;g :ti! r~r,n~:;,er<1-1 f.:,:illr::f.!:::-'1r.,; ·Xl,"!)pa.1}' ~.:· ,ay~:i, ¡:;,:3r1L TI"':! ;:, 1E-r l.;$1.lát'f t':.n, :t ~tn:.'lg a;::r;e,r: c•·$/,H'1r:· ~or: ar':1 :.¡:st:s 1~ sp·c.J~ ',\":J: 3 :a.:.-rrfr"'rt t'"'f.."Ml;;'r;:. '!"!.1!l:::f?-:! ::; ¡ .. f::; ¡¡r.J :r.: ~¡¡,_: ¡:~'-l)·t"l<::n:1-ro"!" ;q nt .-::!u:i :,r o~~:,;ir =J~or '.."le Cci.~rJUl'Xm-s ~:· Our Fa 2C t. _r.;:,,_ ~~~,.1 c.k -rne :::r~u.JC'i'I ~·,¡1; r.,f. _·1ur:;12,1.~r.:·~.:r a :.r ,~r.i;:us ;~:r-:,Jr:, Q' c.JH!:i: rc.r e 'I .; r,&r~, .'!' ~tt. t,i. • h~•gt!"¡:, p;.·10:..: ::' r.ri.::-. Ttie ~na::): -)a, N t: ·,::;r,: ~ lrr..:x1nn·-, Jr:C. r · :,ui~,1r; <:::.:. s rr:·? t2rg ; ;:-rnp:B-::;ci 11 :; ~t:s:c,ii,:,~s'1 "'.r::ttg,:,-,,·:,-•·1r1;::·1t c."'flc.*~·1c¡ °""·'"', ~:!f. :.re t:!ir,g "1i;;.r·; '2"t-?::: · :.e~:.a.1l~ecir:rs: 1~: r ru•i c"'..r..r-:r :n::1~ ¡,rl:!fil. Q¿.;.¡r,,~·1 t~,:,.¡ '.Q Fi1':-l'H>W~f ¡: JD !~ _¡;:,i(f!.':"__ . lt::2c:.n~"¡_;,1t(:.,,;;b:·r~ , Tte att..·rck~ rer~Jtte~ tr :er:!:'-,Jg~ 11r., Jr,~ m c..11.. !.?. a ""Vl:! e,~·-:~ ~e 1i"ie a t:?rr.1te ~a :;..."'!ty • Tr.é- 1:1ttJ.:JilG 1;.;.: t:.r !!",te-n- ~~r:-11 !Jrn';- ~-i.!r!::<.1, ~-.er se:..-2JI hatr\a. T:1E-)' ~4)' G.::..:; ---::-""=··-::! r.lo no1.~. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 40 de 83 BAN(QDEr\ÉXICO DGTI.ESPTl.20.01.1 Jr.f4 !'i'Slr'f'.~. once a:tJca.ea. t'lf- a;uc:l& e,:¡1 ,:::r. riOdmntJ C'l~r w-ta, ::.~· ,:::intru. • rr-.,e. ~·H:t..Jcu.10:1.::.11N • ¡:6l,;t'I 'Af"J:. a ~.i:Yt')' .1.ct~r.t (!~411".g ~~yrr.em ::1 r.s.ao::: tr:tn tne e,;:,,npa1)' t ieC311lie, íZaeQ.CII OJ •..,,...... - ...... ---.n tl';,!P~.*iPa·,,ey~fCd. Calendar - . !fo • L ~I! EN?C:1.a.,. - wn:=r:~11~ • Al:lZ~)r':iYJ .r.1,~ I!"'""~ 'T.! e-:ope a,li:l lM¡:-·.:u:.~ Of!:1€ ~ · ~(~CJIU.Jly h :::rA' ma.•) OOMMur•.c.;¡'30 r.& ~'S.r:o·~ .:, ~1.i, c:~r~r1 na11~ t.elr'" •~ktd , crr»r.Á. to 13ef!ttryng lile true ~~cpe c/·:111, 'Jcc-Jrri!nci. 5:.1·1 .:,;r;l.E-r ~-:i¡::i!rwtMír Pro;r,¡m - • ;r "d,:~ ::: c,,ur'= ~ aaAr.e'!,I¡ IMl"I ff'! r'lto!f1i J M ff"t!Mtitr age-i'ICJe,, ",, G.1~ cnat c.. a..- u,coi"' r-tE u,¡; lr:c.::,,.a.uon: tE- ~'SQ f{'T'~-e-~r1cy c.lnMU:-.1"1L10M: ceití!r¡. P !;A=>',. ~O\'eMMei! n :sep2..'t.Tl:?n1I.,. il"ld ..r'I) rei.d go\oe.~m~ t ¡¡,geflC'Y 1'111l 3 1-H teo tr:!!r!?&I in e:n,;·-y,,cy ...... -..-.....nro¡,.r.r>ons. !'tJ~li·,,..,_, ...,..a--.,.. :tt: ~UI Reeonl$NMI th&- f0flow1n9: ::,t;-QC'8 • Taty~a or~lhmlll:ta ra'I tt~ oLat:.trrifl. U'ENA Ct,¡,:i::r Li:lder \VDllin'JP • ~~pc:1: .a· .a!':a..:u {l T'? F31 O} 1D.OP19 C"'I~) '1"!'. ~Y • ::'.nsil'~ In t"l~ Ut~ ottni! '.'?p::rt ) ·JU u,e tt,E- ké)'l i t.lnf TQo::; e- f ni!.:!etlaty,u lilenU!'yyCIL:"T~f ,U a º!i,AP oc Fu:. '! ~ f t)' Ot'gJr.ttYJ.:r.C]pW:l ,UC'l"."Jd'I l!-:'~..ll'!i33;)~t.l! • ~" ID;;& ~m·~ll?W"'.Jf' ~ Jr::I TD::~ • Tl'T ! . j.a~. cn;r,*'9 ~ r.:r e- nJnt-?r, -:r:;.,: :;..~ r.r~rlilu • c .a11C. !_:t r,u:r.>.:r w u, 2- ·cr:·~ct..ei.r-s.. CO!'n:,;i::·) ~ :~ 2.1~,; c:gi,ixa tio,, • Meüc.,:;. ':l ~ : ,1!':~ Jet..JU"'lt r: Jl'"'lb6 ;r,;er-! ·c:,oe-c,:::,· ro~~...l.f'\)' re•:¡uc.515. ai:t: tJ D! pi~ , MJY lr'"tl':r.i;;t:,i y:rJ c1n a:i:-ilr, a!i~Ii~ tie QJ1:r. Of"h:s·ne; or91r,¡¡:a:i;r. wm be e: treT~r,tJu¡ ilHi,C.m:€ :." :t'.S fr·.-H~;pa..'Vl ,3¡,IS ri pí!','!'lttng n.Jrr~r at:1Cil • C·::r.tact ) :>Jr telE-gl'UY'I¿ ser,"l:e ~owta:-r: :r.ey .r.a,- o~ ;ar.E- ca .x'Ell~ ty t"~ pruoR& OI ni! J'iac.t;. • ~t,r.·Jl:S rc,:1.aave a.17 Q.:!S.ll~, ;t!i:Mt- ~nla:t ·:r.-e 'i.J:"o::.lJ CXf".J!n...i~r,g ~ ~~r r::n c c, ·, ~"Jr~c;.r:ir., .iit ~1::-=3 q.e1r:, .g:·.. · o.r 1-JJ-:'.3!-s.c&c ... "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 41 de 83 BANCO DE l"\[XICO DGTI.ESPTl.20.01.1 ANEXO "J" .b!!.QJ/www.cbc.ca/n ews/poli tics/ha ckers-cel Iphone-secu rity-1.4406338 • Consultada el 8 de octubre de 2018 l'.1¡;111:, lt!,·I: cae One rnar!cer shows Dubé near Parliament Hill. Another marks rhe plilCe he '* 1n morning lives wheri he's worlcing Ottawa. One more shows an earlt trip lo HacJc:ers only needed a phone number to track this sht airport to p1ck up h1s partner frolTI a businen tllp MP's cellphone "That's creepy. That doesn't make you feel 1Jery comfonable," sald the Quebec MP. W • in HC! looks tlown clt 1he lapmp showlnf: the m Jp ag,11n and laughS nervously. Tests show Canada's two largest telecoms vulnerable to international hackers Ari¡_¡,rrc- flw• ni. (.,:~w-,i11 r> (u!lf:' ri. r.,;•.lN F~>'ro;Q1 1 r A, t~ .. ,·.,, !'t'l~IHl "1 ,W ;:~. :•J1 7 :i"JO PM (T Ln~i U~:::.~!P.d ' f'\;11·:i>l'r1b1:r 2 ... ~01 i' • • Fll11ritlt,,:it:,le1i - fw.MM";,l•.,r1<•11!Q f),,IW' i phuM IOWrfl&~ J\r;lh"l'4'1tí!"-lr,•,.._..,ll,r rM.irc Robltr.1váJCtZ"l r-. L) P MP Mc.1 tthe-·,,, 01Jbe>. took. oan: 111 ,:m e:o:pe,u,'M!..,E w1th CEIC/Rad,o· C:.,n.;da u·,at re11ca!cd 11;.1!ner;ib1Hl ·C$1n U1n.id•iln tell!c~r,- n uwtni''.i, (1..1:~rc P.ob1r '1;:li:;iJ{IK) "I guess 1t's not something rn jcke about bue I guess you think: 'Good thing ! w a;n"t doing anyth111g inaµpropriate.' • NDP MP Matthew Dube looks ata map !.howing chal hackers r.racked his rnoverr:ents 1hrouch h1 s uillphone for days lt wasn·1 Jusr h!s movemenrs. H.;ickers were ab!e co record Oubé·s .:.ills. too. UK' llt! OIK · Someone ¡5, s:pying on ccllphone!i in Otuw.a ~rhc: tcchriology is built w1th good ntenl'ions to rn,1ke ;¡ vcry useful phone • R.CMP, CSIS launch investigatlons lotn phonit &pylng network and good user expe nence but lt l,1ck.s any kmrJ of securiry and 1t's open to a buse.• ltwas all parr of u Cl:3C/R.:>d io.(anada dcmons1r,mon of just how Vli!ncrable Canada's phone networks ure. With Dubé's consent and the he!p of • RCMP used r.e llphone r.racking technology unla wfully 6 times, s.ays cybersecunty experts based in Germany, CBCtRadio·C anada learned that prlv ilcy w.itchdog Canada'!i two larges.t cel!phune netwnrks are vulnerc1b!e to allack. lt"5 not just Nohl soundlng the alarrn The U.S. Department of Homeland How can hackers access your phone? Securily pul ául ;i repon in April warning rhat ··,;1gl'!1fil:,rnt weakne.s!>eS 1n SS7 ha;,,e becn known ror mnre rhan a dccade ." Tht> s aJI pos\; ,ble hecc1u!;e o ( vulnerab1lity in the 1nrcrnat1onal tcle<:mr1mur.1r.ation r,et•,vanc. H 1nvoive~ wh,1t's known a~ Sign.:.iU1ng S~'!.tem 1 IH~ report notes tha1 pmennal abuses c,í SS7 inclu rJe e,wc~dropp1ng. No. 7- or SS!. trac!<,ng and t,aud, w1ih "1en1 nf iP'louunds of e ntry po1n ts worldw1de. many ol which .Jre comrotred by countries o r organizalions that support terrorism SS7 15 thc Wil'J ce llphone nctworks amund the wotld commur,1catc wilh one or esp1onage.~ another lt's a hldden layer ot rnessages about setting up and tearing down connections far a phon~ call. exchanging billing infcrrnation or allowing a phone to roarn. But hackers c.111 galn access trJ SS7, too. SS7 abuse SS7 attacks can eas,ly go ccmp!etely undetected. However, German ''Those commands c.an be $ent by a nybody," said Karsten Nohl, a Berlín· Journalisrs reported on ari incident earl ier th1s year where customers of based cybers,~cumy expert whose ter)m helped CBC/Radio·Canada h,1.c k lnco Telcfonica bar.k h,ld untold ,;i mounts of money drained from their o1ccou ncs Dubé's phone. because of phish1ng ema1l5 and SS7 atfc)Clcs.. Th,it can go beyond spying on phone (onvN!'i,Hions nr geolocJt111g a phonc. SS7 J t:a, ks c,:i n ulso be used to alter, udd c r deletc rnntent. FQr e.:t1mple, !>, c:hl s.11d he rnuld set up .3 person's cellµhone vo,cema1J so a!I mes,;:.;1ges v,ent duectly 10 h,m. The user rr11ght never 1mow t~e messages were m iss1ng m1.·10:::0111 "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 42 de 83 BAN(QoEJv\[XI(O DGTI.ESPTl.20.01.1 fa.t~m only ~~ -1 phunr nu!Wt 11tr 1t.d ltiis: ii'l"'to cdlphonc C'lll' f,,,:f!Vrill CBC/Radlo-Canada wanted rn lmow Just how wc!J Canadi,w ccllphonc oetwor~s would rare .1 nd osked Oubé to be part of .J demonstrnl!on. Oub é the \nCe-chair of the House o: Commons sr.:inding committee on puft~C' safety and national security, went to the mall and p1cked up a new phone for 1t,e- experiment. CBC/Rad1o·Canada agreed not to use h1s current work phone in orcJer l'O protecL the privacy of those ¡)hooe calls. Dubé's new phone number was glven to Nohl and his team of hackers in Bcrhn. H didn't take long far thcm to access hls calls. IIMU:M Her.& ~ óire~tor of Srcurlly ~t~~1rch L1U:. !i.:t:45 \l"w t'fll,O rna,n C•NIC,ill' Mlf("1> In that case. the bank used tour-d1g;t codes sent to customer:; phones m order to complete money transfers. Hackers used 557 to get thase cedes .and take the funds for themselves. The sheer number of SS? artacks becomes clear when networks beef up thc1r sccurhy, saicJ Nohl. -"lhen they st,1rt block1ng thls abuse. the)"re blocklng m illions of otherwu abusive mess.:iges.Thar s far a single network m,:, single country. So you can imagine the magnitude of abuse worldmde. .. El!lic~ t,,ac~r luu ~ li+I~ ·! Mseá 11\ ~ Ión W,;!'I JU\ti< phc,nr r,u rr-0et, ~ w,t; ,1.c,h! 111 tdf:~ tlllO Dubé , r,l-~11:·. L~ t r, in h1, .:.111-;, •rari: hi, ... t:., rnbOul, 11111a ,nNtt, ¡it to:., :r~t mK s,ir.r-; (CO;.'.l Hacking a Canadían phone Flrst.. the hackers were able to record., conversation between Oubé 1n hls otf:ce on Parhament Hm and our Radio-Canada colleague Bngltte Bureau. Nohl sa1d sorne tefecom companies, pnmarlly 1n Europe. have beefed up who was sitting at a café in Berhn. the,r defences to ward off 557 attacks. J!lt(:b:n.ll!'II) ~ :1,i!llooc numl>er to Lr:«:k 1h1, Mf"11 cc1lph11ni:I ('Jl(' :-Jew.1 f"ái¡u,a 1 4,:ll Next, n was D conve.rsat1on berwee-n Dubé and his assisunt. wt,o were The CBORadio-Canada dernonstrat1on raises que.s tions ahour personal boch m ouawa. securily. tl(' said, and also about who else might wanl lO ~PY on sensít1ve d1scuss1ons. Nohl's team also tracked che geolocation data from the phone, painting a pleture of Oube's where.1bouts. "To know other n .Jtions or criminal groups c,1n eavesdrop on C.1n,1dlan cornmunicarion is really worrisome, especlally at Lhe potitical level.~ When the C:BC/Radio·Cc1nada team was back In Canada, the cafls were played for Oubé and he was shown a map of hls inovemems. Companies say security a priority ''lt's exactly what I did that day.Just phone calls are bad enough. When you Bel/, Rogers and the Canadi.!n Wireless Telecommunicacions A.ssoci.1 tion start knowing where you are, thtJt'S pretty scary stuff," s.aid Dubc!-. decllned to sit down wlth CBC/Radlo-Cc1nada and speak about the test resu lts. Out> E?':s phone was on the Rogers Network,. bu{ CBC/ Radio-Canada atso rana similar test w1 th phones on the Dell necwork. 'Easy to hack' Nohl offered hi~ assessment of tnt ,~sults. ~Relat1ve to other networks In Eurape and elsewhere io the world, the Canadian networks are easy to hack." He belleves there's muen more rhat Roger:s J nd Bell could be dotng. ~1 think the two Canadlan networks we tested have about 10 perccnt of thc security that lhey need to do to prou~ct from SS7 attacks.' lt's a source oí concern far Pierre Ro berge, too. He spent more than 10 ycars with Canad.i's C:ommunicatrons Securlty Establlshml!nt - thc C,11"'.,"'! 1 11 ~f'!t(.0 ~ l old e~ ',;,v.; Lh ~I lie'.\lf:1\1 '1.d IOP pnor.1¡1 ~¡,d CU l!il!> .u, mor,11e,1!1:l. 1-'.r.o,,...... ,.,,cnq electronic spy age-ncy charged with protectmg Canadian d,g1tal secunty. He·s now the CEO oí Arcadia Cyber Dehmce. 08.' J(l:!Olll OII 10:Ut N "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 43 de 83 BANCO DE MÉXICO DGTI.ESPTl.20.01.1 lla..:k~~ only nt~~cd a phtint nucnbcr 10 11~: I: 1his MI''¡ crllplnJ111 l t. 'Ul' ~1 Vla erniJil, CBC/R,3dlo-Canada sent a senes of questmns about whilt thc CBC/Radio-Canada also reached out to Public Safety Minister Ralph networks were doing to prevent SS7 am1cks and wl')y customcr'5 wercn'( Goodale's office to ask what "'ªs be1ng done to protca Canad1ans and was being told c.:on'-'er~ations c:ould be carnpromlsed. Ooth neli.\'orks responded directed to the Cornrnur,lcation Security Establishment. wltli general statements about their secur!ty efforts. In a statement, CSE sa1d its role is to prov1dt adwce and gurdance to help Rogers Commun1c.c1t1ons ::;~Jid security 1s a top pnonty .lnd thar 1t has a protcct systcrns of importance to thc Governmcm of Canada.~ cytJersecunry teani rnomtori1i1~ threats and is 1ntroduc10g ncw •ne.asure la protelt wstomers. ..CSE ha~ been activtly worklng with Canadu'~ telecom indu~try and cnt•cal lnfrastructure operators to addres$ lssues related to SS7 to de"Velop best ~an 557. we have already ll"ltroduced A spokesperson added th The group rhat represems Canad1an telecorns was also fa1rly t1ght·hpped The Canad1an Wireles:1, Telecommunicat,ons Assocrat1on sa1d ,t works w,th domest1c ilnd 1ntl~marionat bodies on ~ecw11y s.trmdilrd5. 't il!Sc ~.c1id ! works w1th faw l!nforcernent to ~a,tive!y moflltor and address r1sks ~ Government reaction ·M(IJJ'il'•l.4406338 oiµJ0,'20U! íl M..I I0:201 !1 l'á¡,iiooll dcl2 l'Jgill.11.!Jct! • <\ !lr<'" 10 .J\ ~·.-,~1,m r,i 11","I •:10 .-,¡ r ~t"fl'Nf ! ='! ;, h .~~~ir,g 'lfH'l4'nt n,·r, •11r..¡: .1 i:,,.rr:-,111 RJ r.~ l l"r .,:1,1 , 1111¡.:111...'1',y i~ :1,1,c ,r,( dtnt 4111J...-.lt ., 20i4 In l¡f.t ~ O, lt,•·e:,:I ':!i•~er lhli~·e,1, •: ,,, • .J .'f'I ··.·~•l',V t ~ U)J11C e n~•)·t•l'N -·~;)~ la•! S·g•,.,1 ctf· .J ".".'1"'6.1,Ap¡., t..i,, j,;!·p 1,N' C'i:~t -¡r:,:1 l•·JI" '.i~ 7 ,l'ldt~~- ..,,.r.uqfa•~ ;o ',;,,t,I itu1 vr'l''~ y."11,• r·'ll'•u·fl ,:,11. y,)I: t i!' -"11'." t \,111) 1o!,:, ~11, ..1, r w 1 .-~Jr"II:": MHyou're uslng Srgnal, WhatsApp, Skype, you're ce rtait1ly protected from 557 anJcks... . 8111 lhere's other types of attacks that could ha r,pen aga1nst you. your computer, your phone. So you'rc ncver fuily sufe.' When it comes ro having your movements tracked, Nohl said the on!y protection is to turn your phone ofí - sorneth1n~! that's not a!ways practicar. "We'rc so dependcnt on our phoncs. The networks ~hould protect us from these attacks rather than us having to torgo all the beneíits of carrying a phone.'' D,i1Jé ~aid th,H depcndency ,s wh.at makes th1s mos.t troublinr,. "The scanesi rhing o( all 1s thJt I know thm ton1gtl( or tomorrow morning, when ! make <.a!ís lo fnends co go out for a drink or when I rnake ccills to colleagues 10 resolve a pohtical or professional 1':ls,rn - l'm sciH golng to have to use the phone." H1Hl=n1. ~ ~f'lll'.lh(!!lf h;1i; ,.,..,.,. tef'r, r ,,i, :r.r th;;r1k\ to ·1 v1/11e,r;1L' Correctlons "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 44 de 83 JB BAN(QoEf\[Xl(O DGTI.ESPTl.20.01.1 ANEXO "K11 https ://www. wyden .senate .gov/imo/media/ doc/wyden-fcc-ss 7-letter-may-2018. pdf Consultada el 8 de octubre de 2018 RONW'r'Dt:N COMMITTEES: O:M'ft'II. r. ON fn:,;:,rr ~-!JW•.LLi l , , oo,,·•r-...:..11 0~11r.r· .. "'" R:•.-'·:.. :.T . llnitcd Statcs Srnarc !:llh.'f nt-'r.ffll.l ... llof ffi.!.!.;.1..:.·1 WASl l!NGTON, DC ;~():, lO 370:} May 29, 2018 Th<." Honornhlc Ajit Pai Chairman Federal Communicalions C'ommission 445 l ::?th Street Southwest Washington. DC 20554 Dear Chairman Pai: One ycar ago I urgcd you lo addrcss ~crious cybcr:;cc.1.1rity ,ulncr.ibilitks in U.S. tck-phnnc networks. To date. your Federal Communications Commission has don<' nothing hut sit on its h.ands, lcaving cvcry Anu.:rican wi1h a mohilc phonc at risk. 1\-lobilc telcphone networks connect to each <1ther Lhrough Signaling System 7 (SS7). which is riddled with long.standing cybersecurít} \ulncrabilities that pose n major natíonal security threat. SS7's flaws expose U.S. telephone m:tworks Lo hacking by lTÚnÍilals and foreign governrnents. Hackers can ex.ploit SS7 tlaws to track Amcricans, interecpt their caJls and texts, and hsck their phoncs to steal fínmcinl information, know when thcy are at home or away, and othcrwise prcy on unsuspecting consumers. Jv!orcover, according to multiple news reports. SS7 spying products are widely n,·ailable to both criminals and foreign governmems. Over the past year. rny oftice has consulted w tth mobile sccurity expens. the major wireless carriers. and thc [k-par\mcnl nf Homcland SL-curity (DHS) ti> discuss thcsc \'u lncrabilítics. Thcsc meetings have mndc clear that SS7 vulnerabilitics po:se a major threat that must be addressed ímm~idiau:ly. a conclusion thc DHS 2017 S11utv cm Mobil,· De,,i,·c &rnri~v shares. This threut is not merely hypothetical-nmlicious atiackers are alrcady exploiting SS7 vulncrabilitics. Onc of the major ~less c:u-ricrs infonncd my officc that it reporlcd an SS7 breach, in which customer data was accessed, to la\V enforcement through lhe govemment's Customcr Pmpríctary Nctwork lnfonnation (CPNI) Rcporting Portal. This is a legal rcquircment for wireless providers who beiíeve that prívate consumer infonnation has been illegally accessed. Submissions ,,ia thc portal are automnlically delivercd 1o the FCC, the U.S. Sccret Service, and the Federal Bureau of lnvest.igation. Although the security failures of SS7 have long been known to tbe FCC. the agency has failed to address this ongoing thrcat to national sccurity and to thc 95% of t\mcricans v,;ho have wircless service. In 201 6, the FCC created a ne\v working group under the Communicatíons Security, Réliability and lntcroperahiliLy Council (CSR.IC) to explore and address SS7 vulnernbilitics. However, tbe working grnup w.as dominated by wirckss industry insiders with serious conflicL~ ofintcrcst. CSRIC appoinred a senior official from the wireless industry' s trade association. ,\\-IJil..l' ~~ : ;\'il,1"'\'. HLl..n~;1 , ,.., n "-~rn1n:~ Till ,l.';Yf',..:)Nfil .. ílltll'i ~,i:;tJ!t·,f Si"""'"fflZf?.i~,.. 1 !Wi f'I':~ t1 11wt.'",T l,TI! n nt t~ IJ,w;.\~'-f .:o¡\·C ..1'm-MCJ , r:1< ~.':: ;,! l( U:JC...(JU'"IIJ,1J !-l}Jfj' :.,, 11 MU)M Jl,~ -._t.!' t Jj';' ,!/'.1)1.~!S~:. ólll4JI r= l.-\ ~'-O°Jf. OP.: !>i l:f.1 ~ale· I")!·: ?i~)I ~:~·;ci. t ,r,. ,no~ rt.Jl1llf-' 7 t1~I .t.611MA,..•.1.:::.a ,.t11 •n:,;! "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 45 de 83 / BAN(QDEf\[XICO DGTI.ESPTl.20.01.1 CTIA. tn be lcad editor ofthe group's l'cport. Ofthc fiftccn mm-go,·cmmcnl members, twe:ve worked for telecomm1mic.ations companies or indastr} associatfons. No academic cxpcrls or n:p:rescntatives from civíl society \>wcrc mcmhcrs nf tbc workíng gmup. Likewise, although perscmnel from DHS 's 1\ atinnal Coordínatin.-1 Center ú•r Communkatíons (:'.\ICC) pmticipated, DHS has infonued my office :,: .. t '.he vust majlirity of !he ·n1e fCC dc!t:rr..:d to ltlL' w:ire:ess industry to ,1:,,,:,,. the same :,,~·~urlty \•ulncrnbi!itics that the industry has kmg ígnored. CSRIC''s fin.11 ~ep011, published in \lc;rrh 2017 openly acknowlcdgcd that ''thc attack surfocc for a bnd actor to potenliall)' exploít... [SS7] has incrcascd" and "there is rccported evidence ofattacks launched U.S. carriers." While sorne ofth<.' \\orking h:d1nica! n:<:ommenclations were com,tmctive, ít lcl the wireiL·,,!> indu.stry ofl'the lmok for "'"'""''"" these íssues for dec:adcs and dicl n(1t n:~ommcnd that rhe FCC use its regulatory authori!y to force thc to tix these and other long.-standing !1aws. '11mt the appointed thc H ·e lo this hmc did not recommcnd a more forcefül hdicvc. no! ;1 coincidence. In n pi ior follcr to me. ym1 dismissed my requt~St for thc FCC to use its rcgulatory authority to force the wireless to addrcss the SS7 vulnerabililies. You dted 1he work ofthe CSR[C as i;:vidcm.:c füat the FCC is thc thrcat. Hut 11ci1hcr CSRIC nor the FCC have taken hundreds of miilions of America11s from survdlhmce ijm.rert11menis, The must miw take swifl action, its regulawry authority 011er t.he wirclcss to add.ress the market faílure that has the industry to this and otber serious cv101.,'1:s1:(:un issues for decades. I also ask thal you me &TlSWt'TS to the foi!OW!ng '4!J'Cl>1n,i1" July 9. 201 íL • Swdy on A!obile Device Security staled "nll U.S. carriets are in risk to national security." In response m mic of my then- Mkhm:il with me !hat ''the of nuibih: ne!works nccds lo and Hle vulner<1bilifü:s ofSS7 mu:..l be part ofth11t work Do you sgree wllh DHS ami NSA S:S7 vulncrabifüies pose a 11ational thre-at? o If you do not, picase ditlers. • Thc CSRJC~V group lO w-as chargcd with thc <..Tcation of a r(;,k Assessmem uf thcir The avaílable oniy summruizes the ufthc Rísk Assc:s.sment me a copy of thc fü!I Risk Assessment • h! ead1 ofthe five calendar years. h{)w rmmy brcac.hes have been to the fCC thmugh CPNí brnach portal? o How many of 1hesc hrcaches in which SS7 was used to access &'Uhi'll!riht:r infol1l!atitm? fn 1:ach nffü¡; past fivc calendar how many hreaclles of Cll.'>lomer loc1lllon data have been repnr!cd to HX wirdess carriers. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Págína 46 de 83 ]1?11 BAN(Qocf'\ÉXICO DGTI.ESPTl.20.01.1 o Ilow many ofthese were bre.aches in whích SS7 was used to ,11:ces, suhscriber infonnaticm'.' • For each SS7-related breach, please describe wh.at steps, if any. the FCC took to invcstigat.: the breacl1. • Fc•r eoch .,,7-relnted breach, díd the foCC' nnti'.~ the individuals whose infonnation w a.'\ stolcn? o Ifnot, please ex¡,lain \\·hy the FCC did not notif} these individuals. If you have any questions regarding this request, pleasc cnntact Chris Soghoian in my oflicc. Sinc.erely. Ron Wyden Uníte "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 47 de 83 BANC0°,J"\tXICO ]1?11 DGTI. ESPTl.20.01.1 ANEXO "L" http://fortune.com/2016/06/29/symant ec-nortonvulnerability/ Consultada el 18 de septiembre de 2018 Googlcfounci S}1>nuiec a,,.d Xorton Vuker.sbiliti.e, 'A, Bad .!',:;. lt Gets' I Fortur.e D SUBSCRIBE M~·',\ ;.ur o ~ Wage Gap. ~leet Equity Gap: Tesla Said to Be facing Crimina] " "omen Hold Ottl)· 9% of St.lrtup Probe 0Yer Elon '.'lusk Equity Statemenb ei\: 1~=- ~H:, .:. 1_•ro• FCC Head .-1.jit P;ri Compares .-1.udi's .>J.1-Electric Sl'.Y Is Califomia's Net )l'eutr.1I!ty C=·m.uw's First Serions Shot Regulations to Pfastic stra11· .\cross Tesla's Bow Baus 1['] r Don't 5etfle ft For the ful! persi TEC li CH- Google Founcl Disastrous Sy1uantec and N orton Vnlnerabilities That Are •As Bad .A..s It Gets' http:.'ifom,=..com'10i 6.'06 '}9'o,=tec-cot1on-vulnen.':,ility·[J S 09.'lOIS l~:J l :54 p . ,,,.] "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 48 de 83 Jl~.I. BAN(Qocf'\ÉXI(O DGTI.ESPTl.20.01.1 Goo~ f ound Symantec .wi ~orton Vuk,er.,.bilitie,. 'As Bad As lt Get,," 1Fortw!e Juoe :!J. By ROBERTH.-\CKF.l'I' ~016 Google's "project zero" team, a group of securíty analysts tasked with lmnting for compute1· bugs, díscovered a heap of critical vulnerabilities in Symant The vulnerabilities affect millions of people who run the company's endpoint securíty and antivirus software, rather íronically to protect their devices. Indeed, the flaws rendered all 17 enterprise products (Symantec brand) and eight consumer and small business products (Norton brand) open to attack. In the words ofTavis Ormandy, an English hacker who works on the Google {GOOG, +1.15%) team: "These \'lilnerabilities are as bad as it gets"- and have ªpotentially devastating consequences." Rernove V9 Redirect Virus. - \/9 Redirect Virus Removal lnst A bro'M~er hijJ:k~, d~i!jned to :orr.e c.ornputer u= to v..:,: :hoe tJRL ~'l. com enigrnasor.Nare. com Get Data Sht•et, Fortune's teC'hnology newsletter. "An attacker could easily com.pro1nise an entire enterprise fleet using a vulnerabillty "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Pá gina 49 de 83 }1~1 BAN(Qocf'\txICO DGTI.ESPTl.20.01.1 Google f owi.:! Syma.n1ec ar.d !{orton Vulr.enl>ililíes ·.~ Bad k It Gei,;' ¡ Fo!twce like this," Ormandy •.u it-35 on :l Googl Ormandy's post published soon after Symantec íssued advisories of íts m~11, which credit him for reporting the bugs. "An attacker could potentially run arbitrary code by sendíng a specially crafted file to a user," the notice ,·:arns, before mentioníng that the company has "verified these issues and addressed them in product updates." Por more on Symantec., watch: The vuluerabilíties affect a "dec,omposer engine"-a program that unpacks cmnpressed files in order to help sean for potentially malícious ones-that's used across Syrnantec's products. "It's e::,,.'1:rernely challenging to make code like this safe," Ormandywrites. To avoid such problems, 011nandy recommends that security vendors use sandboxing, a technique that detouates suspic.ious code in a secme, virtual envfronment, as we11 as securíty-first softwar e development strategies. Ormand:,, further demonstrated that the flaws can be exploited to propagate http:!ifortu:r,..,.com:'2016f06.•29:,:.=mtec-n.orton-ntlnerabilityl[J&'OSF20lS 12:31:54 p. L'>.J "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página SO de 83 11~1 BAN(Oocf'íÉXICO DGTI.ESPTl.20.01.1 computer worms, meaning virally infectious malwa.re. "Just emailing a file to a victim or sending them a link to an exploit is enough 10 trigger it," he says, '"the victim does not need to open the file or interact with it in anyv,,ay." Symantec, \vhich recently purchased the Bain Capital-backed cyberseera-i1:y firm Bluo: Coat for $4.65 billion, also employed open source oode that it faiied to update even after seven years of use, Ormandy notes. He lists the additional vulnerabilitíes in that code here. Ormandy has beeu on atear rooting out similarly nasty computer bugs. He helped identify comparable flaws-knmvn techuically as buffer overflows and m.emory cor:ruption vulnerabilities-ín products developed by the cybersecurity companies Comodo, ESET, Kaspers}q,, Fireeye (FEYE, +2.50%), lnt,2:l (INTC, +2.16 1Security's McAfee, Trend Micro (TMICY, +3 46%), and others in recent years. Custoruers of Symantec should visit the company's website to learn ,1.·hid1 products have heen updated automatically, and ,.,,·hich require manual updates. Sponsored Stories Chess players .iround the The Amazing Eye Vision Designing Your Home for world .tre falling in love Discovery Work .ind Play with this Strategy game Throoe ~:. . :(.~. ,~~,¡~;.. , ·.¡r .. ·- '""'""""'---'-'""""' The Most Addictive Game Surprising New Method to The Extr.ivagance on These "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 51 de 83 JIJ;i BAN(Qo,f'\[XICO DGTI.ESPTl.20.01.1 ANEXO "M" https;//www.offenS-ive-security.com/metasploit-unleashed/information-gatheringf, Consultada el 22 de enero de 2018 2:.·u201a ln:omution Galhering - Meta,ploij Uni~ashed Information Gathering in Metasploit Information Gathering with Metasploit The foundation for any successful penetratíon t est is solid reconnaissance. Failure to perform proper ínformation gatheríng ....~11 have you flaiUng around at random, attacking machines that are not vulnerable and m issing others that are. We' 11 be coveri ng just a few of th ese information gatheri ng tech niques such '"s: • Port scaooiog • Hunting for MSSOL • Service ldentification • Password Sniffing • SNMP sweeping root(§)k.a!l: ~ Lers take .a look at .sorne of the built-in Metasplolt features that help aid us in information gathering. https:/:\,,... .,. w.offensiv,e-.5,éQ.lri~ ooml.met3sploit-unle3she-d1inforrna~ion-ga.therir-~ · 1/1 "2020, Año de Leona Vica rio, Benemérita M adre de la Patria" Página 52 de 83 j)?; BAN(Qorf'\ÉXICO 1 DGTI.ESPTl.20.01.1 ANEXO "N" https://en.wikipedia.org/wiki/Equation Group, Consultada el 19 de junio de 2018 ,!.Notlogged m Talk ConlfbJliom Cre.:tl:e account Log in Article T3lk Read Ed~ View histoiy 1~ ..r.i ,..l~t:1• EJ WIKIPEDIA The Free Eno~ c~>¡>«lio Equation Group From Wikipedia, the free eocydopedia Mv1 ¡x:,;¡e "Equation Group" is an infom1al name forthe Contents Equation Group Featured cootent Tailored Access Operations (TAO) uní! ofthe Type Act,anced pernistenl Curren! eve11t:1 Umted States Natronal Securíty Agency ttveat Random arficl4 (NSA)_l112l(3141 Classified as an advanced Location United Stlter. Don:ite 10 'Nih1peóia perslstent threal, Kaspersky Labs describes them Wi>;ipeda store Pro ,...'tlatlinks l\ere infections by !he group in al Jeast 42 countries, wllile acknowledging lhat the actual number Related dlanges could be in lhe tens of thousands dueto its self-tenninalíng protoco1.l817l Uplood ñle In 2017, Wikileaks published a discussion held within the CIA on how ít liad been possíble to Special p;,ges Permanent li'1k idenbfy the group_lBJ One commenter wrote tila! "the Equation Group as labeled in !he report Page illformaticn does not relate to a specific group but rather a col1ection of tools" used tor hackíng.l> L..a:,guages 5 Referen ces 5 Extemal links Deutsct, .,..;:;. Fra~ais El~ Discovmy [e~J Pol::.ki At the KaspersI(y Security Analysts Summit held in Mexico on Februar¡ 16, 2015, Kaspersky lab Pyccioo'i announced ils discovery of the Equation Group. Accollling to Kaspersky Lab's report, the group Slm·eméuu has been active since at least 2001 , with more ttlan 60 actors.l101 The marware used in lheir btl¡n://m.mkipedi. .orp',-ili/Equatimi._Group[ISl ,'06,'.201 B0 7: "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 53 de 83 BANC0°,f'\ÉXICO j)~1 DGTI.ESPTl.20.01.1 Equation Gwup - \Vih-ipe,:!ia Yi Probable links to Stuxnet and the NSA [editl ln 2015 Kaspersky's researcil findings on !he Equation Group noted that its loader, "Grayfish", had similarities to a previousr~· discovered loader, "Gauss·, from another attack series, and separately noted that the Equation Group used two zero-day attaclls later use{! in Stuxnet; the rnsearchers concluded that "the similar type of usage of both e¡¡;ploits togelher in different computer wom1s, at around the same üme, indicates thal !he EQUATION group and the Stuxnet developers are either the same or working closely together".1 11J: l3 Firmware [edil] They also ·ctentified that the platform had at times been spread by iníerdiction (interception of legitimate CDs sent by a scientific conference organizer by maíl),111J:15 aml that !he platfom1 had the "unprecedented" ability to inlect and be transrnítted through ttie hard drive firmware of several of the majar hará drive mamrlactmers, and create anci use hidden disk areas and virtual disk systems for its purposes, a feat demanding access to the manufaclurer's source code of each to achieve)1 1J. i13-;e and that Ule tool was designad far surgical precision. going so far as to ex elude specific countries by IP and atlow targetin.g of specific usemames on discussion forums.!11J:23-2fl Codewords and timest.Jmps [editj The NSA codewords "STRAITACID" and "STR.AITSHOOTER" have l>een ÍOllíld inside !he m:1lware. In addition, trmestamps in the malware seem to indicate tnat the programmers worked ove,whelmingly Monday- Friday in what wou!d correspond to a 08:00-'17:00 workday in an Eastem United Slates timezone.!l1J The LNK exploit [editJ Kaspersky's global research and analysis team , other.vise known as GReA T. claimed to have found a píece of mat11are that contained Stuxnet's •privlib" in 2008.!1 31 Specifically íl contained the LNK e;:ploit round in Stumet in 2010 Fanny is classified as a worm that affects certain 1Nindows operaiing systems and attempis lo spread laterally via netwo~ conneclion or USB stor::ige. Kaspersky stated that they suspect that because of the recorded compile tim e of Fanny that !he Equalion Group has been around longer than Stuxnet.!51 Link to IRATEMONK [edil! F-Secure claims that the Equation Group's malicious llard drive firmware is TAO progr:im "lRATEMONK"Jl4J one of !he items from the NSA ANT catalog exposed in a 2013 Der Spiegel article. IRATEMONK provides the "20 20, Año de Leona Vicario, Benemé rita Madre de la Patria" Página 54 de 83 j)~.l BAN(Qncf'\ÉXl(O DGTI. ESPTl.20.01.1 -~·-·-·~iRATEMONK J\NTP:odu:t D and ToshibaJ!J The NSA's lisüng of rts Ta:lored 5J Ac= Opemtions prog:ram named IRATEMONK from lhe NSA ANT 2016 breach of the Equation cat;:ilog. Grou;e [edlJ In August 2016, a hacking group calling itsell "The Shadow Brokers• announced thal it had stolen malware code from the Equalion Group.1161Kaspersky Lab noticed similarities between the stolen code and earlier lmown cocle from the Equation Group malware samples it had in íts possession including quió See also {eáitJ • Global surveíllance discfosures (201 3-present) • United States intelligence operations al,road • Firmware hacking References [editJ ~~~~~~~~~~~~~~--~~-~~~~ 1. "Fox-Brewster. Thomas (February 15, 2015). "Equalion =NSA? Researdlers Unc!02k Huge 'American CyJ:ier Arsenal'"@. Fornes. Retrieved November 24, 2015. 2. "Menn, Joseph (February 17, 201 5). "Russian researchers expose brealllhroooh U.S. spying program"@ . Reu!ers. Retrieved November 24, 2015. 3. " "Toe nsa was hackecl sno-Nden documenls confinn"@. The lntercept. 19 August 2016. bttp.:/!en...-ikipedi..org.f1>iki/Equation_Groop(l9106i2018 07:07:27 p . m.] " 20 20, Año de Leona Vicario, Benemérita Madre de la Patria" Página 55 de 83 BANC0°,f"\txICO }1~1 DGTI.ESPTl.20.01.1 ANEXO "O" https ://www2. deloitte. com/ globa 1/ en/ pages/ abo ut-d elo itte/a rticles/ delo itte-state me nt-cybe r-i ncid ent. htm I Consultada el 23 de octubre de 2018 Deloitte Srat~ment º" Cy~r lnoidos:t Del- Qlac.m)n,~ About Oebtte Cor!tad "" o ~ ~ services a Industries a - careerso . Oeloitte in the News Deloitte Statement on Cyber-Incídent Contact us eeeeee ,,. Submit RFP 25 September 2017: In response to a cyber incident, Deloitte actions have included the following : Explore Content • Implementing its comprehenslve security protoco! and initiating an intensive and Ke t Fa ct:. abcut the thorough review which included mobifizing a De !D itte Email Cyhe,· team of cyber-security and confidentiality Incident experts inside and outside of Deloitte Reja:ed toD,cs • Contacting governmental authorit ies immediate!y a~er it became aware of the inci dent; and • Contacting each of the very few clients impacted The attacker accessed data from an email p!atform. The review ofthat platfonn is complete. Importantly, the review enabled us to understand precisely what inforn1ation was at risk and what the hacker actual/y did and to detem1i ne that: "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 56 de 83 ]1?1.l BANCO DE l'\ÉXICO DGTLESPTl.20.01.1 • Only very few cfients were impacted • No disruption has occurred to díent business.es, to Deloítte's abílity to continue to serve clients, orto consumers Deloitte remains deeply committed to ensuring that its cyber-security defences are best in dass, to investing heavily in protecting confidential information and to continua!!y reviewing and enhancing cyber security. Key facts about the Deloitte Email Cyber-Inddent 6 October 2017 In response to a cyber-incident, Oeloitte initiated a review to understand the scope of the incident, the potential impact to díents and other stakeho!ders, and to determine the appropriate cyber-security response. Below we share the facts regan:!ing this incident. An attacker compromised aocount credentials and ultimately gained access to a síngle Deloitte doud-based email platforrn. On discovering unauthorized access to the email platform, we initiated our standard and comprehensive incident response process, which inctuded mobílizing a team of cybe1--securíty and confidentiality experts inside and outside of Deloitte (including Mandiant). We engaged outside specialists to assure ourselves, clients, and other stakeholders that the review was thorough and objective. This team took a variety of actions: • Immediately executed .steps to stop .and contain the attack. " Ascertained the size and scope of the attack. The team reviewed logs from the incident to understand what the attacker did in the emai! platforrn, and it used this inforrnatíon to guíde its response to the attack. • Oetermined what the attacker targeted. Toe attacker targeted a cloud- based email platform. This system is distinct and "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 57 de 83 111 BAN(QoEJ"\[XI(O DGTI.ESPTl.20.01.1 D.aloitte St;a.temeut a,: C~·ber lncidw.t I De'.oil!e separate from other Delortte platfom1s, indllding those that host client data, collaborative work among Deloitte professionals, engagement systems and other non-doud based email systems. None of these were ímpacted. We know from the forensic review conducted by our own cyber professionals, working alongside outside eKperts, that the attacker was specifically focused on obtaining active credentia!s. • Reviewed materials targeted by the hacker. This incident involved unstn.ictured data; namely, email. Through a detailed review of logs, Deloitte was able to determine what the attacker actua!ly did and that the number of email messages targeted by the attacker was a sman fraction of those stored on the platform. We looked at all of the targeted emait messages in a manual document-by-document review process, with carefLil assessment of the nature of the infom1abon cont<:1ined in e.ach email. By co11ductrng this eyes- 011 review, we were able to detem1íne the very few instances where there may have been active credentials, personal ínformation, or other sensitive information that had an impact on clients. • Contacted impacted clients. Deloitte contacted each of these very few clients impacted. • Alerted authorities. Defoitte began contactíng govemmental authorittes immediately .. • Took additional targeted steps to further enhance our overall security architec.ture. We expanded our centrally control!ed privileged access management system, and completed our roU out of mutti factor authentication (MFA), whích was underway at the time of the attack. Now al! users of the cloud-based emaíl system and those wíth credentials with heíghtened access are part of our MFA system. The team determined that: • The attacker is no longer in Deloitte's http,: '·""'''""'2 .del01tt~.cou,'g!óo,J,e:/p,~e::,: about-daoitte 'artide:fdolo,tte-~taiem"-"t·cy"er·inc,d=t.l:.tm!i,f~3 110•'2018 11: 12:21 , . m.J "2020, Año de Leona Vica ri o, Benemérita Madre de la Patria" Página 58 de 83 BANC0°tl"\ÉXICO ]1~1 DGTI.ESPTl.20.01.1 Deloitte Sratement oo Cyber Incidw ! Deloitte system. Deloitte, with the assistance of outside experts, has seen no signs of any subsequent activities. We have taken a number of important steps to remove the attacker's access to our environment, induding the bfocking of IP addresses, disabling accounts, resetting passwords, and impfementing enhanced monitoring. • No disruption occurred to client businesses, to Oeloitte's ability to serve clients, or to consumers.. Our intensive and thorough review, which is complete, and our continued and significant investments in our cyber-security capabilities, reflect our c.ornrnitment to protecting the infom1ation of Deloitte clients and stakeholders. Recornmendations Related topics Partneríng for Defoitte social Conduct Risk cyber resíllence media DI Risk & responsibility Join the Cyber Ri~k in a hyperconnected conversation world Brand & Reputation Ri:;k Cyber Re~ilience Cyber Vigilance - - -- - ; Contact us · Submit RFP . - Job search ~ . - - - Get Connected Serví ces Industries Careers Legal Newllf'Oem Audit & As5urance Con-:;ume.- ;ob se,ffch About :::ieloitte Heme Consultmg Energy, Resources & Ex pe r er,ced hires Tetms of U5 e Indwitria, Social me dia R1sk Advi~ory St,Jdent~ Caokie!i Financia I Services Leader5h1p blog Financia! Ad11isory life at Deloitte Priva~y Govemme nt & i>ub:ic ·:>re~s. re lea!.it:$ Legal Alumni Pnvacy Shield "2020, Año de Leona Vicario, Be ne mé rita Madre de la Patria" Página 59 de 83 Jl~i BAN(Qocf"\[XICO DGTI.ESPTl.20.01.1 ANEXO "P" https ://www.thegua rdia n. com/busi ness/2017 / sep/25/deloitte-hit-by-cyber-atta ck-revea li ng-cli ents-secret ema i l s Consultada el 23 de octubre de 2018 ~loitte hil b:,· q·ber-att.rcl 1u·ea;mg clm1b• m:ret <.miili J Bu,i=-..s , lb.e Gturoian Subscribe Find a job Sign in Xew5 Opiníon S1)0r t Cn}tnrt> Lifestyle Business Economics Banking Mouey ~Ia.rkets Project • Deloitte Deloitte hit by cyber-attack revealing clients' secret eiuails Exclusive: hackers 1nay ha..-e accessed usernan1es, pass,.,·ords and :personal details of top accountaucy finu 's blue-chip clients Xkk Hopkins Mcn 25 Sep 20 17 13 .00 BST This .article ís o•;er 1 year old 12,474 " 2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 60 de 83 Jl~i BAN(Oocf'\ÉX!CO DGTI.ESPTl.20.01.1 OelO:tt<'! ¡:,revides aud'oog. In( conwiln,ncy nn:f cyberr..eeurity advice to bi'.lnlm. mullínlllioru1J comp:mies ruid go·vemmenl ogericre-s. Pho'.ograph: A!an"l'J S'.ock Photo One of the world's "big four" accountancy finns has been targeted by a sophisticated hack that compromised the confidential emails and plans of sorne of its blue-d1ip dients, the Guardian can reveaL Deloitte, which is registered in London and has its global headquarters in New York, wa.s the victim of a cybersecurity attack that went unnoticed far month.s. One of the largest prívate firms in the US, which reported a record $37bn (f27.3bn) revenue last year, Deloitte provides auditing, ta.,c: consultancy and high end cybersecurity advice to some of the world's biggest banks, multinational companie.s, media enterprises, pharmac:eutical firms and govermnent agencies. The Guardian understands Deloitte d.ients across all of the.se sectors had material in the. company email system that ,vas breached. The companies include household names as ·well as US govermnent departments. So far, shc of Deloitte's clients have been told their inforruation was "impacted" by the hack. Deloitte's internal review in.to the incident is ongoíng. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Pági na 61 de 83 ]1~ BAN(Qo,,'\[XICO 1 DGTI.ESPTI .20.01.1 The Guardian understands Deloitte discovered the hack in Business Todaj~ upfora March this year, but it is believed attackers may have had morning shot of ac{'ess to its systems since October or November 2016. financia} news Rea.d The hacker compromísed the firm's global email ser1rer more through an "administrator's account" that, in th~ory, gave them privileged, unrestricted "access to all are.as", The account required only a single password and did not have "nvo-step" verific.ation, sources sa.id. Emaíls to and from Deloitte's 244,000 staff ,,•ere stored in the Azure cloud service, which was provided by Microsoft. This is Microsoft's equivalent to Amazon 'Web Service and Google's Cloud Platform, "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 62 de 83 ]1?>1 BAN(Qocf'\txICO DGTI. ESPTI .20.01.1 Mic:Rmoft's .t>:a.e clvod servire _Pl1otog r:1ph: Microsoft In addition to emails, the Guardían understands the hackers had potential access to usernames, passwords, IP addresses, architectural diagrams for businesses and health information. Sorne emails had attachments wíth sensitive security and design details. The breach j.s beJieved to have been US-foc.used and was regarded as so sensitive that ouly a ha.ndful of Deloitte's most senior partners and la\vyers were infonned. The Guardian has been told the internal inquiry into how this happened has been codenamed "'\,Vindham ". It has involved spec.ialists trying to map out exactly where the hackers ·went by analysing the electronic trail of the searches tbat were made . The team investigating the hack is understood to have been working out of the firm's offices in Rosslyn, Virginia, where analysts have been reviewing potentially compromised documents for si.'( months. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 63 de 83 BANCQ 0 , M.ÉXICO 11~1 DGTI. ESPTl.20.01.1 "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 64 de 83 ]1?11 BAN(QocJ'\ÉXICO DGTI.ESPTl.20.01.1 It has yet to establish wbether a lone wolf, business rivals or state-sponsored hackers were responsible. Sources said if the ha.ckers had been unable to cover their tracks, it should be possíble to see where they ,•,.ent and ,,rhat they compromised by regenerating their queries. This kind of reverse-engineering is not foolproof, hm,·ever. Contact the Guardian secure1y A measure of Deloitte's concem came on 27 April when it hired the lJS la,.,. firm Hogan Lovells on "special assigi1.ment" Read to review what it called "a possible cybersecurity incident". more The \\'ashingtou-based finu has been retained to provide "legal advice and assistance to Deloitte LLP, the Deloitte Central Entities and other Deloitte Entities" about the potent:ial fallout from the hack. Responding to questions from the Guardian, Deloitte confirmed it had been the victim of a hack but insisted only a small number of íts Clients had been "impacted". It would not be dra·wn on how many of its dients had data roa.de potentially vulnerable by the brea('h. The Guardian was told an estimated 5m ema.ils were in the "cloud" and could have been been accessed by the hackers. Deloitte said the uumber of emails that were at risk , ...-as a fraction of this number but declined to elaborate. "In response to a cyber incident, Deloitte implemented its <'.omprehensive security protocol and began an intensive and thornugh review including mobilising a team of cybersee.urity and confidentiality experts inside and outside of Deloitte," a spokesman said. "As part of the review, Deloitte has been in contact with the very few clients impacted and notified govemmental authorities and regulators. "The review has enabled us to understand what information was at risk and what the hacker actually did, and demonstrated that no disruption has occurred to dient businesses, to Deloitte's ability to continue to serve clients, or to consumers. "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 65 de 83 11~ BANC0°,J'\txICO 1 DGTI. ESPTl.20.01.1 "We rema.in deeply committed to ensuring that our c.ybersecurity defences are best in class, to investing hea-....-ily in protecti.ng confidential information a.nd to continually reviewíng and enl1a11cing cybersecurity. 1Ne will continue to evaluate this matter and take additional ste.ps as required. "Our revie,v enabled ns to detennine what the hacker did and ·what information was at risk as a. result. That amount is a very small fra.ction of the amount that has been suggested. ~ Deloitte declined to say ·which government authorities and regulators it had informed, ar ·when, or ""hether ít had contac.ted law enforcement agencies.. Though all major companies are targeted by hackers, the hreach is a de'ilp embarrassment for Deloitte, which offe1·s potential clients advice on how to manage the risks posed by sophisticated cybersecurity attacks. "Cyber risk is more than a technology or security issue, it is a business risk," Deloitte tells potential customers on its vvebsite. "'\Vhile today's fast-paced ilmovation enables strategic advantage, it also ex:poses busine.sses to potential cyber-attack. Embedding best practic.e cyber behaviours help our dients to m inimise the impact on business," Deloitte has a "Cyberinte1ligen ce Centre" to provide clients ,;\ith "round-the-dock business focussed operational security". "V'l e monitor and assess the threats specific to you.r organisation, euabling you to swi.ftly and effectívely mitigate risk and strengthen your cyber resilience," its ·website says. ''Going beyond the technic.al feeds, our profossiona]s a.re able to "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 66 de 83 Jl?;J. BAN(QoEf'\ÉXl(O DGTI. ESPTl.20.01.1 Deloine hit by cyber-art>.ck re,-.~ dient· seo:et emai.b 1~ ! The Guarc!i.an contextualise the relevant threats, helping det,emline the risk to your business, your customers and your stakeholders." In 2012, Deloitte, which has offices ali over the ,vorld, was ranked the best cybersecurity consultant in the world. Earlier this month, Equifax, the US credit monitoring agency, admítted the personal data of 143 míllion "C'S customers had been accessed or stolen in a massive hack in May. It has also revealed it was al.so the victim of an earlier breach in March. About 400,000 people in the UK may have had their information stolen follow:ing the cybersecurity bre.ach. The US company said an i:nvestigation had revealed that a file containing UK consumer information "may potentially have been accessed". The data includes names, dates of birth, email addresse.s and telephone numbers, but does not contain postal addresses, pass,·,,ords or financia} information. Equifax, ,vhich is based in Atlanta, discovered the hack in July but only informed consumers last week. Since you've been here ... ... sorne things have changed. Wñ.ilst advertising revenues across the media a.re stíll falliug fast, more people are helping to fund The Guardían's independent, investigative journalism than ever. Which means we now stand a fighting chance. But we stil1 need your help. The Guardian is editoriaUy independent. Our journaHsm is free from com.mercial bias and not influenced by billionaire owners, politicians or shaniholders. No oue edits our editor. No one steers our opinion. This is important because it enables us to give a voice to thevoiceless, challenge the po,•terful and hold them to account. We keep our factual, honest re.porting open to all, not just for those ·who can afford it. And we want to keep it that way, for generations to come, If everyone who reads our reporting, Y1rho likes it, helps to support it, our future would be much more secure. Foras little as !;1, yott can support the Gu.ardiau - aud it only takes a minute. Thank yon. Support The Guardlan "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 67 de 83 })~1 BAN(Oocf'\ÉXICO DGTI.ESPTl.20.01.1 "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 68 de 83 Jl1 BAN(Qoc f'\txICO DGTI.ESPTl.20.01.1 ANEXO "Q11 https ://www. wash i ngto n post.com/wo rld/natio na 1-secu rity/is rae 1-hac ked-ka spe rs ky-t he n-ti pped-the-nsa-that-its-too Is ha d-been-breached/2017/10/10/ d48ce 77 4-aa95-lle 7-850e-2bdd 1236be5d story. html?utm term=.ee 7c5f62d814 Consultada el 23 de octubre de 2018 N ational secmity IDI.W~lm.. ótriimtitllllllill.~..W People walk pa~t tlle ~ of the en!wlniS füm Ka5per5ky Uib in ~ in septarnber. {sergei Karpuki1i11/Re11íers) By Ellen Naka.shima OctolJer 10. 2017 In 2015, lsraeli government hackers saw som-ethlng s1.1Spicious in th-e computers of a Moscow-hase http,:!iw,,...v.w.climgtm,pod.com!'... 0110.'d48ce 774-ao9S-l le7 -850e-2bddl 236b DGTI.ESPTl.20.01.1 tools that eould only have rome from the National Security _;\gency. Israel notified the NSA, where afarmed officials immediately began a hw.1t for the breach, accordíng to people familiarwith the matter, who said an investigatíon by the agency revealed that the tools were in the possession of the Russian government. Israeli spit>s had found the hacking material on the uetwork of Ka;,"'Persk·y Lab, the global anti-virus füm under a spotlíght in the United States beeause of suspicions that its procb.Jcts facilitate Russian espionage. Last month, the Department of Homeland Serurity instructed federal civilian ag_enries to identify Kaspen;l:..1' Lab software on their networks and remc1',e it on the grounds that "the risk that tbe Russian govemment, whether acting 011 its own or in collaboratiou with Kaspersky, could capitalize on access pr01'Íded by Kaspers1.·y products to compromise federal information and information systems directly in1plieates U.S. national security." The diri!cthii! followed a decision by the G.!neral Sen.'Íces Admi:nistratíon to remove Kaspersk"Y from its list of appr01·ed vendors. And lawmakers on Capítol Hill are oonsídering a govemmentwide ban. [L(}('a/ gor-emm.:nts keep using this software - but it mighr be a bacl: doo,·for Russia] The NSA dedined to comment ou the Israelí disro\·e1y, which was first reportea. by the New York Times. Kasperslq: said in a statement that ''as a private rompan)\ Kaspersky Lab does not have inappropriate ties to any government, including Russia, and the only rondusíon seems to be that Kaspersk·y Lab ís C'aught in the middle of a geopo!iticaJ fight" The company saíd it " The fimi's founder, Eugene Kaspersk·y, saíd ma blog post last week that his anti-virus software ís supposed to find malware from ali quarters. '"iVe absolutely and aggressively detect and cle<1n malware infections no matter the source," he wrote, suggestiug that the NSA htt¡,,:""''"'""·" 'd,in::!ot\PO:.t.eom/. ..ú >'l Old-lSce7? 4-aa9 j .. J le7 -850..-lbddl H6be.5d_;:;roiy. htw!?ucn.,di,·ect=onS,'lltm_ttum=.143 l 5e.....e5b[23:I [)."201S 12: 12:00 p. m.J "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 70 de 83 })~ BAN(Qo,f"\[XICO 1 DGTI.ESPTl.20.01.1 hadcing tools could have been picked upas malware by the anti-virus program. In the 2015 case, ínvestigators at the :NSAexamining how the Russians obtained the material eventually n.arrowed their search to an employee in the agen.cy's elite Tailore The employee, ;,,-hose name has not been made public and i.s wider uwestigation by federal prosecutors, d.i.d not. intend to pass the material to a foreign adversary. ''There wasn't any malice," said one person familiar wi.th the case, who, like others inteiviewed, spoke on the condition of anonymity to discuss an ongoing case. "It's just that he was tr}ing to complete the mission, and he needed the tools to do it." C.Oncerns about Kaspersl...-y have also emerged in the cybersecurity industry, Eu,ene~, chief eitec111ive of RU'.os.ia·s ~ where sorne officials say that the finn's software has been used not just to Ulb. (Pavcl Gofm•irjniAP¡ protect its cu,,--tomers' computers but also as a platfonn for espionage. Over the past several years, the firm has on occasion used a standard indust:ry technique that detects computer viruses but can also be employed to identify inforn1atíon and other data not related to malware, according to two industry officials, who spoke on the cond.i.tion of anonymity to discuss sen.sitive inforrnation. The tool is ca.lled "silent signatures" - strings of digital oode that operate in stealth to find m.alware hut which could also be written to search computers fo1· poten.ti.al cla.ssified documents, using keywords or acron)'lllS. '"Silent detection is a widely adopted cybersecurity industry practice used to verify m.alware detections and minimize false positi.Yes," the oompany's statement said. ''It en.a.bles cybersecurity vendors to offer the most up--to--&te protection without bothering userswith constant on-screen alerts." Kaspersl-y is also the only m.ajor anti-virus fum whose data is route The company said that customer data flO\~ing through Kaspersl,1s Russian servers is encrypted and that the firm does not decrypt it for the gm·emment Andrei Sol&tov, a Russian swveillance expert and author of"The RP.d Web," said, "l would be very, \'el)' skeptical" of tbe claim that the government c.annot read the firm's data. Asan entity that deals with enccypted uúormation, Kaspersl·y n:rust obtaín a lieense from the FSB, the countty's powerful security sen-ice, he noted, whích "means your rompan}' is completely transparent" to theFSB. It is not publicly kn01m howthe Russíans obtained the NSA hacking tools in 2015. Some information security anaJysts .have speculated that the Russians exploited a flaw in Kaspersl..1· software to filch the material. But other experts saythe Russians wouJd not neecl to hack Kaspe1:sl..-y's S}'Stems. They say that the material could be picked up through the coun.tr}'s SUf\'eÍllance regime. The firm is likely to be beholden to the Kremlin, said Steven Hall, who ran the CIA's Russia operations for 30 years. He said that Kaspersl-y's line ofwork i.s of particular interest to Russian Presídent v1adífilir Putin and that bec.-iuse of the way things work in RJ.issia, Eugene Ka.spersl-y "knows he's at the merey of Putin." "Ibe case against Kaspersl-y Lab i.s overwhelming," said Sen. Je.ume Shaheen (D-N .H.), a \ual critic of Kaspersl..-y í,no has pushed to remove the company's software from federal networks. "The strong ties between Kaspei'Sky Lab and the Kremlin. are very alarm.ing." btr¡n:!íwww.wo~ coml.. .O fl(llci43ce774-u95-l le7-8SOe-2bddl236be5d_,to,y.html?noredired=on&utm_ten:o=.24315eeeec5b[23flCV201S 12:12:00 p. m.J "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Página 71 de 83 Jl~i BAN(Oocf'\ÉXICO DGTI.ESPTl.20.01.1 Toe federal goYemmeut has increasingly conveyed íts coucems about K.aspersl·yto the prívate sector. Over at least the past two years, the FBI has notified major companies, including in the energy and financial sectors, about the risks of using Kaspersl')' software. Toe briefings have elaborated 011 the risks of espionage. sabotage and supply-ehaín att:acks that could be enabled tlu:ough use of the software. They also explained the sur\'eillance lawthat enables the Rus.sían government to see data coursing through íts domestic pipes. 'That's the crux of the matte1·," said one industry of:ficial who received the b1iefing. "\v'hether Kaspersky is working directly for the Russian govermnent or not doasn't matte1·; their Internet serv'Íce prmiders are subject to monitoring. So virtually anything shared witli K.aspersl·y could become the property of the Russian government." Late last month, the National Intelligence Council completed a dassified report tliat it shared with NATO allies conduding that the FSB had "probable access" to K.aspersl.. y cnstomer datalxises and source code. 1bat access, ít coucluded, could help enable cyberattacks agaulSt U.S. govemment, commercial and industrial control networks. Jack Gilllan contributed ta tliis story. :: 653 Comrnents Today•s WorldView newsletter ..-\.nal'.;sis on the most important global ,;.tory of thi:- dav. top reads. interesting idects ,md opinions to know. in your inbox \Yeekday;;, E-m.ail address llí Ellen Nakashima Ellen Na.:ar; hima is. a nationa! secmit,· 1epo1ter foi Tl1 e Washington Post 5he coi ers. c:r·bersecurity. sun ei!lance. counterterrorism and illtt?-ll!gence issues. Sl,e has al5o ;;erved as a South,¡>ast Asia corresponclent amJ covernd thi> Whiie House an 01)e Úlasl)tngton po.st Help us tell the story. http,:!!www. wo,;!,mgtonpo:it.coml.. .Oi i Old4S~e77 4-ac'9~· l l e7 -S50e-2bddl2}6be5d_orory.blml~_term=.24315eeeo<:5b[23110/2018 12:12:00 p. m.] "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 72 de 83 BANC0°•1'\txICO JJ?j1 DGTI.ESPTl.20.01.1 "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 73 de 83 BANC0°EJ'\[XICO }1~1 DGTI.ESPTl.20.01.1 ANEXO "R" https://www.dhs.gov/news/2017 /09/13/ dhs-statement-issu ance-binding-operational-directive-17-01 Consultada el 23 de octubre de 2018 DHS SrataneDI on tll~ Is:ruance ofBindm¡ Operati""'1! Dinctiv" 17-01 1 Homela,,d ~om1!y l!i'1-~ Homeland ~ Sccurity News Btog Data Events Fact Sheets Homeland Security UVE ln Focus Media Contacts Multimedia Natíonal Terrorism Advísory System Podcasts Press Releases Publícations Ubrary Social Hub Social Media Speeches Testimony News Archive Comunicados de Prensa DHS Statement 011 the Issuauce of Bindíng Operational Directive 17-01 Releas e Date: September 13, 2017 For lmmediate Release Offlce of the Press Secreta!)' Con ta et 202-282-8010 WASHINGTON - Atter careful consideration of available infomlation and consullation with interagency partners. Acling Secretary of Homelanct security Elaine Duke today issued a Binding Operational Dírective (BOD} directing Federal Executive Branch departments and agencies to take actions related to 1J1e use or presence of information security products. solulions. and seNices suppiíed directly or indirect!y by AO Kaspersky Lab or related entities. The BOD calls on clepartments and agencies to identify any use or presence of Kaspersky products on their information systems in the next 30 days, to develop detailed plans to remove and discontinue present and future use of the proclucts in the next 60 days, and at 90 days trom !he date of this directive. unless directed other,vise by DHS based on new information, to begin to implement the agency plans to discontinue use and remove the products frorn information systerns. Tois action is based on the information security risks presented by the use of Kaspersky products on federal information systems. Kaspersky anti-virus products and solutions provide broad access to files and elevated privileges on the computers on which the software is installed, which c.:in be exploited !Jy maficious hnp,::'/ww\\•.dhs.gov:'news.':?01 7109/13:ail.'rslamner-t-i>=nc,,-bindi,,g-opuati""'1- "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 74 de 83 Jl~.I. BAN(ÜDE f'\txICO DGTI. ESPTl.20.01.1 cyber actors to compromise those infonnation systems. The Department ís concemed about the ties between certain Kaspersky officials and Russian intelligence and other govemment agencies, and requirements under Russian law that allow Russian intelligence agencies to request or compel assistance from Kaspersky and to intercept communications transiting Russian networks. The risk that the Russian government, whether acting on its own or in collaboration with Kaspersk.y, could capitalíze on access provided by Kaspersky products to compromise federal information and information systems directly implicates U.S. national security. The Department's priority is to ensure the integrity and security of federal information systems. . Safeguarding federal government systems requires reducing potentlal vulnerabilities, protecting against cyber intrusions, and anticipating filture threats. While this actíon involves proelucts of a Russian-owned and operated company, tlle Department will take appropriate ac!ion relateel to the products of any company that presenta security risk based on DHS's interna! risk management and assessment process. DHS is providing an opportunity for Kaspersky to submil a written response addressing the Department's concerns orto mitigate those concems. The Department wants to ensure that the company has a full opportunity to inform the Acting Secretary of any evidence, materials, or data that may be relevan\. This opportunity is also available to any other entíty that clairns its commercial interests will be direct(y impactecl by the directive. Further information about this process will .be available in a Federal Register No1ice. ### Tapies: Cyhersecuáty Keywords: cyber secuáty, infom,atjon last Published Date: July 17. 2018 1f > liew:l > Preso. Relea,;es :> DHS St:i:~menl on the Is.su.mee of· Blndlng Op,em!ional Di;ectr,e 17-01 Site Links Privacy FOJA Accessibility Plug-ins hrtps:/iwww.dh,;.gow'nl!W"..!20 l 7I09113!dh:;-stalemart-is=e-binding-oper.,tio,w-directive-l 7-01[2311Oi2018 12: 17:1 4 p. m.] "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 75 de 83 }1?11 BAN(QDE!'\tXICO DGTI.ESPTl.20.01.1 ANEXO "S" http:LLwww.reuters.com/ a rtícle/ us-greece-cen ba nk-cyber/ a nonymous-attack-greek-central-ba n k-warns others-id USKCNOXVOR R Consultada el 22 de enero de 2018 Aoo,yw,us oitld Gmk cen..-.l b.1:11:. wam, otilen Wor1d Business Markets Politics TV ~ .. D ...... , ÚNETE A NUESTRA CAUSA ...... Anonymous attack Greek central bank, warns others ATHENS (Rcutcrs) - Greece' s central bank became tl1e targe,t of a cyber attack by activist hacking group Allonymous on Tue~day which di~11.1pted se-n:ice of its web site, a Bank of Gi·ee-ce, official said on We-dnesday. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 76 de 83 BANC0°,tttxICO ]1~1 DGTI.ESPTl.20.01.1 ADo,oyr:iaus •rt•cr Oreel< unml b>!il;_ lnlJlS othe:s - . ,. ' . Mt ~- . .. D A protester wearing a Guy Fawkes ma~.• ~>,nbolic ofthe hacktivist g:roup "Anonymous··. lllkes part in a protest in central Brumls Ja11uary 28, 1012. REUTERS/Yves Hennan ·The attack !asted for a few minutes and was successfu!Iy tackled by the bank's security systems. The only thing rhat was affected by the deníal-of-servíce attack was our web síte, ·· the officíal said. dedining to be named. Anonymous originated in 2003, adopting the Guy Fav,kes mask as their symbol for ouline hacking. The m.ask is a stylized portrayal of .an oversized smile. red cheek'i anda wide moustache uptumed at both e11ds. "Olympus will fall. A few days ago we dedared tbe reviva! of operation Icarns. Today we have continuou'>ly taken down the website of the Bank of ~eece. ,. the g.roup says in a \·ideo on You Tube. "This marks the stan of a 30-day campaig,11 agaim.r central bank siteo:; across the world." RrportiJ¡g by George Georgiopoulos: Edhi.ng by Angfü MacSw;in Our Slandards: V,, 11u;vn,wJ &nntrs Tmg Prlndp{I§ SPOMSO P.ED Where is the cfever mo11ey going? El crecimiento de la UE impulsa el valor del euro Actively RKing the Wave of 'Creative Unrivalfed insighl and analysis enabling Disruption' decísions wilh conviction. Latin America s Renewable Energy The Risk of Doing Nothing Revolution "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 77 de 83 BANCO DE MÉXICO DGTI.ESPTl.20.01.1 ANEXO "T" https://secu rity. radwa re .com/ddos-th reats-attacks/th reat-advisories-attack-reports/o pica rus2017 /, Consultada el 17 de enero de 2018 Opicarus 2017 - Radware Security Página 1 de 5 11116/8/2017 )1 (lrttpa:/J\Wllt8r.COlll{~/wully.nulwwe.COlll{~-11NHtmck-n,porta/aplcenil2017/&t»unlll't•/ddc ~..i.cdv1~opl-7/&Jut,,Oplcuu82D17 ln(lmp:J/WWWJlnudnccrn/wreAnlOleTmlnl"1nlelUll-/~IOll-olH'epona,op1osu12017/Ude-opi-ue201: A8dwve ~plc.n111 i. 1 multlphue opentlan Olfglnlly lmlnchld bJ Anonymoua on ,,.b1111ry l. 2016 lnd le now llllnlg 1111 ffl pi-. on JIUNI 11, 2017.a.ourc..hltpr./-,,ttyndw.-e.c:ornl, Oplcarus2017 Abstract Oplcnrus is 8 multiphnse oper.:itior originolly l.:iLnched by Ar ar;mous Of"1 1- ebru¡:¡ry B, 2016 nrd is now enterirg 11 s fif1/1 phaseor J1...ne 11, 2017. lts goal ls to ta~edown the web~ites and seí'llces associated wi1h the global financia! system. These attac (/WorlcArel/DownloadAaNt.upx? 1d•1658) :Jplc,1 n.J..., 1::.: '"rullipha::.e op~rg¡t!on orignit11y lr)Ur•.:fied by ,\ no 11 r,ow e-ntenng 1ts flflt", phüs~ w Jtme 11, í'Ul / . ~ Oownload a Copy Now (/WorkArea/ Downlc OpSacred - Oplca rus Phase 5 Oplc;arus hc.1::. bl:.'l;orn1~ h1gh1y orgúnized s,n:.e 1t f1rst laur:::hP.t:1 and has evc)lved 1rto it::i ~tt1 cc1mpaigr, ramed OpSacmd. AnP1x.irio:,,ct or I aO?booi<' ar· Mc1y 12, 201 /, hacker$ post':'fl thF? docun'i€r'tation, toOI$ and associat Ei d r acebook acCOl,nts. !r thi-~ m<1rife$to. Oplc.Jn.s mak1:is ü~n ste1tements: • Governments need to cease and desist ali wars • Government s need to return governance of the masses to the masses. • Oebt wage slavery i6 evil. • Greed and materialism is evil · That wtien a government no longer serves the needs of lt's people that lt is the duty of its cittzens to reslst thls tyranny. • That pollution of our planet for the purposes of gr~ d and resource extractíon must stop. We only have one planet and it is sacred. • That capitalist lobbying oí governrnent is corruption. • That ali humaníty should enjoy equaiity. • That borden:¡ and nations are a manmade construct and are disingenuous as we are one. • That ali declslons shoul d be made based on an unconditíonal love for humanlty. 1 Accofd1r g to a í aceboo< post , Oplcari...s2017 will start en JL. ne 11th and rur till JL.Pe 21st. The po:;t included a targ~t !ist for the operation that irclLdes ~1 of lhe organ1zc: !1ors targeted during prEvious phzlses. htt s://secu1i t . radware.com/ddos-threats-attacks/threat-advi sori es-attack-re orts/o i carus201 7/ 17/01/2018 "2020, Año de Leona Vica ri o, Benemérita Madre de la Patria" Página 78 de 83 BANCO DE MÉXICO DGTI.ESPTl.20.01.1 Opicarus 2017 - Radware Security Página 2 de 5 #Oplcarus2017 11 ~ U · Jun21 Reasons for Concern fhis cpern1ion has more supporters than previOl.s phases and is very well orgarized. A11ackers have trorsitioned from suggest1rg LOIC to a series of scripted 1ools as weH as us,rg VPN's and Tor to mask the,r identity. They are consol datJrg th1s ,rformation in certralized locat,or - G1tHLb page- to make it easier to partic,parts to joir the opernth)tt There are more advanced cyber attack tools compared to pr'evious campargns available or the Gi1Hub page. The Github dOCLJmerta tion folder contains information about severa! large orgarizatiors. Ir· phase S, attaco Tor't Hamme, a Luye< / IJOS too! thDt executes a Do8111aek{lddoe«now1edgece1111r/ddoepedfafdoNtlaClk/) by usirg a classic slow f'OS I attack, where HTML POST fields are transmrtted ir slow rates under the same sessíon (actual rates are randomly chosen within the limit of 0.5-3 seconds) Similar to RIJ.IJ.Y., th~ slow POS I anack cacses the web server applicatíon threads to await U1e end o! bourdless posts ir order to process them. 1hi s ca,,ses the exhausticr ot 1he web server resources ard cavSes it to erler a denial-of·sl:Nice s1ate far ariy legitimale trafftc. A new h.nct,onallty added to Tor's r larrvner is a traffic arory,n capabilrty. Dos attacks can be camed out through the Tor Network by usirg a nat,ve soC{S proxy integrated rr Tor clierts Thls €f'ables launching the attac~ from random sourc.e IP addresses, which makes tracklng the attacker almost impossible Xll'Xd- an exlrernely efficient DoS 1ool providing the capacrty to laU'ch Edward Snowden
• BlackHorizon • MasterK3Y • Asoodos • D4rk • CescentMoon • OplcarusBot • Asundos2 • Finder
. radware.com/ddos -threats-attacks/threat-advi sori es-attack-re ortslo i carus20 17 / 17/01/2018
"2020, Año de Leona Vica rio, Benemérita Madre de la Patria" Pági na 79 de 83 BANCO DE f'\[XICO
DGTI.ESPTl.20.01.1 Oplcarus 201 7 - Radware Security Página 3 de 5
• ChlHULK • PentaDos · BOwS3rDdos • Getrekt • GoldenEye • Purple • Blacknurse • L7 • HellSec • Saddam • Botnet • M60 • lrcAbuse • Saphyra • Clover • wso
Oplcarus Github Pages Opl011Ne htlpe://gllhub.oomtoplcaruaoollectMIOplOIIIUa.(lffl/¡¡tdwb.oomto~l!lc1M/Opanq/) Documenlillfon· htlpl://gtthub.oolll/oplOIINeoollecllve/OplcanielnelDocumen1811on ~/glllu).canl/oplclnlllOOli.atlve/OplC8nlattnot/DDCUM!li.tlon) Taola. lmpe://gJtbub.com/opceru8COIIIICIIYw'Oplcerus/lrw/T'oal(lrUpl://gllham.com/oplcllNICClllcllff/Oplcerul/lrll/Tooll) YouTubec:hmllwl· htlpe://youlll• .,.,~Jyoutu._,rldl2R!PknY)
Attack Vectors Nmlp- a seC1.J rity scarner designed for network d1scovery and sE-CUrity :suditirg. lt L.S1:.. s 12.'N IP pack~ts ln 1i ov1::,I wc1ys t1) det~rrn1r~ what hasts are availabli:- en the network, \Alhat services (application rame ar~ d v~rsion) those hosts are offering. Ir addition, they id~ntify what operatW!g systems (and OS versiors) they are rurnirg, vvh~t type of pucket filterstfire-.... alls me in use, and dozens of other churncterislics Zed At:llckPrmty- The OWASP Zed Attack Proxy, ZAP. ;s a popular and ope,· source s~cui1y tool that helps users automat,cally sean ard fird security vulnerabilities ir 1... ·eb ripplications.
M.lrego - ar oper source ir-1 elligen ce and forensic tool allawing users to discove< dats from oper sources and visualize the data in graphs ard detaHed reports for data mining and lin< .=inalysis'
TCP flood•Or.e of the oldest yet stilt ve,y popular DoS atlacks. lt involves sending numere...!: SYN pac htt s://securi .radware.com/ddos-threats-attacks/threat-advisories-attack-re orts/o icarus20 17/ 17/01/2018 "2020, Año de Leona Vica rio, Benemérita Mad re de la Patria" Página 80 de 83 BANCO DE MÉXICO DGTI.ESPTl.20.01.1 Oplcarus 2017 - Radware Security Página 4 de 5 HTTP/8 Flood ·.•n ottock melhod csed by hoc«.-s to attoc< web servers :,nd applicotiors. 1hese floods consist of seemingly legitimale sessior·based sets of HTTP GET or POST reqt.:ests senl to a targeled web server. HTTP floods do rol use spoaf'íng, reflec1r.1e techriicues or malíormEd packets These teqLesls are specif1cally desigred ti, corsune a sigrificant a1nm.rt of the serv~r·s re:;ources, and therefix~ car result in a derial·of-service Sl.ch rt-que.sts art ofter sent en masso, by mears of a botret 1ncreas1ng the attac <'s overall p a.;:: ·~ce• !lle~.,._.-· ...... U~IQ~ IV> - .... 1...... , .. .. '-'P :. ... Effective DDoS Protection Essentials · HylllldDDol Pl'DIIICIIGn{hltpe:/Jwww.l'lldwll'D.COrn/lllOdUl*(defwl.epn,/) (on-prernise ~ ctoud) - far real-time DOa8lltlllckprlMDUGn (hlqlrJ/Wwwndwere.camleokrllanllliBCUft)'/}hat also addresses high volurne attacks and protects from pipe saturation • BlhawlarmMlaled DelilJcldon. to quickly and accurately identify and block anornalies while allowing legitirnate traffic through • Red-Tlme Slgllllllra CrN1lon- to promptly protect frorn unknown threats and 0-day attacks • A ~dly 9fflel1IIIIOJ1'91PC111'9 plllll- that ineludes a dedieated emergeney tearn al expens who have experience with tntemet of Things security and handling loT outbreaks Effective Web Application Security Essentials • FUII OWABPTop-10 lqlllloatlanwlnenblllllucoftra against defacements, injections, etc. · Low falN poellfYe l'llte- using negative and positíve security models far maximum accuracy • AIIIO pollo,generw11oneapabilities far the widest coverage with the lowest operational effort • Bol p.-cidoll llld devlce 1'1ouprlnllno,:apabilities to overcome dynamic IP attaeks and achieving improved bot detection and blockíng · 8eculng APtaby filtertng paths. understandlng XML and JSON sehemas far enforcement, and actMty trackíng rnechanisms to trace bots and guard interna! resources htt s://securi . radware.com/ddos-threats-attacks/threat-advi sori es-attack· reports/opi carus20 17 / 17/01 /2018 "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 81 de 83 BAN(QoEf'\[XICO DGTI.ESPTl.20.01.1 Oplcarus 2017 - Radware Security Página 5 de 5 • Flalble deployrnmt opUom,. on·premise. out·of-path, virtual ar cioud·based t-or further security meDsures, Rsidwnre ug,:s corPparíés to inspect nnd p~tch thelr networ< in order to defend agalnst ·1s ·llt!pl:l/www.fillcebook.com/He~4217-4179111~J/www.f-iiook.oom/llllMlyHllll'l86/pollll{42174879818894S) httpa:f/www.flloebook.com/~181llS2ll(lmpc,;ltwww.flloebaok.comlmintl/23668!1386811828/) ' llt!pl://1!111,wtktpedl~J/411.~Lorg/Wlld/Meltego) Download Now O (/WorkArea/DownloadAsset.aspx?id::1559) l)Do8~- • DüoSGl'·o·nc!en (,'ddmi·kf'IO'tlllttdgo rnnte:Jddoit'thro"tdes/) • fiesei:m:n (/ddo~·inoMedge· cel'llé'"ir-é.!H'arch!) • nreai Advm:iuw anC Aliadr. R~pons i1adwar • Rai'.lware3iog ' S«u • Apphcabon &Netwccl, Se:.:.urily (hnDS /JwWlilJadware oom/Produc1s/~ll;ll)lica1iorSocurit:,'} ,y í'h:Jw,.n.' U1,. 1·:J 17 Aj: RVJÍ:fc;' Rti:>VA·d Pn,1acy IJ;:ij¡i;:y FOUOW Y Twlner fhnpsJ f1Vf'l'ltar comJ;adwure) fn ,..mkudln (tn1ps:t/wv-,wJí1'\Mldln comtcornfNln in Yc..1Tuo-e (hn¡:m:/IWWl'i ycJ(iJbe.tom/usw/raciware,ric) 11 :i::lt."tlbook (hllpsJ/w.'rw .ÍH1Xbook.ccm/Kadwal\!) {ijl slk:eshara (r.ltp:/Jw;,¡w s!idesharn.f'W!!/f.rndwure1 lttp,Ji,~,ri~. radw,.,.,=iddos·lh=••·oltacks/th",t-,dvi,ori,s-ett"'_k_-r_e.._po_r_ts_/o"'"p._í_ca_ru_s2_0_1_7_/ ______1_7_/0_l_/2_0_1_8~ "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 82 de 83 BANCO DE r\[XICO DGTI. ESPTl. 20.01.1 ANEXO "U" http://www.banxico.org.mx/Sielnternet/consultarDirectoriolnternetAction.do?sector=S&accion=consultarC uadro&idCuadro=CF252&1ocale=es. Consultada el 27 de marzo de 2019 04 ~ ,· ~J SISHM/\Ol lNfOKMA Sistemas con liquidación en tiempo real. - (CF252) Periodo: F1«uend.a: UnidadeJ. Gfr.s; Ene 1992 • Ene :019 M~nfual b.,art.lir; Análbi:s: Qi ¡. ;;¡¡;;,¡;¡ ... ;.m;;.:;;w ....1 1-·Wi·ii'·ikm 1w cu;;, Ene 2018 Ene 2019 ~ Nov 2018 Dk 2018 EM 2019 - Sistemas con liquidación en tiempo real ., oras operados 20 19 22 - Sistema de Atención a Cuentahabientes de 8.anco de Méxíco SIAC ~ Número de operacione~ 4,574 4,187 4,272 ., Importe (millones de pesos) 638.058 664.853 672.831 .,, - Sistema de Pagos Electrónicos de Uso Ampliado SPEUA 1/ Número de operaciones N/E N/E N/E ., Importe (millones de pesos) N/E N/E N/E .,. - Sistema de Liquidación de Valores INDEVAL 2/ Número de operaciones 309.413 294,381 N/E ., L." Importe (millones de pesos) 66,1 63.602 63,585.513 N/ E - Sistema de Pagos Electrónicos lnterbancarios SPEI ® 3/ ., Número de operaciones ., 58,809.631 56,237,059 58,993.463 Importe (millones de pesos) 20,887.149 22,805.402 23.180.782 - Sistema de Pagos Elettrónicos lnterbancarios en Dólares SPl04 4/ ·" Número de operaciones 192.03 7 183.948 196.218 ., Importe (millones de dólares) 13.753 16,1 62 15,502 Notas: Cifras acumuladas. 1/ Dejó de operar en agosto de 2005, las operaciones que se liq uidaban en este sistema se liquidan en el SPE13>. 2/ Fuente: INDEVAL Incluye liquidación del mercado de dinero y n1ercado de Cdpi~ o inclu),e reportes entre el Banco de México y los • "2020, Añ o de Leona Vica rio. Benemérit a Madre de la Patria" Página 83 de 83 "Anexo 4" BANC0°,f'\ÉXICO ])?11 EL COMITÉ DE TRANSPARENCIA DEL BANCO DE MÉXICO OBLIGACIONES DE TRANSPARENCIA Unidades Administrativas: Dirección de Infraestructura de Tecnologías de la Información y Dirección de Apoyo a las Operaciones del Banco de México. VISTOS, para resolver sobre la clasificación de información determinada por las unidades administrativas al rubro indicada, y RESULTANDO PRIMERO. Que con la finalidad de cumplir con las obligaciones de transparencia comunes, los sujetos obligados pondrán a disposición del público, en sus respectivos medios electrónicos y en la Plataforma Nacional de Transparencia, de acuerdo con sus facultades, atribuciones, funciones u objeto social, la información de los temas, documentos y políticas que se señalan en el artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP). SEGUNDO. Que quienes son titulares de la Dirección de Infraestructura de Tecnologías de la Información, y de la Dirección de Apoyo a las Operaciones, ambas del Banco de México, mediante oficio con fecha de veintiuno de febrero de dos mil veinte, hicieron del conocimiento de este órgano colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, en términos y de conformidad con la fundamentación y motivación señaladas en las carátulas y en las pruebas de daño correspondientes, respecto de los cuales se generaron las versiones públicas respectivas, y solicitaron a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones públicas. CONSIDERANDO PRIMERO. Este Comité es competente para confirmar, modificar o revocar las determinaciones que en materia de clasificación de la información realicen los titulares de las áreas del Banco de México, de conformidad con los artículos 44, fracción 11, de la LGTAIP; 65, fracción 11, de la Ley Federa l de Transparencia y Acceso a la Información Pública (LFTAIP); y 31, fracción 111, del Reglamento Interior del Banco de México (RIBM). Asimismo, este órgano colegiado es competente para aprobar las versiones públicas que someten a su consideración, en términos del Quincuagésimo se xto y el Sexagésimo segundo, párrafos primero y segundo, inciso b), de los "Lineamientos generales en ~ .-..... materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). SEGUNDO. En seguida se analiza la clasificación realizada por las unidades administrativas ref en el resultando Segundo. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" / Pág; alde 2 ~ t r j/ 11~1 BAN(Qoef'\ÉXICO Es procedente la clasificación de la información testada y referida como reservada, conforme a la fundamentación y motivación expresadas en las pruebas de da ño correspondientes, las cuales se tienen aquí por reproducidas como si a la letra se insertasen en obvio de repeticiones innecesarias. En consecuencia, este Comité confirma la clasificación de la información testada y referida como reservada. En este sentido, se aprueban las versiones públicas señaladas en el oficio precisado en el resultando Segundo de la presente determinación. Por lo expuesto con fundamento en los artículos, 44, fracción 11, 137, párrafo segundo, inciso a), de la LGTAIP; 65, fracción 11 , y 102, párrafo primero, de la LFTAIP; 31, fracción 111, del RIBM; Quincuagésimo sexto y Sexagésimo segundo, párrafos primero y segundo, inciso b), de los Lineamientos, y Quinta de las Reglas de Operación del Comité de Transparencia del Banco de México, este órgan o colegiado: RESUELVE PRIMERO. Se confirma la clasificación de la información testada y referida como reservada, conforme a la fundamentación y motivación expresadas en las correspondientes pruebas de daño, en términos del considerando Segundo de la presente resolución. SEGUNDO. Se aprueban las versiones públicas señaladas en el oficio preci sado en el resultando Segundo de la presente determinación. Así lo resolvió, por unanimidad de sus integrantes presentes el Comité de Transparencia del Banco de México, en sesión celebrada el cuatro de marzo de dos mil veinte. ------ COMITÉ DE TRAN SPARENCIA Integrante "2020, Año de Leona Vicario, Benemérita Madre de la Patria " Págóna2de2 { ~ BANCOctf'\[XICO r: c1BIDO "Anexo 5" BAN(QoEf"\ÉXICO ... EB '~, ~ JB 2 3 r ,.UL J f~ a',;k ~ÚÚ1 ¡'t?Jf.Jfo.,k Comit~ d~ Tral"l!-parencia liJ /p.} /"fillfP,, cfo5 t"~,,,;Jv/(,IJ Ciudad de México, a 21 de febrero de 2020 V rl (( ¡-',11/( J;¿¡ k el-, '1~ • - • • - • COMITÉ DE TRANSPARENCIA DEL BANCO DE MÉXICO Presente. Nos referimos a la obligación prevista en el artículo 60 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP), en el sentido de poner a disposición de los particulares la información a que se refiere el Título Quinto de dicho ordenamiento (obligaciones de transparencia) en el sitio de internet de este Banco Central y a través de la Plataforma Nacional de Transparencia. Al respecto, nos permitimos hacer de su conocimiento que con motivo de las referidas obligaciones de transparencia, la Gerencia de Telecomunicaciones clasificó como reservada, en su momento, diversa información contenida en los documentos que se indican a continuación : TÍTULO DEL DOCUMENTO CLASIFICADO CLASIFICACIÓN Autorización para adjudicar directamente identificado con el ID PAC: 18-0853 Reservada (800-18-0853-2) Ratificación del Dictamen Técnico formalizado el 14 de mayo de 2018 (800-18- Reservada 0853-2) En consecuencia se elaboraron las versiones públicas respectivas, junto con las carátulas que las distinguen e indican los datos concretos que fueron clasificados, al igual que los motivos y fundamentos respectivos . Dichas versiones fueron aprobadas por ese Comité en su momento. En relación a los documentos referidos, nos permitimos informarles que la información clasificada en su momento como reservada por el titular de la Gerencia de Telecomunicaciones, continua actualizando a la fecha las causas que dieron origen a tal clasificación, en los términos de lo expuesto en el oficio, en las carátulas y en la prueba de daño que en su momento se pusieron a disposición de ese órgano colegiado, y de conformidad con la fundamentación y motivación expresadas en su momento en dichos documentos. Asim ismo, y con motivo de una nueva reflexión, la Dirección de Apoyo a las Operaciones, de conformidad con los artículos 100, 106, fracción 111, de la LGTAIP; 9, y 98, fracción 111, de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP), así como el Quincuagésimo sexto de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" (Lineamientos) vigentes, ha determinado clasificar como reservada diversa información contenida en los documentos referidos, incluyendo los metadatos relacionados o derivados de dicha información, de conformidad con la fundamentación y motivación señaladas en las carátulas y en la prueba de daño que se adjuntan al presente. En consecuencia, para facilitar su identificación, en el siguiente cuadro encontrarán el detalle del t ítulo de los documentos referidos en el cuadro precedente, los cuales coinciden con los señalados en las carátulas que debidamente firmadas acompañan al presente. TÍTULO DEL DOCUMENTO CLASIFICADO CARÁTULA PRUEBA DE DAÑO NÚMERO DE NÚMERO DE ANEXO ANEXO Autorización para adjudicar directamente identificado con el ID 1 3 PAC: 18-0853 (800-18-0853-2) "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 1 de 2 ]1'1... BANCO DE t\ÉXICO Ratificación del Dictamen Técnico formalizado el 14 de mayo de 2 2018 {800-18-0853-2) Por lo expuesto, en términos de los artículos 44, fracción 11, de la LGTAIP; 65, fracción 11, de la LFTAIP; y 31, fracción 111, del Reglamento Interior del Banco de México; así como Quincuagésimo sexto, y Sexagésimo segundo, párrafos primero y segundo, inciso b), de los Lineamientos, atentamente solicitamos a ese Comité de Transparencia confirmar la clasificación de la información realizada por estas unidades administrativas, y aprobar las versiones públicas señaladas en el cuadro precedente. Asimismo, de conformidad con el Décimo de los señalados Li neamientos, informo que el personal que por la naturaleza de sus atribuciones tiene acceso al referido documento clasificado es el siguiente: Por parte de la Dirección de Apoyo a las Operaciones: • Gerencia de Desarrollo de Sistemas Operativos {Gerente) • Subgerencia de Servicios de Computo {Subgerente) . Por parte de la Dirección de Infraestructura de Tecnologías de la Información: • Gerencia de Telecomunicaciones {Gerente) • Subgerencia de Desarrollo de Servicios de Telecomunicaciones (Todo el personal) • Subgerencia de Administración de Servicios de Telecomunicaciones (Todo el personal) • Subgerencia de Planeación y Regulación (Todo el personal) Por parte de la Dirección de Recursos Materiales: • Gerencia de Abastecimiento de Tecnologías de la Información Inmuebles y Generales (Todo el personal). • Gerencia de Abastecimiento a Emisión y Recursos Humanos (Todo el personal). • Gerencia de Soporte Legal y Mejora Continua de Recursos Materiales (Todo el personal). Atentamente, JOAQUÍN .6.::.::~UAA Mlll~ Director de Apoyo a las Operac iones Director de infraestructura de Tecnolog s e la Información "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Página 2 de 2 BANCO°'' l'\ÉXICO Jl?j1 CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSIÓN PÚBLICA Dirección de Infraestructura de Tecnologías de la Información l. Área titular que clasifica la información. Dirección de Apoyo a las Operaciones 11 . La identificación del documento del que se elabora Autorización para adjudicar directamente identificado con el la versión pública. ID PAC: 18-0853 (800-18-0853-2) - - ...... ' ~.--/ (/' 1 J) -oj . MARCOS PÉREZ HI RHÁNDEZ Director de Infraestructura de Tecnologías de la lnf ción 111. Firma del titular del área y de quien clasifica. ~ -'rL :. 1 JOAQUÍN RODRIGO CANO JAUREGUI SEGURA MILLAN Director de Apoyo a las Operaciones IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. La presente wrsiónpúbllca fue IIPl'Obadl ea II M5l6n dtl Comlli • ~ esw, ·, IIÚIIWO OO/J.oi9Clldnda r;()l\r?Q• *™' -delComílideT~ Set&lo zambrano lltmra. S4cmMIO ál • Coinlllf de Tl1n5palencil del llncl> de Málm. ' IW Página 1 de 2 \ Jl~J. BANC0°•l'\txICO PARTES O SECCIONES CLASIFICADAS COMO INFORM ACIÓN RES ERVADA Información Ref. Pág. Fundamento Legal Motivación testada Al 2 Información Conforme a la prueba de daño que se adjunta, titulada Conforme a la prueba de daño que se adjunta, relacionada con las "Especificaciones de la infraestructura de tecnologías de la titulada "Especificaciones de la infraestructura de especificaciones de la información y comunicaciones del Banco de México" tecnologías de la información y comunicaciones del infraestructura de Banco de México" tecnologías de la información y comunicaciones del Ban co de México 1.1 1-7 y 9 Información de la Conforme a la prueba de daño que se adjunta, titulada Con forme a la prue ba de daño que se adjunta, contratación de las "Información de la contratación de las tecnologías de titulada "Información de la contratación de las tecnologías de información que directa o indirectamente soportan las tecnologías de información que direc o información que operaciones monetarias, cambiarías y de agente financiero indirectamente soportan las eraciones directa o que realiza el Banco de México por cuenta propia y a nombre monetarias, cambiarías y de agen inanciero que indirectamente del gobierno federal." realiza el Banco de México por uenta propia y a soportan las nombre del gobierno federal." operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. / Página 2 de 2 t ])~ BANCOocf1ÉXICO 1 CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Pri mero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSI ÓN PÚBLICA Direcció n de Infraestructura de Tecnologías de la Información l. Área titular que clasifica la información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora Ratificación del Dictamen Técnico formalizado el 14 de mayo la versión pública. de 2018 (800-18-08~5- -~ Director de Infraestructura de Tecn logías de la lnfor 111. Firma del titular del área y de quien clasifica. iifzL_ JOAQUÍN RODRIGO c.lNo JAUREGUI SEGURA MILLAN Director de Apoyo a las Operaciones IV. Fec ha y número del acta de la sesión del Comité donde se aprobó la versión pública. Página 1 de 2 ]1?11 BAN(Oorf'\ÉXJCO PARTES O SECCIONES CLASIFICADAS COMO INFORM ACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada Al 3 Información Conforme a la prueba de daño que se adjunta, titulada Conforme a la prueba de daño que se adjunta, relacionada con las " Especificaciones de la infraestructura de tecnologías de la titulada "Especificaciones de la infraestructura de especificaciones de la información y comunicaciones del Banco de México" tecnologías de la información y comunicaciones del infraestructura de Banco de México" tecnologías de la información y comunicaciones del Banco de México 1.1 1-4 Información de la Conforme a la prueba de daño que se adjunta, titulada Conforme a la prueba de daño que se adjunta, contratación de las "Información de la contratación de las tecnologías de titulada "Información de la contratación de las tecnologías de información que directa o indirectamente soportan las tecnologías de información que directa o información que operaciones monetarias, cambiarías y de agente financiero indirectamente sopo n las operaciones directa o que realiza el Banco de México por cuenta propia y a nombre monetarías, cambia · s y de agente financiero que indirectamente del gobierno federal." realiza el Banco e México por cuenta propia y a soportan las nombre del g 1erno federal." operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. / Página 2 de 2 11~1 BAN(Qocf'\txICO PRUEBA DE DAÑO Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. En términos de lo dispuesto en los artículos 6, apartado A, sexto párrafo, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 113, fracción IV, de la Ley General de Transparencia y Acceso a la Información Pública, 110, fracción IV, de la Ley Federal de Transparencia y Acceso a la Información Pública; así como, con el Lineamiento Vigésimo segundo, fracciones I y 111, de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" (Lineamentos) vigentes, podrá clasificarse como información reservada aquella cuya divulgación pueda menoscabar la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien, otorgue una ventaja indebida, generando distorsiones en la estabilidad de los mercados, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, por lo que la Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, se clasifica como reservada, en virtud de lo siguiente: La divulgación de la citada información representa un riesgo de perjuicio significativo al interés público, ya que revelar información referente al software que soporta la implementación de las operaciones monetarias, cambiarías y de agente financiero que este Instituto central lleva a cabo por cuenta propia o a nombre del gobierno federal, pone en riesgo de destrucción, inhabilitación o sabotaje, infraestructura de tal importancia para la economía mexicana que su destrucción o incapacidad tendría un impacto negativo en la efectividad de las medidas adoptadas en los sistemas financiero, económico, cambiario o monetaria del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal; toda vez que dicho riesgo es: 1. Real, en razón de que revelar o divulgar la información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, tales como las especificaciones técnicas, los nombres de proveedores, el domicilio de los proveedores, entre otros, facilita a una persona o grupo de personas con intenciones delincuenciales identificar - de manera directa o a través de técnicas de ingeniería social aplicada a los proveedores - información relacionada con la infraestructura informática que soporta las operaciones cambiarías, monetaria y de agente financiero que realiza la banca central, lo cual posibilita la ejecución de acciones hostiles en contra de las tecnologías de la información de este Instituto Central, así como de las infraestructuras que éste administra, opera y supervisa, lo cual, podría menoscabar la efectividad de las mismas a tal grado, que su destrucción o inhabilitación afectaría Página 1 de 22 seriamente la efectividad de las medidas implementadas en los sistemas financiero, económico y cambiario del país, arriesgando el funcionamiento de dichos sistemas y, en consecuencia, de la economía nacional en su conjunto. Al respecto, debe tenerse presente que los artículos 2o. y 3o. de la Ley del Banco de México, señalan las finalidades y funciones del Banco Central de la Nación, entre las que se encuentran, el objetivo prioritario de procurar la estabilidad del poder adquisitivo de la moneda nacional, promover el sano desarrollo del sistema financiero, propiciar el buen funcionamiento de los sistemas de pagos, así como el desempeño de las funciones de regular los cambios, la intermediación y los servicios financieros, así como los sistemas de pagos; operar con las instituciones de crédito como banco de reserva y acreditante de última instancia; prestar servicios de tesorería al Gobierno Federal y actuar como agente financiero del mismo, las cuales comprenden sus funciones de banca central. Las anteriores son finalidades y funciones que dependen en gran medida de la correcta operación de las tecnologías de la información y comunicaciones que el Banco de México ha instrumentado para estos propósitos, mediante el procesamiento de la información que apoya en la ejecución de dichos procesos. Cabe señalar que las Tecnologías de Información que utiliza y contrata el Banco de México, como son los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, son adquiridos, desarrollados o destinados para atender, entre otras, la implementación de las políticas en materia monetaria y, cambiaria1, y para atender las fu nciones de agente financiero del gobierno federal. Por tal motivo, divulgar información relacionada con las especificaciones técnicas, nombres de proveedores, funcionamiento, normatividad interna, o configuraciones de dichos sistemas, puede propiciar su inhabilitación y en un extremo escenario, podría perturbar considerablemente al sistema financiero por su efecto directo en la información y operaciones relativas a la implementación de las políticas monetarias, cambiarias y de agente financiero que realiza Banco de México. Los riesgos aludidos tienen mayor probabilidad de materializarse con la entrega de la información, debido a que los delincuentes podrían diseñar estrategias para llevar a cabo ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. Dichos ataques focalizados podrían tener mayor probabilidad de éxito debido a que los delincuentes tendrían la posibilidad de dedicar todos sus recursos a ataques concretos identificados con base en la información en cuestión. Por lo anterior, exponer a los participantes del sistema financiero; así como al Banco Central que las administra, opera y supervisa , a estos riesgos cibernéticos puede perturbar considerablemente al sistema financiero por su efecto directo en la información y en las 1 La s políticas en materia cambiaría son decisión de la Comisión de Cambios. Página 2 de 22 11~4'1 BANCO DE l'\ÉXICO operaciones a través de las cuales se implementan las políticas monetaria y cambiaria y las funciones de agente financiero. Un ataque cibernético a los sistemas que soportan las operaciones de regulación monetaria, cambiaria y de agente financiero del gobierno federal, puede provocar la sustracción, interrupción o alteración de la información que se recibe, se procesa y se resguarda en relación a, por ejemplo, las asignaciones de las subastas que el Instituto central lleva a cabo con propósitos de regulación monetaria, regulación cambiaria o de agente financiero del gobierno federal, así como las operaciones cambiarias que realiza como agente financiero del gobierno federal o en la administración de la reserva internacional. Una li quidación errónea derivada de una alteración en los sistemas que generan las órdenes de cobro o pago de las operaciones antes mencionadas puede derivar en un incumplimiento involuntario de las obligaciones del Banco Central o del gobierno federal con el consecuente pago de penas, incremento en el costo de operaciones y daño en la confianza y reputación de éstas instituciones. De forma similar, la interrupción o imposibilidad de ejecutar las subastas monetarias, cambiarias y de agente financiero que realiza el Banco Central, generaría desconfianza, nerviosismo y especulación en el sistema financiero sobre la capacidad del Banco para operar en los mercados financieros, originando presiones sobre las tasas de interés y sobre el tipo de cambio y afectando por ende, el cumplimiento del objetivo prioritario del Banco que es la estabilidad del poder adquisitivo de la moneda nacional. La realización de hechos como los previamente narrados podría traducirse en un menor interés por parte de los intermediarios financieros en participar en las subastas con propósitos de regulación monetaria, cambiaria y de agente financiero del gobierno federal, comprometiendo la implementación de la política monetaria y por ende la consecución del objetivo prioritario de procura la estabilidad de precios del Banco. De igual forma comprometerían la implementación de la política cambiaria establecida por la Comisión de Cambios con el consecuente deterioro del mercado de cambios local y por ende del sistema financiero del país; e incrementarían el costo de las operaciones del gobierno federal que, al verse imposibilitado de conseguir financiamiento a través de las subastas primarias de valores gubernamentales, tendría que buscar otros medios de financiamiento a mayores costos. En efecto, proporcionar la información materia de la presente prueba de daño, facilitaría que terceros logren acceder a información financiera o personal, modifiquen los datos que se procesan o resguardan en ellas o, incluso, dejen fuera de operación a dichas tecnologías. Es de suma importancia destacar que los ataques a las tecnologías de la información y de comunicaciones, son uno de los principales y más importantes instrumentos utilizados en el ámbito mundial para ingresar sin autorización a computadoras, aplicaciones, redes de comunicación, y diversos sistemas informáticos, con la finalidad de causar daños, obtener información o realizar operaciones ilícitas. Estos ataques se fundamentan en descubrir y aprovechar vulnerabilidades de dichos sistemas, basando cada descubrimiento en el análisis y estudio de la información de las especificaciones técnicas de diseño y construcción, seguridad informática, especificaciones técnicas en materia de seguridad, procesos de Pá gina 3 de 22 11~1 BAN(Qocf'\txICO PRUEBA DE DAÑO Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. En términos de lo dispuesto en los artículos 6, apartado A, sexto párrafo, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 113, fracción IV, de la Ley General de Transparencia y Acceso a la Información Pública, 110, fracción IV, de la Ley Federal de Transparencia y Acceso a la Información Pública; así como, con el Lineamiento Vigésimo segundo, fracciones I y 111, de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" (Lineamentos) vigentes, podrá clasificarse como información reservada aquella cuya divulgación pueda menoscabar la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien, otorgue una ventaja indebida, generando distorsiones en la estabilidad de los mercados, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, por lo que la Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, se clasifica como reservada, en virtud de lo siguiente: La divulgación de la citada información representa un riesgo de perjuicio significativo al interés público, ya que revelar información referente al software que soporta la implementación de las operaciones monetarias, cambiarías y de agente financiero que este Instituto central lleva a cabo por cuenta propia o a nombre del gobierno federal, pone en riesgo de destrucción, inhabilitación o sabotaje, infraestructura de tal importancia para la economía mexicana que su destrucción o incapacidad tendría un impacto negativo en la efectividad de las medidas adoptadas en los sistemas financiero, económico, cambiario o monetaria del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal; toda vez que dicho riesgo es: 1. Real, en razón de que revelar o divulgar la información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, tales como las especificaciones técnicas, los nombres de proveedores, el domicilio de los proveedores, entre otros, facilita a una persona o grupo de personas con intenciones delincuenciales identificar - de manera directa o a través de técnicas de ingeniería social aplicada a los proveedores - información relacionada con la infraestructura informática que soporta las operaciones cambiarías, monetaria y de agente financiero que realiza la banca central, lo cual posibilita la ejecución de acciones hostiles en contra de las tecnologías de la información de este Instituto Central, así como de las infraestructuras que éste administra, opera y supervisa, lo cual, podría menoscabar la efectividad de las mismas a tal grado, que su destrucción o inhabilitación afectaría Página 1 de 22 seriamente la efectividad de las medidas implementadas en los sistemas financiero, económico y cambiario del país, arriesgando el funcionamiento de dichos sistemas y, en consecuencia, de la economía nacional en su conjunto. Al respecto, debe tenerse presente que los artículos 2o. y 3o. de la Ley del Banco de México, señalan las finalidades y funciones del Banco Central de la Nación, entre las que se encuentran, el objetivo prioritario de procurar la estabilidad del poder adquisitivo de la moneda nacional, promover el sano desarrollo del sistema financiero, propiciar el buen funcionamiento de los sistemas de pagos, así como el desempeño de las funciones de regular los cambios, la intermediación y los servicios financieros, así como los sistemas de pagos; operar con las instituciones de crédito como banco de reserva y acreditante de última instancia; prestar servicios de tesorería al Gobierno Federal y actuar como agente financiero del mismo, las cuales comprenden sus funciones de banca central. Las anteriores son finalidades y funciones que dependen en gran medida de la correcta operación de las tecnologías de la información y comunicaciones que el Banco de México ha instrumentado para estos propósitos, mediante el procesamiento de la información que apoya en la ejecución de dichos procesos. Cabe señalar que las Tecnologías de Información que utiliza y contrata el Banco de México, como son los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, son adquiridos, desarrollados o destinados para atender, entre otras, la implementación de las políticas en materia monetaria y, cambiaria1, y para atender las fu nciones de agente financiero del gobierno federal. Por tal motivo, divulgar información relacionada con las especificaciones técnicas, nombres de proveedores, funcionamiento, normatividad interna, o configuraciones de dichos sistemas, puede propiciar su inhabilitación y en un extremo escenario, podría perturbar considerablemente al sistema financiero por su efecto directo en la información y operaciones relativas a la implementación de las políticas monetarias, cambiarias y de agente financiero que realiza Banco de México. Los riesgos aludidos tienen mayor probabilidad de materializarse con la entrega de la información, debido a que los delincuentes podrían diseñar estrategias para llevar a cabo ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. Dichos ataques focalizados podrían tener mayor probabilidad de éxito debido a que los delincuentes tendrían la posibilidad de dedicar todos sus recursos a ataques concretos identificados con base en la información en cuestión. Por lo anterior, exponer a los participantes del sistema financiero; así como al Banco Central que las administra, opera y supervisa , a estos riesgos cibernéticos puede perturbar considerablemente al sistema financiero por su efecto directo en la información y en las 1 La s políticas en materia cambiaría son decisión de la Comisión de Cambios. Página 2 de 22 11~4'1 BANCO DE l'\ÉXICO operaciones a través de las cuales se implementan las políticas monetaria y cambiaria y las funciones de agente financiero. Un ataque cibernético a los sistemas que soportan las operaciones de regulación monetaria, cambiaria y de agente financiero del gobierno federal, puede provocar la sustracción, interrupción o alteración de la información que se recibe, se procesa y se resguarda en relación a, por ejemplo, las asignaciones de las subastas que el Instituto central lleva a cabo con propósitos de regulación monetaria, regulación cambiaria o de agente financiero del gobierno federal, así como las operaciones cambiarias que realiza como agente financiero del gobierno federal o en la administración de la reserva internacional. Una li quidación errónea derivada de una alteración en los sistemas que generan las órdenes de cobro o pago de las operaciones antes mencionadas puede derivar en un incumplimiento involuntario de las obligaciones del Banco Central o del gobierno federal con el consecuente pago de penas, incremento en el costo de operaciones y daño en la confianza y reputación de éstas instituciones. De forma similar, la interrupción o imposibilidad de ejecutar las subastas monetarias, cambiarias y de agente financiero que realiza el Banco Central, generaría desconfianza, nerviosismo y especulación en el sistema financiero sobre la capacidad del Banco para operar en los mercados financieros, originando presiones sobre las tasas de interés y sobre el tipo de cambio y afectando por ende, el cumplimiento del objetivo prioritario del Banco que es la estabilidad del poder adquisitivo de la moneda nacional. La realización de hechos como los previamente narrados podría traducirse en un menor interés por parte de los intermediarios financieros en participar en las subastas con propósitos de regulación monetaria, cambiaria y de agente financiero del gobierno federal, comprometiendo la implementación de la política monetaria y por ende la consecución del objetivo prioritario de procura la estabilidad de precios del Banco. De igual forma comprometerían la implementación de la política cambiaria establecida por la Comisión de Cambios con el consecuente deterioro del mercado de cambios local y por ende del sistema financiero del país; e incrementarían el costo de las operaciones del gobierno federal que, al verse imposibilitado de conseguir financiamiento a través de las subastas primarias de valores gubernamentales, tendría que buscar otros medios de financiamiento a mayores costos. En efecto, proporcionar la información materia de la presente prueba de daño, facilitaría que terceros logren acceder a información financiera o personal, modifiquen los datos que se procesan o resguardan en ellas o, incluso, dejen fuera de operación a dichas tecnologías. Es de suma importancia destacar que los ataques a las tecnologías de la información y de comunicaciones, son uno de los principales y más importantes instrumentos utilizados en el ámbito mundial para ingresar sin autorización a computadoras, aplicaciones, redes de comunicación, y diversos sistemas informáticos, con la finalidad de causar daños, obtener información o realizar operaciones ilícitas. Estos ataques se fundamentan en descubrir y aprovechar vulnerabilidades de dichos sistemas, basando cada descubrimiento en el análisis y estudio de la información de las especificaciones técnicas de diseño y construcción, seguridad informática, especificaciones técnicas en materia de seguridad, procesos de Pá gina 3 de 22 Jl~i BANCOrn:f'\ÉXICO continuidad operativa y, en gene ra l, información relacionada con los sistemas correspondientes e infraestru ctura informática. Ot ra característica de este tipo de ataques, es la propia evolución de los equipos y sistemas, pues con cada actualización, nueva versión que se genera, o nuevo componente que se instale, se abre la oportunidad a la aparición de vulnerabilidades y, por ende, a nuevas posibilidades de ataque. Por ejemplo, en la actualidad, es común que en materia de sistemas de información se empleen herramientas con licencia de uso libre (p .e. librerías de manejo de memoria, traductores entre distintos formatos electrónicos, librerías para despliegue de gráficos, etc.), y que el proveedor publique las vulnerabilidades detectadas en ellas; contando con esta información y con las especificaciones técnicas de la aplicación o herramienta tecnológica que se quiere vulnerar, aquellos individuos con propósitos delincuenciales pueden elaborar un ataque cuya vigencia será el tiempo que tarde en corregirse la vulnerabilidad y aplicarse la actualización respectiva. Está documentado en la literatura especializada en la materia que los principales elementos de información que requiere conocer un cibercriminal son : la arquitectura de los sistemas, sus especificaciones técnicas, horarios de operación, funcionalidad general, protocolos de comunicación, aspectos de seguridad informática instrumentados, entre otros, para descubrir y aprovechar los puntos débiles que pudieran existir en estos elementos y atacar a los sistemas.2 En el caso en concreto, la información materia de esta prueba de daño contiene detalles sobre los formatos y códigos necesarios para la realización de pagos y liquidaciones, nombres de proveedores, especificaciones respecto de los servicios prestados, entre otros, por lo que su divulgación proporcionaría elementos de información que facilitarían a los cibercriminales aprovechar los puntos débiles de las infraestructuras que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, y en consecuencia llevar a cabo ataques informáticos más certeros con la finalidad de causar daños o disrupción de serv1c1os, obtener información, o realizar operaciones ilícitas como fraudes a través de éstas infraestructuras. 2. Demostrable, ya que es un hecho notorio que los sistemas de los Bancos Centrales han sufrido ataques cibernéticos a través de estas infraestructuras, como SWIFT, la cual ha sido utilizada para realizar robos de capital, uno de estos casos es el del Banco Central de Bangladesh, que sufrió un robo de 81 millones de dólares. O como el caso del Banco del Austro en Ecuador, en el que los atacantes utilizaron un método muy similar al de Bangladesh, para robar 12 millones de dólares. Respecto de lo anterior, a la fecha SWIFT continúa siendo objeto de ataques por diferentes grupos de delincuentes informáticos, y expertos en seguridad informática consideran que este tipo de actividades es susceptible de expandirse a otros servicios y sistemas financieros. Asimismo, los sistemas de empresas W ilshusen, G. C. , & Powner, D. A. (2009). Cybersecurity: Continued efforts are needed to protect information systems from evolving threats (No. GA0-10-230T). GOVERNMENT ACCOUNTABILITY OFFICE WASHINGTON OC. Página 4 de 22 BANC0°EJ"\ÉXICO }1~1 como Google, Facebook, PayPal y el New York Times se han visto comprometidos por ataques cibernéticos. Las investigaciones realizadas señalan que estos ataques han sido orquestados por organizaciones criminales internacionales con herramientas y técnicas sofisticadas que, además de dañar la reputación de las instituciones afectadas, han generado cuantiosas pérdidas económicas. Esta serie de ataques se encuentra en una fase avanzada, que come nzó con ensayos desde 2017 y que ha logrado la consecución de sus objetivos en algunos casos. En todos ellos, la detección de vulnerabilidades a nivel aplicativo y sistema operativo son elementos en común, por lo cual es totalmente demostrable que el entregar información precisamente sobre las vulnerabilidades de los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, permitiría a los delincuentes o grupos de lictivos el llevar a cabo más ciberataques que pudieran dañar de forma más severa las plataformas a través de las cuales se instrumentan las políticas monetaria y cambia ria, y las actividades de agente financiero del gobierno federal. Para demostrar lo anterior, se citan algunos de los ataques más relevantes: i) El ataque de tipo "Watering hale" en Polonia, que permitió utilizar un servidor de la Autoridad de Supervisión Financiera para distribuir código malicioso a más de 20 bancos 3 polacos , el cual se presentó en diversos países incluyendo México, en donde la Comisión Nacional Bancaria y de Valores resultó afectada;4 ii) El ataque del ransomware de WannaCry, que aprovechó una vulnerabilidad inherente de Microsoft Windows, para cifrar la información contenida en las máquinas y exigir el pago de un "rescate" para devolver el contenido a su forma original, el cual interrumpió significativamente la operación rutinaria de varias instituciones comerciales y gubernamentales, incluidas Fedex, Deutsche Bahn, Megafon, Telefónica, el Banco Central de Rusia, Ferrocarriles de Rusia y el Ministerio del Interior de Rusia; 5 iii) La alerta mencionada por la National Emergency Number Association en coord inación con el FBI, sobre la posibilidad de ataques de negación de servicios telefónicos conocidos como TDoS (Telephony denial of service, por sus siglas en inglés) a entidades del sector público; iv) El ataque que se perpetuo a BANCOMEXT el 9 de enero de 2018 a través de una afectación en su plataforma de pagos internacionales provocada por un tercero. Dicho Badcyber, Author. "Severa! Polish Banks Hacked, lnformation Stolen by Unknown Attackers." BadCyber, 9 de febrero de 2017, http ://ba dcyber .com/severa 1-po lis h-ba n ks-ha cked-information-stole n-by-u n known-attackers/ consu Ita do el 24 de septiembre de 2019. 4 BAE Systems Applied lntelligence. "BAE Systems Threat Research Blog." Laza rus & Watering-Hole Attacks, 12 de febrero de 2017. http://baesystemsai.blogspot.mx/2017/02/lazarus-watering-hole-attacks.html consultado el 24 de septiembre de 2019. Mattei, T. A. {2017} . Privacy, Confidentiality, and Security of Health Care lnformation: Lessons from the Recent WannaCry Cyberattack. World Neurosurgery, 104, 972-974. Página S de 22 BANCQ 0 ,J"\ÉXICO Jl?;1 ataque es similar a intromisiones ocurridas en otras instituciones en México y América Latina; 6 v) El ataque ocurrido a las instituciones financieras participantes del SPEI, el cual consistió en la alteración de sus aplicativos para conectarse a esta IMF, mediante código malicioso, el cual distribuyó dinero desde las cuentas concentradoras de los participantes a cuentas de usuarios específicas, los cuales fueron utilizados como "mulas" para la extracción del dinero.7 A la fecha de elaboración de la presente prueba de daño, se estima un daño a los participantes del SPEI de aproximadamente 300 millones de pesos. 8 El ataque producido a las plataformas que son usadas por proveedores externos en algunos bancos en México, en relación con el SPEI, ha sido catalogado como similar al que ocurrió con el sistema de pagos internacional S.W.I.F.T. en Rusia. vi) La filtración a través de redes sociales de la base de datos de tarjetas de los clientes del Banco de Chile dada a conocer por el grupo de hackers llamado "TheShadowBrokers". vii) La introducción a la red interna de Pemex de un ransomeware el pasado 10 de noviembre, que forzó a la compañía a apagar equipos de cómputo de sus empleados en todo el país, inhabilitando, entre otros, el sistema de pagos de la empresa .9 En particular, respecto del sistema financiero mexicano, los ataques han sido focalizados a las tecnologías de la información de las instituciones pertenecientes al mismo y se ha n incrementado en 2019, destacando nueve principales eventos con una afectación total de 784.7 millones de pesos. Estos ataques aprovecharon vulnerabilidades en infraestructura de cajeros automáticos, banca de inversión, banca móvil, un corresponsal y un enlace con el procesador. Estos ataques son de gran importancia, puesto que representan un riesgo sistémico para la economía mexicana.10 Dicha situación demuestra la realidad e identificación del riesgo que representan los ataques ci be rnéticos en el sistema financiero mexicano, por lo que los programas que utiliza el Banco de México para interactuar con el 6 BANCOMEXT. "Acci ón oportuna de BANCOMEXT salvaguarda intereses de clientes y la institución". 10 de enero de 2018. http://www.bancomext.com/comunicados/ 18443, consultado el 24 de septiembre de 2019. 7 Banco de México. "Información sobre los ataques a los Participantes del SPEI ". Mayo 2018 http://www.banxico.org.mx/inicio/ba nner/informacion-imoortante-sobre-la-situacion-del-s pei/%7B2B9 BB8C6- D66B-38C4-CC90-F72A7BC33 5C9%7 D. pdf, consultado el 24 de septiembre de 2019. 8 Acorde con los "Puntos importantes sobre la situación actual del SPEI" publicados en la página de internet del Ban co de México, 22 de mayo 2018 http:/ / www.banxico.org.mx/inicio/ banner/informacion-importante-sobre-la-sit uacion del-spei/ %7B022CD9D7-1 1A9 -68E6-D1AS-965FS7A23F60%7D.pdf consultados el 24 de septiembre de 2019. 9 Excélsior, Hackers piden cinco millones de dólares o Pemex en ciberataque, 12 de noviembre de 2019. https:/ / www.excelsi or.e om.mx/nacional/hacke rs-pid en-cin co-millones-de-dolares-a-pern ex-en-ciberatag ue/1347377 consultado el 14 de noviembre de 2019. 10 Morales, Yolanda, 'Ataques cibernéticos generaron afectaciones por 784 millones de pesos', El Economista, 4 de diciembre de 2019, en https://www.eleconomista.com.rnx/sectorfinanciero/Atagues-ciberneticos-genera ron-afectaciones-por-784-millones-de-pesos- 20191204-0141.html, con sultado el 9 de diciembre de 20 19. Página 6 de 22 Jl~i BAN(QnE/'\.ÉXl(O mismo están en alto riesgo de ataques y deben reservarse los datos que, de difundirse, pudieran actualizar una vulneración. Al respecto, uno de los modus operandi de los ciberataques es precisa mente a través de la obtención de información pública, información fácilmente accesible o información inaccesible, lo cual puede ocurrir mediante solicitudes de acceso a la información, o bien, a través de las organizaciones que operan o tienen acceso a los sistemas, en complicidad o no, con el único objeto de conocer las vulnerabilidades de las instituciones, empresas, sistemas e infraestructura de tecnologías de la información.U Por otro lado, es de destacar que los cibercriminales han utilizado técnicas de ingeniería social para obtener información y con ello acceder o vulnerar incluso los sistemas más seguros. Una de las formas más comunes de vulnerar los sistemas es mediante la obtención de información a través de diversas fuentes y mecanismos que les permita diseñar ataques informáticos encaminados a ingresar sin autorización a computadoras, sistemas, aplicaciones, y redes de comunicación, entre otros elementos, con la finalidad de causar daños o disrupción de servicios, obtener información, o realizar operaciones ilícitas como fraudes. Las corporaciones multinacionales y las agencias de noticias han sido víctimas de sofisticados ataques dirigidos contra sus sistemas de información derivado de la aplicación de técnicas de ingeniería social. 12 Por lo anterior, los estándares de seguridad y las mejores prácticas en materia de seguridad informática y comunicaciones, recomiendan abstenerse de proporcionar especificaciones de componentes, arquitectura o configuración de los programas o dispositivos a personas cuyo rol no esté autorizado, 13 en el entendido de que dicha información, al estar en posesión de personas no autorizadas, puede facilitar que se realice un ataque exitoso contra la infraestructura tecnológica del Banco Central de la Nación, impidiéndole cumplir sus funciones establecidas en la Ley del Banco de México, así como aquello que le fue conferido por mandato constitucional. Sea cual fuere el origen o motivación del ataque contra las tecnologías de la información y de comunicaciones administradas por el Banco Central, éste puede conducir al 11 El Financiero, El sistema financiero mexicano fue víctima de una campaña de cíberataques, 15 de mayo de 2018. https://www.eleconomista.eom.mx/sectorfinanciero/El-sistema-financiero-mexicano-fue-victima-de-una-campana de-ciberatagues-20180515-0097.html consultado el 24 de septiembre de 2019. 12 Granger, S. (2001}. Social engineering fundamenta Is, part 1: hacker tactics. Security Focus, 18 de diciembre de 2001. https://www.symantec.com/connect/articles/socia l-engineering-fundamentals·· pa rt-i-hacker-tactics consultado el 24 de septiembre de 2019. 13 Ver por ejemplo las 10 medidas básicas de ciberseguridad de la Security lnformation Center, en particular la relacionada con "Implementar un programa de capacitación en seguridad cibernética para empleados" en donde recomiendan sensibilizar sobre los temas de ingeniería social que buscan obtener información mediante diversos canales de comunicación solicitando información sensible. https://www.waterisac.org/sites/default/files/public/10 Basic Cybersecurity Measures- WaterlSAC June2015 0.pdf consultado el 24 de septiembre de 2019. Página 7 de 22 })~ BANC0°<1'\ÉXICO 1 incumplimiento de su objetivo prioritario y de sus obligaciones hacia los participantes del sistema financiero y/o provocar que a su vez, estos no puedan cumplir co n sus propias obligaciones, y en consecuencia, generar un colapso del sistema financiero nacional, lo que iría en contravención a lo establecido en el artículo 2o. de la Ley del Banco de México. 3. Identificable, puesto que el Banco de México se encuentra permanentemente expuesto a ataques provenientes de internet (o del ciberespacio) que, en su mayoría, pretenden penetrar sus defensas tecnológicas o inutilizar su infraestructura, tal y como queda identificado en los registros y controles tecnológicos de seguridad de la Institución, encargados de detener estos ataques. Sin perjuicio de lo anterior, se puede mencionar que durante 2018, se registraron un promedio de 700 intentos de ataque al mes, llegando a presentarse hasta 1500 intentos de ataque en un único mes . Si bien dichos ataques no han logrado irrumpir en los sistemas del Banco de México, resulta claramente identificable que el objeto final de dichos ataques son los sistemas que soportan las operaciones del Banco de México, entre ellas las que realiza con propósitos de regulación monetaria y cambiaría, y como agente financiero del gobierno federal, cuya seguridad depende de la reserva de la información materia de la presente prueba de daño. Lo anterior no es ajeno a la banca mundial, la cual es continuamente asediada por grupos denominados "hacktivistas", como ocurrió en junio de 2017, donde se pretendía inutilizar los sitios Web de los bancos centrales: "Anonymous anuncia 07 de junio como inicio de operación #Oplcarus 2017, cuyo objetivo son bancos centrales del mundo y otras instituciones financieras como la Reserva Federal y el Fondo Monetario Internacional en Estados Unidos. La operación iniciará mañana 07 de junio y tendrá una duración de 14 días, como protesta por las decisiones de los gobiernos de todo el mundo que no cumplen con las necesidades de la población." Adicionalmente, si bien las afectaciones a la infraestructura de las tecnologías de la información y de comunicaciones pueden también deberse a riesgos inherentes a las mismas, es importante considerar que cuando estas afectaciones han ocurrido en el Banco de México, se ha generado alerta y preocupación de forma inmediata entre los participantes del sistema financiero; por lo que de presentarse afectaciones derivadas de ataques orquestados a partir de información de especificaciones o configuraciones de estas tecnologías, entregada por el propio Banco Central, se corre el riesgo de disminuir la confianza depositada en este Instituto con el consecuente impacto en las políticas que implementa el Banco y por ende en la economía, con lo que esto conlleva. En ese sentido, un ataque informático derivado de proporcionar información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, podría resultar en la afectación y alteración de las asignaciones de las subastas que este instituto lleva a cabo con propósitos de regulación monetaria, cambiaría y de agente financiero del Gobierno Federal. A su vez estas afectaciones podrían, en caso de alterar las as ignaciones de las Página 8 de 22 Jl~i BANCQoEJ'\ÉXICO subastas, menoscabar el efecto de las medidas adoptadas en las políticas monetaria, cambiaría y del sistema financiero del país; y en las órdenes de transferencia de fondos, podrían derivar en una pérdida de patrimonio no sólo para las instituciones financieras del país sino del propio banco central o el mismo gobierno federal. El riesgo de perjuicio que supondría la divulgación de la información materia de esta prueba de daño, supera el interés público general de que se difunda, pues el interés público se centra en que no se comprometa la efectividad en las medidas implementadas en los sistemas monetario, cambiaría, financiero y económico, que propician el buen funcionamiento de esos sistemas y de la economía nacional en su conjunto por lo que, la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, no satisface un interés público, por el contrario, es información que pone en riesgo la efectividad de las medias adoptadas en los sistemas monetario, cambiaría, del sistema financiero y de la economía nacional en su conjunto. Asimismo al realizar una interpretación sobre la alternativa que más satisface dicho interés, se puede concluir que debe prevalecer el derecho más favorable a las personas, esto es, beneficiar el interés de la sociedad, el cual se obtiene por el cumplimiento ininterrumpido de las funciones del Banco de México. En consecuencia, proporcionar la información en cuestión, no aporta un beneficio mayor a la transparencia y rendición de cuentas que sea comparable con el perjuicio que implicaría el hecho de divulgarla, esto es, que permita planear y perpetrar ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal y a la infraestructura relacionada con estos, los cuales tengan como resultado la creación de mecanismos que faciliten el acceso indebido, la substracción de información - como datos personales referente a sus usuarios y las operaciones que realizan -, la alteración de resultados de las subastas que realiza este instituto y de las órdenes de transferencia entre las cuentas bancarias de los participantes o la disrupción en éstos. En este sentido, el riesgo de perjuicio antes señalado supera claramente el interés general de que se difunda la información. Por otra parte, la limitación se adecua al principio de proporcionalidad, toda vez que debe prevalecer el interés que más beneficie a la colectividad, y como se ha dicho, proteger la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal evitará poner en riesgo la efectividad de las medidas en materia monetaria y cambia ria, del sistema financiero y de la economía nacional en su conjunto. Asimismo, reservar la información en cuestión representa el medio menos restrictivo disponible para evitar el pe rjuicio, en aras salvaguardar la efectividad de las medidas adoptadas en materia cambia ria, así como la estabilidad del sistema financiero, puesto que el propio legislador determinó Página 9 de 22 Jl~i BANC0°,f'\txICO que el medio menos restrictivo es la clasificación de la información cuando actualice las causales prevista en la Ley, tal y como se demostró en el presente caso. Por otra parte, se hace referencia a lo establecido en el artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP}, así como en la parte conducente de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP), donde se contempla que los sujetos obligados, entre los cuales se encuentra el Banco de México, deberán poner a disposición del público y mantener actualizada diversa información, de acuerdo con sus facultades, atribuciones, funciones u objeto social, según corresponda, en los respectivos medios electrónicos, por lo menos, de los temas, documentos y políticas señalados en las fracciones I a XLVIII, de dicho artículo. Cabe destacar que con la finalidad de establecer la forma en que los sujetos obligados deben dar cumplimiento al citado artículo 70 de la LGTAIP, el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI}, publicó en el Diario Oficial de la Federación de fecha 4 de mayo de 2016, el "Acuerdo del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, por el que se aprueban los Lineamientos técnicos generales para la publicación, homologación y estandarización de la información de las obligaciones establecidas en el título quinto y en la fracción IV del artículo 31 de la Ley General de Transparencia y Acceso a la Información Pública, que deben de difundir los sujetos obligados en los portales de Internet y en la Plataforma Nacional de Transparencia" (en lo sucesivo, Lineamientos Técnicos Generales). En dichos Lineamientos Técnicos Generales, dentro de su anexo 1, se establecen los criterios sustantivos de contenido (metadatos)14, en razón de la fracción correspondiente al artículo 70 de la LGTAIP, que los sujetos obligados deben publicar en los respectivos medios electrónicos a efecto de cumplir con las obligaciones establecidas en el título quinto y en la fracción IV del artículo 31 de la mencionada ley. En tal virtud, debe destacarse que dichos metadatos comprenden información relativa al contenido de la contratación que se reserva con fundamento y motivación en las consideraciones vertidas en la presente prueba de daño, cuya publicación podría poner en riesgo la efectividad de las medidas implementadas en los si stemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien, otorguen una ventaja indebida, generen distorsiones en la estabilidad de los mercados, o puedan incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, tal como se ha manifestado en la presente justificación. En ese sentido, es evidente que las consideraciones formuladas en la presente prueba de daño respecto de la reserva de la contratación objeto de clasificación, son aplicables a los metadatos 14 Según el INEGI, los metadatos son "datos estructurados que describen las características de la información: su contenido, calidad, condición y otros aspectos de los productos o conjuntos de datos espaciales". En otras palabras, los "metadatos" son información. Fuente: http://www.inegi.org.mx/geo/contenidos/metadatos/default.aspx, consultado el 25 de abril de 2018 . Página 10 de 22 Jl~i BAN(Qocf'\txICO re lativos a dichos documentos, por lo que son de clasificarse como reservados de conformidad con el artículo 113, fracción IV, de la LGTAIP, el cual dispone que: "como información reservada podrá clasificarse aquella cuya publicación pu eda afectar la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaria o del sistema financiero del país; pueda poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país, pueda comprometer la seguridad en la provisión de moneda nacional al país, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal". En consecuencia, es claro que revelar la información contenida en los "metadatos" derivados Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal actualizan el supuesto previsto del artículo 113, fracción IV, de la LGTAIP, toda vez que contiene información cuya divulgación "pondría en riesgo la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaria o del sistema financiero del país; pueda poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país, , o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal". Adicionalmente, los Lineamientos Técnicos Generales permiten reservar esta información, publicando en la pestaña correspondiente del portal de Internet una leyenda con el fundamento legal que especifique la información se encuentra clasificada. Esto ha sido realizado por el propio INAI, en el Sistema de Portales de Obligaciones de Transparencia, respecto de la información reportada bajo la fracción XXVII del artículo 70 de la LGTAIP, en el campo correspondiente a "Sentido de la resolución" y "Nota" .15 Por lo anterior, se clasifica como reservada la información contenida en los metadatos siguientes: Fracción XXVIII art. 70 de la LGTAIP: Descripción de las obras, los bienes, servicios, requisiciones u orden de servicio contratados y/o adquiridos, Nombre completo o razón social de los posibles contratantes, Registro Federal de Contribuyentes (RFC} de las personas físicas o morales posibles contratantes, Nombre o razón social del adjudicado, Registro Federal de Contribuyentes (RFC) de la persona física o moral adjudicada, Hipervínculo en su caso, al (los) lnforme(s) de avance físicos en versión pública si así corresponde, Hipervínculo, en su caso, al (los) /nforme(s) de avance financieros, en versión pública si así corresponde, Hipervínculo al acta de recepción física de los trabajos ejecutados u homóloga., toda vez que al revelar dicha información al público en general, se pondrían en riesgo las funciones del Banco de México, el funcionamiento del sistema financiero y de la economía nacional en su conjunto. Fracción XXX II art. 70 de la LGTAIP : Nombre, denominación o razón social del proveedor o contratista, Estratificación, Origen del proveedor o contratista, País de origen si la empresa es una filial extranjera, Registro Federal de Contribuyentes (RFC) de la persona física o moral, Entidad 15 Esta información puede ser consultada a través de la siguiente liga : http://consu ltapubl icamx.inai. org.mx:8080/vut-web/ Página 11 de 22 Jl~i BANCQm:l"\ÉXICO federativa de la persona física o moral, El proveedor o contratista realiza subcontrataciones, Actividad económica de la empresa, Domicilio fiscal de la empresa, Domicilio en el extranjero, Nombre del representante legal de la empresa, Datos de contacto, Correo electrónico, Tipo de acreditación legal que posee, Dirección electrónica que corresponda a la página web del proveedor o contratista, Teléfono oficial del proveedor o contratista, Correo electrónico comercial del proveedor o contratista, toda vez que al revelar dicha información al público en general, se pondrían en riesgo las funciones del Banco de México, el funcionamiento del sistema financiero y de la economía nacional en su conjunto. En razón de lo anterior, y vistas las consideraciones expuestas en el presente documento, con fundamento en lo establecido en los artículos 60 ., apartado A, fracciones I y VIII, párrafo sexto, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 1, 100, 103, segundo párrafo, 104, 105, 107, 108, último párrafo, 109, 113, fracción IV, y 114 de la LGTAIP; 97, 100, 102, 103, 110, fracción IV, y 111 de la LFTAIP, lo., 2o . y 3o ., fracción 1, de la Ley del Banco de México; 4o ., párrafo primero, 80., párrafos primero, y tercero, 10, párrafo primero, 12 y 19 Bis 1, del Reglamento Interior del Banco de México; Segundo, fracción VI , del Acuerdo de Adscripción de las Unidades Administrativas del Banco de México; así como, así como Primero, Segundo, fracción XIII, Cuarto, Sexto, Octavo, párrafos primero, segundo y tercero, Vigésimo segundo, fracciones I y 111 , Trigésimo tercero, y Trigésimo cuarto, párrafos primero y segundo de los Lineamientos, se clasifica como reservada, por el plazo de 5 años a partir de la fecha de clasificació n, la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal y los metadatos listados anteriormente, toda vez que el Banco Central continuará utilizando la infraestructura tecnológica protegida por la presente prueba de daño para el ejercicio de sus funciones, considerando que los periodos de reemplazo de la infraestructura tecnológica, y por consiguiente la vigencia de sus propias especificaciones, se extienden a rangos de entre diez y quince años. Pá gin a 12 de 22 })~ BANCOocf'\txICO 1 REFERENCIA 2 United States Govemment AecountabUity Offiee Statement for the Record GAO To the Subco1nmittee on Terroris1n and Hoineland Security, Comn1ittee on t.he Judiciary, U.S. Senate For Helease on Delh·eey Expected at 10:00 a.m. EST Tuesday, Novernber 17, 2000 CYBERSECURITY Continued Efforts Are N eeded to Protect Information Systems from Evolving Threats Statement of Gregory C. Wi lshu.sen, Director Infonnation Security Issues David A Pm.vner, Director Infomtation Technoiogy Management Issues GAO IR¡ • ...... • AIII .... GA0-10..2301' Página 13 de 22 Jl~i BANC0°•!'\ÉXICO REFERENCIA 3 13'612Dt8 BadCyber Making lnfosec joumalísrn great agaln! Several Pors banks hacked, information stolen by nknown attackers b 3crcyber Fe b ~a ry 3, 2Gi7 i Cr;me, lr,vesti9ation ;' banking, m alware. Po and 241 f 1114 Página 14 de 22 BAN(QDE l"\ÉXICO REFERENCIA 4 13'5121ll8 Mt• BAE STSI THRfAT RESEAICII BlDG LAZARUS & lAJERING·H Dll AHACKS ... en llt1 Fetmr.al)' Wt7• ....,.n:hefl; .rt.D.OC)'llef.ccm ,.,.,.,..a an __ lnal O!Callea a liff!e< ot - a:sacti ,.._a l Pca511 nr.ar.csa11r TI>e .a111c1e 1u net bul mleU\ill '7111S IS - O)' .:ir- Tlli5 ~ n p10'1-an ma.a1 tne-!m!llns>,. AHAI.YSJS Al slmll in 1he bhlg. Ir.e attacks are SUSJ)ected nm ltJe website of tite PG · frr1mial Sii ·• · 1 .btbnrity {lcnf.glll'[ .Jpij, M OZIENNJK UR.Zl::DO\NY t::,;d K0.\·11:i.l l :\:"1UL.OHU 1'I N:~::iü\\•E(.,ü FarftlttMtlnttrm:tlltnorbNltbanCIIIPNI. -- .... ,_.,. __ .... _ ...... _~ ..... __ ., -.. ·----.·----··-. -- -~-- - .. -· ...... -...... - . -- ...... - ~- - .i -- ..... _.. -- • ·r .... - .. -': ·-~:-:· .. -~~ . .. . -- ..... -· ...... F""" at 1...i 2016·10-07 "' lill! Jal' 119 Página 15 de 22 Jl?;i BANC0°EJ'íÜICO REFERENCIA 5 ResearchGate su dlsculli1:111'l, si:ats, and 1UÚlar prnfllf!1 fortlti5 pubíkation at: Privacy, Confidentiality> and Security of Health Care Information: Lessons from the Recent WannaCry Cyberattack Artlde World Neurosur¡;ery • Ju ne 201 7 ClfAllO'I P.{ADS 1 141 1 author: Eastem Maine M:edical Center 1&4 PU!L,lO\llONS ,fii040fAT!ONS Página 16 de 22 })~ BANCOm:f'\txICO 1 REFERENCIA 6 ~ Qqf;ÍAÑOS BANCOM:XT Ciudad de México a 10 de enero de 2018 ACCIÓN OPORTUNA DE BANCOMEXT SALVAGUARDA INTERESES OE CLIENTES Y LA INSTITUCIÓN El Banco Nacional de Comercio Exterior (Bancomext), informa que, a pesar de las robustas medidas de seguridad con que cuenta. el día 9 de enero fue víctima de una afectación en su plataforma de pagos internacionales provocada por un tercero. Las autoridades han confirmado que el modus operandí de los presuntos "hackers" es similar a intromisiones ocurridas en otras Instituciones en México y América Latina. Afortunadamente, el protocolo y la oportuna reacción de las áreas responsables de la operación, con el apoyo de los bancos, las autoridades correspondientes y el Banco de México. lograron contener este hecho. Cabe destacar que los intereses de nuestros clientes y los del propio Banco se encuentran a salvo y que Bancomext está reanudando operaciones para sus clientes y contrapartes. A medida que exista mayor información se hará del conocimiento del público. Teléfono de Comunicación Social: 15551024 Página 17 de 22 Jl~J. BAN(Qo, /"\txICO -· ----:.:::- -.::::..--. REFERENCIA 7 =1---~ [-~-~- ~- ! ...... __ --r·! __----_ --,. -._ . ,-., --1 _ , ·--- I l!lli 111!' Página 18 de 22 BANC0°r: MÉXICO REFERENCIA 8 JB BAN(Oof!,MÉXICO 1 n:.d e mayo de 2018 Puntos Importantes sobre la Situación Actual del SPEI. 1. Se tienen registrados 5 participanms -ron vulneraciones de ciberseguridad. Todos los ataques que se han observado han sido diñgidos hacia los banoos,. casas de bolsa y otros part:idpantes del .sislll!ma de pagos. Estos. han estado enfocados en los sistemas de los participantes con los que :se conectan alSPEI. 2. El sistema ,entra! del SPB,que opera el BanmdeMéxico, noseha vis.to afectado y no ha sido blam:o de nincún ataq-ue. El sistema central opera de manera segura v eficiente como Jo ha hecho desde sucreadón. 3. tos rKur.sos de los dientes de instituciones financieras están seguros, n.o estuvieron en peligro y no han .sido el objetiw de los .ataques~ Los recursos que se han extraído han si,do de los participantes {bancos, casas de bolsa, etc.). Los ata;:ante-.s han buscado ·vulnerar las conexiones de [:as institucicnes ron el SPEI, inyectando ins1:rucciones de pago fraudulentas a partir de cuentas inexistentes_, lo cual afecta la cuenta transaccional de los panicipantes en el SPEI, pero no las cuentas de los dientes ft:nales. los recurs:os de los d ientes están seguros porque radican en un sistema separad.o ron validaciones indiYi.d.uales por operación. 4. •Para salvaguardar la «111tinuidad operativa. el Banco de México alertó a los participantes en el !iPEl y solicitó a los participantes cxm un mayor perfil de riesgo m~rar la operación a u.na plata.forma contingente. Este esquema de operación ron1ing_erite y las vaficfac;¡jone.s adicionales que han implementado los participantes han propiciado la ralentización de los flujos de pagos. 5. lJna ve2 real>idas en el SPEI, el 100% de las operaciones son procesadas y enviadas a los participantes receptDres en segundos. . Po.r otra parte, desde que- se recibe la solicitud por parte de un criente en los sistemas del participante hasta e.t a.bono final el SS'Jli de las operaciones fluye por el sistema y los panicipantes con normalidad en cuestión de segundos, mie,ntras que el 99% se opera en menos de dos horas. No obstante, en a.lg;unos casos estas acreditaciones _pueden tan:lar· uno o más días. El Baria> de Nlé1tico, consciente de· la preompaaón y malestar de los dientes, trabaja arduamente para que los participantes agjfic;en sus procesos para abonar en. el menor tiempo pasible los rei:unos de sus dientes y oonálo minimizarlaafec:taci&na losmismos. 6. Con la información disponible, los montos involucrados en envíos irregulares y sujetos a revisión son de aproximadamente 300 millones de pesos. Pagina lde3 Página 19 de 22 j]~i BAN(Qocf'\[XICO REFERENCIA 9 1316/2018 FACTOR CAPITAL ...Js.lA EL ECONOMISTk~~~ONES HUMANO 2018 BDVA Bancomer AFECTACIONES AL SPEI El sistema financiero mexicano fue víctima de una campaña de ciberataques Algunas instituciones del sistema financiero en .México sufrieron una campaña de cibera.taques, a. principios del 2017, que afectó los aplica ti.vos y fa infraestructura de TI que dan soporte a los servicios de banca en linea. Página 20 de 22 Jl~i BANCQocJ1ÉXICO REFERENCIA 10 +2 l 11otos Social Engineering Fundamentals. Part 1: Hacker Tactics By:,(l Creal!! o m o " _(bttQ://en-us.redditcom/submit?url=httD://w./N1.symantec.com/connect/articles/social J{cg nnect1toooa rd,paTIF--_~bW;Si2!!,™9f~ ______~- part-i-hacker-tactjcs1 by Sarah Granger Social Engineering Fundamentals, Part 1: HackerT.actics by Sa ra h Granger (mai!to:[email protected]) last updated December 18, 2001 A True Story One morning a few years back, a grnup of strangers walked into a large shipping firm and walked out with access to the firm's entire corporate network. How díd they do it? By obtaining small amounts of access, bit by bit, from a number of different employees in that füm. First, they did research about the company for two days before even attempting to set foot on the premíses.. For example, they leamed key employees' names by calling HR. Next, they pretended to lose their key to the front door, anda man let them in. Then they mlost' their identity badges when enteling the third floor secured a rea, smiled, and a friendly employee opened the door forthem. The srrangers knew the CFO was out of town, so they were able to enter his office and obtain financia! data off his unlock.ed computer. They dug through the corporate trash, finding all kinds of useful documents. They asked a janitor for a garbage pail in wtüc:h to place their contents and carried ali of this data out of the building in their hands. The strangers had studied the (FO's volee, so they were able to phone, pretendíng to be the CFO, in a rush, desperately in need of his network password. From there, they used regular technical hacking tools to gain super-user access into the system. Página 21 de 22 JI?;,. BAN(Qo,f'iÜICO REFERENCIA 11 · ~ WaterISAC Securify" lnfor:mation Center Best Pradices to Reduce Exploitable Weaknesses and Attacks June2015 Developed in partnership with tlle U.S. Department of Homeland Secuñty lrnfustríal Control Systems Cyber Emergency Re.sponse Team (ICS-CERT}, tl1e FBI, a.nd the lnformation Tedmclogy lSAC.. WaterlSACa!so admowtet:lge~ the Multi-State ISAC far its conmbutions to this document. © WaterlSAC 2015 Página 22 de 22 "Anexo 6" BANC0°EJ'\txICO ]1~1 EL COMITÉ DE TRANSPARENCIA DEL BANCO DE MÉXICO OBLIGACIONES DE TRANSPARENCIA Unidades Administrativas: Dirección de Infraestructura de Tecnologías de la Información y Dirección de Apoyo a las Operaciones del Banco de México. VISTOS, para resolver sobre la clasificación de información determinada por las unidades ad ministrativas al rubro indicadas, y RESULTANDO PRIMERO. Que con la finalidad de cumplir con las obligaciones de transparencia comunes, los sujetos obligados pondrán a disposición del público, en sus respectivos medios electrónicos y en la Plataforma Nacional de Transparencia, de acuerdo con sus facultades, atribuciones, funciones u objeto social, la información de los temas, documentos y políticas que se señalan en el artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública (LGTA IP). SEGUNDO. Que quienes son titulares de la Dirección de Infraestructura de Tecnologías de la Información, y de la Dirección de Apoyo a las Operaciones, ambas del Banco de México mediante oficio con fecha de veintiuno de febrero del dos mil veinte, hicieron del conocimiento de este órga no colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, en términos y de conformidad con la fundamentación y motivación señaladas en las carátulas y en las pruebas de daño correspondientes, respecto de los cua les se generaron las versiones públicas respectivas, y solicitaron a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones públicas. CONSIDERANDO PRIMERO. Este Comité es competente para confirmar, modificar o revocar las determinaciones que en materia de clasificación de la información realicen los titulares de las áreas del Banco de México, de conformidad con los artículos 44, fracción 11, de la LGTAIP; 65, fracción 11, de la Ley Fede ral de Transpare ncia y Acceso a la Información Pública (LFTAIP); y 31, fracción 111, del Reglamento Interior del Banco de México (RIBM). Asimismo, este órgano colegiado es competente para aprobar las versiones públicas que someten a su consideración, en términos del Quincuagésimo sexto y el Sexagésimo segundo, párrafos primero y segundo, inciso b), de los " Lineamientos generales en :::~;~.::ú~~:::~~~ii::n:e:;:~:~:~:~i!:t la información, así como para la elaboraciónddaes y SEGUNDO. En seguida se analiza la clasificación realizada por las unidades administrativas r en el resultando Segundo. "2020, Año de Leona Vica rio, Benemérita Madre de la Patria" BANCQo,J'\[XICO }1~1 Es procedente la clasificación de la información testada y referida como reservada, conforme a la fundamentación y motivación expresadas en las pruebas de daño correspondientes, las cuales se tienen aquí por reproducidas como si a la letra se insertasen en obvio de repeticiones innecesarias. En consecuencia, este Comité confirma la clasificación de la información testada y referida como reservada. En este sentido, se aprueban las versiones públicas señaladas en el oficio precisado en el resultando Segundo de la presente determinación. Por lo expuesto con fundamento en los artículos, 44, fracción 11, 137, párrafo segundo, inciso a), de la LGTAIP; 65, fracción 11 , y 102, párrafo primero, de la LFTAIP; 31, fracción 111, del RIBM; Quincuagésimo sexto y Sexagésimo segundo, párrafos primero y segundo, inciso b), de los Lineamientos, y Quinta de las Reglas de Operación del Comité de Transparencia del Banco de México, este órgano colegiado: RESUELVE PRIMERO. Se confirma la clasificación de la información testada y referida como reservada, conforme a la fundamentación y motivación expresadas en las correspondientes pruebas de da ño, en términos del considerando Segundo de la presente resolución. SEG UNDO. Se aprueban las versiones públicas señaladas en el oficio precisado en el resultando Segundo de la presente determinación. Así lo resolvió, por unanimidad de sus integrantes presentes el Comité de Transparencia del Banco de México, en sesión celebrada el cuatro de marzo de dos mil veinte. ------ COMITÉ DE TRANSPARENCIA Presidenta Integrante I "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Pag;oa 2 de 2 f IJ BANCO ¡;i: f'\ÉXICO "Anexo 7" RECIBIDO BANCOm:f'\ÉXICO Jl?j1 Comlt~ d~ Tral"l~par ~ ,,-~c;Jt' ~~'" rr;,IHf/,. r k t'~ e'#! 'l.vl, Ciudad de México, a 21 de febrero de 2020 . Por:rlf.il3.1. Hora:..JJ.:li... Jf'Í/(;111$, r,,,,v c,r,, .!:J \..:..::.:.:==----- 1 v,u. ¡?MÍ" rÍt /c,,1o ·- COMITÉ DE TRANSPARENCIA DEL BANCO DE MÉXICO Presente. Me refiero a la obligación prevista en el artículo 60 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP), en el sentido de poner a disposición de los particulares la información a que se refiere el Título Quinto de dicho ordenamiento (obligaciones de transparencia) en el sitio de internet de este Banco Central y a través de la Plataforma Nacional de Transpare ncia. Al respecto, en relación con las referidas obligaciones de transparencia, me permito informarles que esta unidad administrativa, de conformidad con los artículos 100, y 106, fracción 111, de la LGTAIP, así como 97 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); y el Quincuagésimo sexto de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" (Lineamientos) vigentes, han determinado clasificar diversa información contenida en los documentos que se indican más adelante, incluyendo los metadatos que se deriven de los documentos en él conten idos, de conformidad con la fundamentación y motivación señaladas en las carátulas y en las pruebas de daño correspondientes. En consecuencia, esta áreas ha generado las versiones públicas respectivas, junto con las carátulas que las distinguen e indican los datos concretos que han sido clasificados, al igual que los motivos y fundamentos respectivos. Asimismo, se ha elaborado la correspondiente prueba de daño, que se adjunta al presente. Para facilitar su identificación, en el siguiente cuadro encontrarán el detalle del título de los documentos clasificados, los cuales coinciden con los que aparecen en las carátulas que debidamente firmadas se acompañan al presente. TÍTULO DEL DOCUMENTO CLASIFICADO CARÁTULA NÚMERO PRUEBA DE DAÑO DE ANEXO NÚMERO DE ANEXO Autorización para adjudicar ID 19-0627 de 1 6 fecha de formalización julio de 2019 Dictamen Técnico de fecha 28 de mayo de 2 6 2019. Contrato No. 0000023319 3 6 Contrato No. 0000020774 (800-18-0853-2) 4 6 "2020, Año de Leona Vicario, Benemérita Madre de la Patria " Página I de 2 t BAN(Oocf'\txJCO ]1?11 Acta de la sesión especial 25/2018 del Comité de 5 6 Transparencia del Banco de México Por lo expuesto, en términos de los artículos 44, fracción 11, de la LGTAIP; 65, fracción 11 , de la LFTAIP; 31, fracción 111, del Reglamento Interior del Banco de México; así como Quincuagésimo sexto, y Sexagésimo segundo, párrafos primero y segundo, inciso b), de los Lineamientos, atentamente solicito a ese Comité de Transparencia confirmar la clasificación de la información realizada por esta unidad administrativa, y aprobar las versiones públicas señaladas en el cuadro precedente. Asimismo, de conformidad con el Décimo de los señalados Lineamientos, informo que el personal que por la naturaleza de sus atribuciones tiene acceso al referido documento clasificado, es el adscrito a: Por parte de la Dirección de Apoyo a las Operaciones: • Gerencia de Desarrollo de Sistemas Operativos (Gerente) • Subgerencia de Servicios de Computo (Subgerente). Por parte de la Dirección de Infraestructura de Tecnologías de la Información: • Gerencia de Telecomunicaciones (Gerente) • Subgerencia de Desarrollo de Servicios de Telecomunicaciones (Todo el personal) • Subgerencia de Ad ministración de Servicios de Telecomunicaciones (Todo el personal) • Subgerencia de Planeación y Regulación (Todo el personal) Por parte de la Dirección de Recursos Materiales: • Gerencia de Abastecimiento de Tecnologías de la Información Inmuebles y Generales (Todo el personal). • Gerencia de Abastecimiento a Emisión y Recursos Hu manos (Todo el personal). • Gerencia de Soporte Legal y Mejora Continua de Recursos Materiales (Todo el personal). Atentamente, "2020, Año de Leona Vicario, Benemérita Madre de la Patria" t Página 2 de 2 BANCQm:J"\txICO ]1~1 CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Fed eral de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y dese/osificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSI ÓN PÚBLICA l. Área titular que clasifica la información. Dirección de Apoyo a las Ope raciones 11. La identificación del documento del que se elabora Autorización para adjudicar ID 19-0627 de fecha de la versión pública. formalización julio de 2019 111 . Firma del titular del área y de quien clasifica. ~ - JOAQtoifCA; O JAUREGUI SEGURA MILLAN Director de Apoyo a las Operaciones IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. II preSl!IIIRVl!sillpútllcafue lflollldlenll11116ftdel Comlli de Trar__.,fsvec:t'-' .,....,. 09{:le2:,qceWM1111 •.§:.• ..:,Q Ser&lo Zambrano 11etttra, Stctetarlo dtl • ~-~dellllllCOdeMilllco, IMdOIGaftiaMalldnfll\~IOdll (~ Conlhide 1l'lmpnllda - -·Wi,lco Página 1 de 2 BAN(Oocf'\ÉXICO 11~1 PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada 1.1 1-4, 6-9 Información de la Conforme a la prueba de daño que se adjunta. Conforme a la prueba de daño que se adjunta. contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal Página 2 de 2 l Jl~i BAN(QocM.ÉXICO CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSI ÓN PÚBLICA l. Área titular que clasifica la información, Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora Dictamen Técnico de fecha 28 de mayo de 2019. la versión pública . 111. Firma del titular del área y de quien clasifica. JOAQU Í Director de Apoyo a las Operaciones IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. Página 1 de 2 }11 BAN(Qn,f'\ÉXICO PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada 1.1 1-4 Información de la Conforme a la prueba de daño que se adjunta. Conforme a la prueba de daño que se adjunta. contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal Página 2 de 2 BANCOocf'\[XICO 1111 CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los" Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSIÓN PÚBLICA l. Área titular que clasifica la información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora Contrato No. 0000023319 la versión pública . 111 . Firma de l titular del área y de quien clasifica . JOAQUÍN IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública...... :tp6bllcafueap,abldaenlasesl6nde1Comltéde ...... i?*>Yi ·.IÜIWO~ tl~dt m oa-9 •+!J;J,P 8ectltaril del Comité de Transp Página 1 de 2 l }1~ BAN(Qocf'\ÉXICO 1 PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada 1.1 1-2, 16, Información de la Conforme a la prueba de daño que se adjunta. Conforme a la prueba de daño que se adjunta. 18-24, 31 contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal Págin a 2 de 2 })?11 BANCQoef'\ÉXICO CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública {LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública {LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y desclasifícación de la información, así como para la elaboración de versiones públicas", vigentes {Lineamientos). VERSI ÓN PÚBLICA l. Área titular que clasifica la información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora la versión pública. Contrato No . 0000020774 (800-18-0853-2) 111. Firma del titular del área y de quien clasifica. /~ JOAQI -~ ~ ANO JAUREGUI SEGURA MILLAN Director de Apoyo a las Operaciones IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. la ..-.wn1611plillllcl fue a¡nbada III II N5l6n del Comili de ~§.ocw,.\ ·,IÚIIIIOrobe?Ac:elebt111a e1.!,.c1e 'r:C@'.1,0 del.Ql.Ü 11,glo Zallbrano Htnera. Secretario del - Olllllltde-~ ~del -WTBallcll deMexlr.o.~ INQgrGllt/611ondngón. l'rmctwlo del Colllll6dt hispa~ del tlaAW da Múleo --' Página 1 de 2 }]~ BANCOocf'\ÉXICO 1 PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada 1.1 1,2,15,17 Información de la Conforme a la prueba de daño que se adjunta. Conforme a la prueba de daño que se adjunta. ,18,19,21 contratación de las ,22,28 tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. Página 2 de 2 ])~ BAN(Qotf'\ÉXICO 1 CARÁTULA DE VERSIÓN PÚBLICA La presente versión pública se elaboró con fundamento en los artículos 3, fracción XXI, 100, 106, y 109 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP); 97, 98, y 106 de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP); Primero, Segundo, fracción XVIII, Séptimo, Quincuagésimo sexto, Sexagésimo segundo, y Sexagésimo tercero de los "Lineamientos generales en materia de clasificación y dese/osificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). VERSI ÓN PÚBLICA l. Área titular que clasifica la información. Dirección de Apoyo a las Operaciones 11. La identificación del documento del que se elabora Acta de la sesión especial 25/2018 del Comité de la versión pública. Transparencia del Banco de México 111 . Firma del titular del área y de quien clasifica. JOAQ Director de Apoyo a las Operaciones IV. Fecha y número del acta de la sesión del Comité donde se aprobó la versión pública. Página 1 de 2 BANC0°•!'\ÉXICO }1~1 PARTES O SECCIONES CLASIFICADAS COMO INFORMACIÓN RESERVADA Información Ref. Pág. Fundamento Legal Motivación testada 1.1 83,85,87 Información de la Conforme a la prueba de daño que se adjunta. Conforme a la prueba de daño que se adjun ta. contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. 1 Página 2 de 2 }1?11 BAN(QocJ'\ÉXICO PRUEBA DE DAÑO Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. En términos de lo dispuesto en los artículos 6, apartado A, sexto párrafo, 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 113, fracción IV, de la Ley General de Transparencia y Acceso a la Información Pública, 110, fracción IV, de la Le y Federal de Transparencia y Acceso a la Información Pública; así como, con el Lineamiento Vigésimo segundo, fracciones I y 111, de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas" (Lineamentos ) vigentes, podrá clasificarse como información reservada aquella cuya divulgación pueda menoscabar la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos siste mas o, en su caso, de la economía nacional en su conjunto, o bien, otorgue una ventaja indebida, generando distorsiones en la estabilidad de los mercados, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, por lo que la Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, se clasifica como reservada, en virtud de lo siguiente: La divulgación de la citada información representa un riesgo de perjuicio significativo al interés público, ya que revelar información referente al software que soporta la implementación de las operaciones monetarias, cambiarías y de agente financiero que este Instituto central lleva a cabo por cuenta propia o a nombre del gobierno federal, pone en riesgo de destrucción, inhabilitación o sabotaje, infraestructura de tal importancia para la economía mexicana que su destrucción o incapacidad tendría un impacto negativo en la efectividad de las medidas adoptadas en los sistemas financiero, económico, cambiario o monetaria del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal; toda vez que dicho riesgo es: l. Real, en razón de que revelar o divulgar la información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, tales como las especificaciones técnicas, los nombre s de proveedores, el domicilio de los proveedores, entre otros, facilita a una persona o grupo de personas con intenciones delincuenciales identificar - de manera directa o a través de técnicas de ingeniería social aplicada a los proveedores - información relacionada con la infraestructura informática que soporta las operaciones cambiarias, monetaria y de agente financiero que realiza la banca central, lo cual posibilita la ejecución de acciones hostiles en contra de las tecnologías de la información de este Instituto Central, así como de las infraestructuras que éste administra, opera y supervisa, lo cual, podría menoscabar la efectividad de las mismas a tal grado, que su destrucción o inhabilitación afectaría Página 1 de 22 BANCQ 0 ,f'\ÉXICO }1?11 seriamente la efectividad de las medidas implementadas en los sistemas financiero, económico y cambiario del país, arriesgando el funcionamiento de dichos sistemas y, en consecuencia, de la economía nacional en su conjunto. Al respecto, debe tenerse presente que los artículos 2o. y 3o. de la Ley del Banco de México, señalan las finalidades y funciones del Banco Central de la Nación, entre las que se encuentran, el objetivo prioritario de procurar la estabilidad del poder adquisitivo de la moneda nacional, promover el sano desarrollo del sistema financiero, propiciar el buen funcionamiento de los sistemas de pagos, así como el desempeño de las funciones de regular los cambios, la intermediación y los servicios financieros, así como los sistemas de pagos; ope rar con las instituciones de crédito como banco de reserva y acreditante de última instancia; prestar servicios de tesorería al Gobierno Federal y actuar como agente financiero del mismo, las cuales comprenden sus funciones de banca central. Las anteriores son finalidades y funciones que dependen en gran medida de la correcta operación de las tecnologías de la información y comunicaciones que el Banco de México ha instrumentado para estos propósitos, mediante el procesamiento de la información que apoya en la ejecución de dichos procesos. Cabe señalar que las Tecnologías de Información que utiliza y contrata el Banco de México, como son los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, son adquiridos, desarrollados o destinados para atender, entre otras, la implementación de las políticas en materia monetaria y, cambiaria 1, y para atender las funciones de agente financiero del gobierno federal. Por tal motivo, divulgar información relacionada con las especificaciones técnicas, nombres de proveedores, funcionamiento, normatividad interna, o configuraciones de dichos sistemas, puede propiciar su inhabilitación y en un extremo escenario, podría perturbar considerablemente al sistema financiero por su efecto directo en la información y operaciones relativas a la implementación de las pol íticas monetarias, cambiarias y de agente financiero que realiza Banco de Méxi co . Los riesgos aludidos tienen mayor probabilidad de materializarse con la entrega de la información, debido a que los delincuentes podrían diseñar estrategias para llevar a cabo ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal. Dichos ataques focalizados podrían tener mayor probabilidad de éxito debido a que los delincuentes tendrían la posibilidad de dedicar todos sus recursos a ataques concretos identificados con base en la información en cuestión. Por lo anterior, exponer a los participantes del sistema financiero; así como al Banco Central que las administra, opera y supervisa, a estos riesgos cibernéticos puede perturbar considerablemente al sistema financiero por su efecto directo en la información y en las 1 Las polít ica s en materia cambia ría so n decisión de la Com is ión de Cam bios. Pág in a 2 de 22 })~ BANCQn,f'\ÉXICO 1 operaciones a través de las cuales se implementan las políticas monetaria y cambiaria y las funciones de agente financiero. Un ataque cibernético a los sistemas que soportan las operaciones de regulación monetaria, cambiaria y de agente financiero del gobierno federal, puede provocar la sustracción, interrupción o alteración de la información que se recibe, se procesa y se resguarda en relación a, por ejemplo, las asignaciones de las subastas que el Instituto central lleva a cabo con propósitos de regulación monetaria, regulación cambiaria o de agente financiero del gobierno federal, así como las operaciones cambiarias que realiza como agente financiero del gobierno federal o en la administración de la reserva internacional. Una li quidación errónea derivada de una alteración en los sistemas que generan las órdenes de cobro o pago de las operaciones antes mencionadas puede derivar en un incumplimiento involuntario de las obligaciones del Banco Central o del gobierno federal con el consecuente pago de penas, incremento en el costo de operaciones y daño en la confianza y reputación de éstas instituciones. De forma similar, la interrupción o imposibilidad de ejecutar las subastas monetarias, cambiarias y de agente financiero que realiza el Banco Central, generaría desconfianza, nerviosismo y especulación en el sistema financiero sobre la capacidad del Banco para operar en los mercados financieros, originando presiones sobre las tasas de interés y sobre el tipo de cambio y afectando por ende, el cumplimiento del objetivo prioritario del Banco que es la estabilidad del poder adquisitivo de la moneda nacional. La realización de hechos como los previamente narrados podría traducirse en un menor interés por parte de los intermediarios financieros en participar en las subastas con propósitos de regulación monetaria, cambiaria y de agente financiero del gobierno federal, comprometiendo la implementación de la política monetaria y por ende la consecución del objetivo prioritario de procura la estabilidad de precios del Banco . De igual forma comprometerían la implementación de la política cambiaría establecida por la Comisión de Cambios con el consecuente deterioro del mercado de cambios local y por ende del sistema financiero del país; e incrementarían el costo de las operaciones del gobierno fede ral que, al verse imposibilitado de conseguir financiamiento a través de las subastas prima rias de valores gubernamentales, tendría que buscar otros medios de financiamiento a mayores costos. En efecto, proporcionar la información materia de la presente prueba de daño, facilitaría que terceros logren acceder a información financiera o personal, modifiquen los datos que se procesan o resguardan en ellas o, incluso, dejen fuera de operación a dichas tecnologías. Es de suma importancia destacar que los ataques a las tecnologías de la información y de comunicaciones, son uno de los principales y más importantes instrumentos utilizados en el ámbito mundial para ingresar sin autorización a computadoras, aplicaciones, redes de comunicación, y diversos sistemas informáticos, con la finalidad de causar daños, obtener información o realizar operaciones ilícitas. Estos ataques se fundamentan en descubrir y aprovechar vulnerabilidades de dichos sistemas, basando cada descubrimiento en el análisis y estudio de la información de las especificaciones técnicas de diseño y construcción, seguridad informática, especificaciones técnicas en materia de seguridad, procesos de Página 3 de 22 continuidad operativa y, en general, información relacionada con los sistemas correspondientes e infraestructura informática. Otra característica de este tipo de ataques, es la propia evolución de los equipos y sistemas, pues con cada actualización, nueva versión que se genera, o nuevo componente que se instale, se abre la oportunidad a la aparición de vulnerabilidades y, por ende, a nuevas posibilidades de ataque. Por ejemplo, en la actualidad, es común que en materia de sistemas de información se empleen herramientas con licencia de uso libre (p.e. librerías de manejo de memoria, traductores entre distintos formatos electrónicos, librerías para despliegue de gráficos, etc.), y que el proveedor publique las vulnerabilidades detectadas en ellas; contando con esta información y con las especificaciones técnicas de la aplicación o herramienta tecnológica que se quiere vulnerar, aquellos individuos con propósitos delincuenciales pueden elaborar un ataque cuya vigencia será el tiempo que tarde en corregirse la vulnerabilidad y aplicarse la actualización respectiva . Está documentado en la literatura especializada en la materia que los principales elementos de información que requiere conocer un cibercriminal son: la arquitectura de los sistemas, sus especificaciones técnicas, horarios de operación, funcionalidad general, protocolos de comunicación, aspectos de seguridad informática instrumentados, entre otros, para descubrir y aprovechar los puntos débiles que pudieran existir en estos elementos y atacar a los sistemas.2 En el caso en concreto, la información materia de esta prueba de daño contiene detalles sobre los formatos y códigos necesarios para la realización de pagos y liquidaciones, nombres de proveedores, especificaciones respecto de los servicios prestados, entre otros, por lo que su divulgación proporcionaría elementos de información que facilitarían a los cibercriminales aprovechar los puntos débiles de las infraestructuras que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, y en consecuencia llevar a cabo ataques informáticos más certeros con la finalidad de causar daños o disrupción de servicios, obtener información, o realizar operaciones ilícitas como fraudes a través de éstas infraestructuras. 2. Demostrable, ya que es un hecho notorio que los sistemas de los Bancos Centrales han sufrido ataques cibernéticos a través de estas infraestructuras, como SWIFT, la cual ha sido utilizada para realizar robos de capital, uno de estos casos es el del Banco Central de Bangladesh, que sufrió un robo de 81 millones de dólares. O como el caso del Banco del Austro en Ecuador, en el que los atacantes utilizaron un método muy similar al de Bangladesh, para robar 12 millones de dólares. Respecto de lo anterior, a la fecha SWIFT continúa siendo objeto de ataques por diferentes grupos de delincuentes informáticos, y expertos en seguridad informática consideran que este tipo de actividades es susceptible de expandirse a otros servicios y sistemas financieros. Asimismo, los sistemas de empresas Wilshusen, G. C. , & Powner, D. A. (2009). Cybersecurity: Continued efforts are needed to protect information systems from evolving threa t s (No. GA0-10-230T). GOVERNMENT ACCOUNTABILITY OFFICE WASH INGTON DC. Página 4 de 22 BANC0°,f1ÉXICO ]1~1 como Google, Facebook, PayPal y el New York Times se han visto comprometidos por ataques cibernéticos. Las investigaciones realizadas señalan que estos ataques han sido orquestados por organizaciones criminales internacionales con herramientas y técnicas sofisticadas que, además de dañar la reputación de las ins tituciones afectadas, han generado cuantiosas pérdidas económicas. Esta serie de ataques se encuentra en una fase avanzada, que comenzó con ensayos desde 2017 y que ha logrado la consecución de sus objetivos en algunos casos. En todos ellos, la detección de vulnerabilidades a nivel aplicativo y sistema operativo son elementos en común, por lo cual es totalmente demostrable que el entregar información precisamente sobre las vulnerabilidades de los sistemas que soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, permitiría a los delincuentes o grupos delictivos el llevar a cabo más ciberataques que pudieran dañar de forma más severa las plataformas a través de las cuales se instrumentan las políticas monetaria y cambia ria, y las actividades de agente financiero del gobierno federal. Para demostrar lo anterior, se citan algunos de los ataques más relevantes: i) El ataque de tipo "Watering hale" en Polonia, que permitió utilizar un servidor de la Autoridad de Supervisión Financiera para distribuir código malicioso a más de 20 bancos polacos3, el cual se presentó en diversos países incluyendo México, en donde la Comisión Naciona l Bancaria y de Valores resultó afectada; 4 ii) El ataque del ransomware de WannaCry, que aprovechó una vulnerabilidad inherente de Microsoft Windows, para cifrar la información contenida en las máquinas y exigir el pago de un "rescate" para devolver el contenido a su forma original, el cual interrumpió significativamente la operación rutinaria de varias instituciones comerciales y gubernamentales, incluidas Fedex, Deutsche Bahn, Megafon, Telefónica, el Banco Central de Rusia, Ferrocarriles de Rusia y el Ministerio del Interior de Rusia; 5 iii) La alerta mencionada por la National Emergency Number Association en coordinación con el FBI, sobre la posibilidad de ataques de negación de servicios telefónicos conocidos como TDoS (Telephony denial of service, por sus siglas en inglés) a entidades del sector público; iv) El ataque que se perpetuo a BANCOMEXT el 9 de enero de 2018 a través de una afectación en su plataforma de pagos internacionales provocada por un tercero. Dicho Badcyber, Author. "Severa! Polish Banks Hacked, lnformation Stolen by Unknown Attackers ." BadCyber, 9 de febrero de 2017, http://badcyber.com/severa 1-poli sh -banks-hacked-i nformation-stolen-by-u nknown-a ttac ke rs/ consulta do el 24 de septiembre de 2019. 4 BAE Systems Applied lntelligence. "BAE Systems Threat Research Blog." Lazarus & Watering-Hole Attacks, 12 de febrero de 2017. http://baesystemsa i.blogspot.mx/ 2017 /02/lazarus-watering-hole_-attacks .html consultado el 24 de septiembre de 2019. Mattei, T. A. (2017). Privacy, Confidentiality, and Secu rity of Health Care lnformation: Lessons from the Recent WannaCry Cyberattack. World Neurosurgery, 104, 972-974. Pág ina 5 de 22 BAN(QoE MÉXICO ataque es similar a intromisiones ocurridas en otras instituciones en México y América Latina;6 v) El ataque ocurrido a las instituciones financieras participantes del SPEI, el cual consistió en la alteración de sus aplicativos para conectarse a esta IMF, mediante código ma'licioso, el cual distribuyó dinero desde las cuentas concentradoras de los participantes a cuentas de usuarios específicas, los cuales fueron utilizados como " mulas" para la extracción del dinero.7 A la fecha de elaboración de la presente prueba de daño, se estima un daño a los participantes del SPEI de aproximadamente 300 millones de pesos. 8 El ataque producido a las plataformas que son usadas por proveedores externos en algunos bancos en México, en relació n co n el SPEI, ha sido catalogado como similar al que ocurrió con el sistema de pagos internacional S.W.I.F.T. en Rusia . vi) La filtración a través de redes sociales de la base de datos de tarjetas de los clientes del Banco de Chile dada a conocer por el grupo de hackers llamado "TheShadowBrokers". vii) La introducción a la red interna de Pemex de un ransomeware el pasado 10 de noviembre, que forzó a la compañía a apagar equipos de cómputo de sus empleados en todo el pa ís, inhabilitando, entre otros, el sistema de pagos de la empresa.9 En particular, respecto del sistema financiero mexicano, los ataques han sido focalizados a las tecnologías de la información de las instituciones pertenecientes al mismo y se han incrementado en 2019, destacando nueve principales eventos con una afectaci9n total de 784.7 millones de pesos. Estos ataques aprovecharon vulnerabilidades en infraestructura de cajeros automáticos, banca de inversión, banca móvil, un corresponsal y un enlace con el procesador. Estos ataques son de gran importancia, puesto que representan un riesgo sistémico para la economía mexicana.10 Dicha situación demuestra la realidad e identificación del riesgo que representan los ataques cibernéticos en el sistema financiero mexicano, por lo que los programas que utiliza el Banco de México para interactuar con el 6 BANCOME XT. "Acción oportuna de BANCOMEXT sa lvaguarda intereses de clientes y la institución" . 10 de enero de 20 18 . .IJ!!Qjli{yvw.b?}ncornext.corn/comunicados/18443, consultado el 24 de se ptiembre de 2019. 7 Banco de México. " In form ac ión sobre los ataques a los Participantes del SPEI " . Mayo 20 18 httQJjwww.ba nxico .qrg_,._rn.~cio/banner/ informac ion-importante-sobre-l a-situacion-de l-spei/%7B2B9BB8C6 - J6GB-38C4-lC90-F72A7BC335C9%7D.pdf, consultado el 24 de septiembre de 2019. 8 Acorde con los "Pu ntos importantes sobre la situación actual del SPEI" publicados en la página de internet del Banco de México, 22 de mayo 201 8 !J.1lJ)_;j_Lwww.banxirn"QIK,rnx/inicio/banner/informacion-importante-sobre-la-situafion QSl-spei/%7B022 CD9D 7-11A9-68~6-QJ_A5-965F57A23F60%7D.pdf co nsultados el 24 de septiembre de 2019 . 9 Excé lsior, Hackers piden cinco millones de dólares a Pe mex en ciberataque, 12 de noviembre de 2019. h tt~/J www.exc elsior.com. mxfnaciona 1/hackers::Piden-ci nco- millones-de-dolares-a- pemex-en-ciberatag ue/134 7 3 77 consultado el 14 de noviembre de 2019. 10 M ora les, Yoland a, 'At aques cibern éticos generaron afectaciones por 784 millones de pesos', El Econom is ta, 4 de diciembre de 2019, en h_tt¡i0.Jwwwyleconon11~,.com rn>-L,ectorfinanciero/Ataques-c iberneticos-generaron-afectaciones-por-784-millones- de-pesos ;!019 L'.Q4-0141.llt n1I, con sulta do el 9 de dic iembre de 2019. Pág in a 6 de 22 Jl~i BAN(QoEf'\ÉXJ(O mismo están en alto riesgo de ataques y deben reservarse los datos que, de difundirse, pudieran actualizar una vulneración. Al respecto, uno de los modus operandi de los ciberataques es precisamente a través de la obtención de información pública, información fácilmente accesible o información inaccesible, lo cual puede ocurrir mediante so licitudes de acceso a la información, o bien, a través de las organizaciones que operan o tienen acceso a los sistemas, en complicidad o no, con el único objeto de conocer las vulnerabilidades de las instituciones, empresas, sistemas e infraestructura de tecnologías de la información Y Por otro lado, es de destacar que los cibercriminales han utilizado técnicas de ingeniería social para obtener información y con ello acceder o vulnerar incluso los sistemas más seguros. Una de las formas más comunes de vulnerar los sistemas es mediante la obtención de información a través de diversas fuentes y mecanismos que les permita diseñar ataques informáticos encaminados a ingresar sin autorización a computadoras, sistemas, aplicaciones, y redes de comunicación, entre otros elementos, con la finalidad de causar daños o disrupción de servicios, obtener información, o realizar operaciones ilícitas como fraudes. Las corporaciones multinacionales y las agencias de noticias han sido víctimas de sofisticados ataques dirigidos contra sus sistemas de información derivado de la aplicación de técnicas de ingeniería social. 12 Por lo anterior, los estándares de seguridad y las mejores prácticas en materia de seguridad informática y comunicaciones, recomiendan abstenerse de proporcionar especificaciones de componentes, arquitectura o configuración de los programas o dispositivos a personas 3 cuyo rol no esté autorizado, 1 en el entendido de que dicha información, al estar en posesión de personas no autorizadas, puede facilitar que se realice un ataque exitoso contra la infraestructura tecnológica del Banco Central de la Nación, impidiéndole cumplir sus funciones establecidas en la Ley del Banco de México, así como aquello que le fue conferido por mandato constitucional. Sea cual fuere el origen o motivación del ataque contra las tecnologías de la información y de comunicaciones administradas por el Banco Central, éste puede conducir al 11 El Fina nciero, El sistema financiero mexicano fue víctima de una campaña de ciberotaques, 15 de mayo de 2018. https://www .e leco no mista .com. mx/sectorfi na nciero/E 1-sistema -financiero-mexica no-fu e-victima -de-u na-campa na de-ci be rataques-20180515-0097 . htm I consultado el 24 de septiembre de 2019. 12 Granger, S. (2001). Social engineering fundamentals, part 1: hacker tactics. Security Focus, 18 de diciembre de 2001. https:// www.syman tec.co m/ co nnect/ articles/social-e ngineering·fundamenta ls-part-i-hacker-tactics consultado el 24 de septiembre de 2019. 13 Ver por ejemplo las 10 medidas básicas de ciberseguridad de la Security lnformation Center, en particular la relacionada con "Implementar un programa de capacitación en seguridad cibernética para empleados" en donde recomiendan sensibilizar sobre los temas de ingeniería social que buscan obtener información mediante diversos canales de comunicación solicitando información sensible. https://www. waterisac.org/sites/default/files/public/10 Bas ic Cybersecurity Meas u re s- Wat erlSAC June2015 O.pdf consultado el 24 de septiembre de 2019. Página 7 de 22 BANC0°•J'\tx!CO Jl?;1 incumplimiento de su objetivo prioritario y de sus obligaciones hacia los participantes del sistema financiero y/o provocar que a su vez, estos no puedan cumplir con sus propias obligaciones, y en consecuencia, generar un colapso del sistema financiero nacional, lo que iría en contravención a lo establecido en el artículo 2o. de la Ley del Banco de México. 3. Identificable, puesto que el Banco de México se encuentra permanentemente expuesto a ataques provenientes de internet (o del ciberespacio) que, en su mayoría, pretenden penetrar sus defensas tecnológicas o inutilizar su infraestructura, tal y como queda identificado en los registros y controles tecnológicos de seguridad de la Institución, encargados de detener estos ataques. Sin perjuicio de lo anterior, se puede mencionar que durante 2018, se registraron un promedio de 700 intentos de ataque al mes, llegando a presentarse hasta 1500 intentos de ataque en un único mes. Si bien dichos ataques no han logrado irrumpir en los sistemas del Banco de México, resulta claramente identificable que el objeto final de dichos ataques son los sistemas que soportan las operaciones del Banco de México, entre ellas las que realiza con propósitos de regulación monetaria y cambiaría, y como agente financiero del gobierno federal, cuya seguridad depende de la reserva de la información mate ria de la presente prueba de daño. Lo anterior no es ajeno a la banca mundial, la cual es continuamente asediada por grupos denominados " hacktivistas", como ocurrió en junio de 2017, donde se pretendía inutilizar los sitios Web de los bancos centrales: "Anonymous anuncia 07 de junio como inicio de operación #Oplcarus 2017, cuyo objetivo son bancos centrales del mundo y otras instituciones financieras como la Reserva Federal y el Fondo Monetario Internacional en Estados Unidos. La operación iniciará mañana 07 de junio y tendrá una duración de 14 días, como protesta por las decisiones de los gobiernos de todo el mundo que no cumplen con las necesidades de la población." Adicionalmente, si bien las afectaciones a la infraestructura de las tecnologías de la información y de comunicaciones pueden también deberse a riesgos inherentes a las mismas, es importante considerar que cuando estas afectaciones han ocurrido en el Banco de México, se ha generado alerta y preocupación de forma inmediata entre los participantes del sistema financiero; por lo que de presentarse afectaciones derivadas de ataques orquestados a partir de información de especificaciones o configuraciones de estas tecnologías, entregada por el propio Banco Central, se corre el riesgo de disminuir la confianza depositada en este Instituto con el consecuente impacto en las políticas que implementa el Banco y por ende en la economía, con lo que esto conlleva. En ese sentido, un ataque informático derivado de proporcionar información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, podría resultar en la afectación y alteración de las asignaciones de las subastas que este instituto lleva a cabo con propósitos de regulación monetaria, cambiaria y de agente financiero del Gobierno Federal. A su ve z estas afectaciones podrían, en caso de alterar las asignaciones de las Págin a 8 de 22 BANC0°cJ'\txICO Jl?;1 subastas, menoscabar el efecto de las medidas adoptadas en las políticas monetaria, cambiaria y de l sistema financiero del país; y en las órdenes de transferencia de fondos, podrían derivar en una pérdida de patrimonio no sólo para las instituciones financieras del país sino del propio banco central o el mismo gobierno federal. El riesgo de perjuicio que supondría la divulgación de la información materia de esta prueba de daño, supera el interés público general de que se difunda, pues el interés público se centra en que no se comprometa la efectividad en las medidas implementadas en los sistemas monetario, cambiario, financiero y económico, que propician el buen funcionamiento de esos sistemas y de la economía nacional en su conjunto por lo que, la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal, no satisface un interés público, por el contrario, es información que pone en riesgo la efectividad de las medias adoptadas en los sistemas monetario, cambiario, del sistema financiero y de la economía nacional en su conjunto. Asimismo al realizar una interpretación sobre la alternativa que más satisface dicho interés, se puede concluir que debe prevalecer el derecho más favorable a las personas, esto es, beneficiar el interés de la sociedad, el cual se obtiene por el cumplimiento ininterrumpido de las funciones del Banco de México. En consecuencia, proporcionar la información en cuestión, no aporta un beneficio mayor a la transparencia y rendición de cuentas que sea comparable con el perjuicio que implicaría el hecho de divulgarla, esto es, que permita planear y perpetrar ataques cibernéticos dirigidos específicamente a los sistemas que soportan las operaciones monetarias, cambiarias y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal y a la infraestructura relacionada con estos, los cuales tengan como resultado la creación de mecanismos que faciliten el acceso indebido, la substracción de información - como datos personales referente a sus usuarios y las operaciones que realizan-, la alteración de resultados de las subastas que realiza este instituto y de las órdenes de transferencia entre las cuentas bancarias de los participantes o la disrupción en éstos. En este sentido, el riesgo de perjuicio antes señalado supera claramente el interés general de que se difunda la información. Por otra parte, la limitación se adecua al principio de proporcionalidad, toda vez que debe prevalecer el interés que más beneficie a la colectividad, y como se ha dicho, proteger la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal evitará poner en riesgo la efectividad de las medidas en materia monetaria y cambiaria, del sistema financiero y de la economía nacional en su conjunto. Asimismo, reservar la información en cuestión representa el medio menos restrictivo disponible para evitar el perjuicio, en aras salvaguardar la efectividad de las medidas adoptadas en materia cambia ria, así como la estabilidad del sistema financiero, puesto que el propio legislador determinó Página 9 de 22 BANC0°•!'\txICO }1~1 que el medio menos restrictivo es la clasificación de la información cuando actualice las causales prevista en la Ley, tal y como se demostró en el presente caso. Por otra parte, se hace referencia a lo establecido en el artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP), así como en la parte conducente de la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP), donde se contempla que los sujetos obligados, entre los cuales se encuentra el Banco de México, deberán poner a disposición del público y mantener actualizada diversa información, de acuerdo con sus facultades, atribuciones, funciones u objeto social, según corresponda, en los respectivos medios electrónicos, por lo menos, de los temas, documentos y políticas señalados en las fracciones I a XLVIII, de dicho artículo. Cabe destacar que con la finalidad de establecer la forma en que los sujetos obligados deben dar cumplimiento al citado artículo 70 de la LGTAIP, el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI), publicó en el Diario Oficial de la Federación de fecha 4 de mayo de 2016, el "Acuerdo del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, por el que se aprueban los Lineamientos técnicos generales para la publicación, homologación y estandarización de la información de las obligaciones establecidas en el título quinto y en la fracción IV del artículo 31 de la Ley General de Transparencia y Acceso a la Información Pública, que deben de difundir los sujetos obligados en los portales de Internet y en la Plataforma Nacional de Transparencia" (en lo sucesivo, Lineamientos Técnicos Generales). En dichos Lineamientos Técnicos Generales, dentro de su anexo 1, se establecen los criterios sustantivos de contenido (metadatos)14, en razón de la fracción correspondiente al artículo 70 de la LGTAIP, que los sujetos obligados deben publicar en los respectivos medios electrónicos a efecto de cumplir con las obligaciones establecidas en el título quinto y en la fracción IV del artículo 31 de la mencionada ley. En tal virtud, debe destacarse que dichos metadatos comprenden información relativa al contenido de la contratación que se reserva con fundamento y motivación en las consideraciones vertidas en la presente prueba de daño, cuya publicación podría poner en riesgo la efectividad de las medidas implementadas en los sistemas financiero, económico, cambiario o monetario del país, poniendo en riesgo el funcionamiento de esos sistemas o, en su caso, de la economía nacional en su conjunto, o bien, otorguen una ventaja indebida, generen distorsiones en la estabilidad de los mercados, o puedan incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal, tal como se ha manifestado en la presente justificación. En ese sentido, es evidente que las consideraciones formuladas en la presente prueba de daño respecto de la reserva de la contratación objeto de clasificación, son aplicables a los metadatos 14 Según el INEGI, los metadatos son "datos estructurados que describen las carac terísticas de la información: su contenido, calidad, condición y otros aspectos de los productos o conjuntos de datos espaciales". En otras palabras, los "metadatos" son información. Fuente: http://www.inegi.org.mx/ geo/contenidos/metadatos/default.aspx , consultado el 25 de abril de 2018. Pág ina 10 de 22 11~1 BAN(Qocf'\txICO relativos a dichos documentos, por lo que son de clasificarse como reservados de conformidad con el artículo 113, fracción IV, de la LGTAIP, el cual dispone que: "como información reservada podrá cla sificarse aquella cuya publicación pueda afectar la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambiaría o del sistema financiero del país; pueda po ner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país, pueda comprometer la seguridad en la provisión de moneda nacional al país, o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal". En consecuencia, es claro que revelar la información contenida en los "metadatos" derivados Información de la contratación de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal actualizan el supuesto previsto del artículo 113, fracción IV, de la LGTAIP, toda vez que contiene información cuya divulgación "pondría en riesgo la efectividad de las medidas adoptadas en relación con las políticas en materia monetaria, cambia ria o del sistema financiero del país; pueda poner en riesgo la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema fi nanciero del país, , o pueda incrementar el costo de operaciones financieras que realicen los sujetos obligados del sector público federal". Adicionalmente, los Lineamientos Técnicos Generales permiten reservar esta información, publicando en la pestaña correspondiente del portal de Internet una leyenda con el fundamento legal que espe ci fique la información se encuentra clasificada. Esto ha sido realizado por el propio INAI, en el Sistema de Portales de Obligaciones de Transparencia, respecto de la información reportada bajo la fracción XXVII del artículo 70 de la LGTAIP, en el campo correspondiente a "Sentido de la resolución" y "Nota" .15 Por lo anterior, se clasifica como reservada la información contenida en los metadatos siguientes: Fracción XXVIII art. 70 de la LGTAIP: Descripción de las obras, los bienes, servicios, requisiciones u orden de servicio contratados y/o adquiridos, Nombre completo o razón social de los posibles contratantes, Registro Federal de Contribuyentes (RFC} de las personas físicas o morales posibles contratantes, Nombre o razón social del adjudicado, Registro Federal de Contribuyentes (RFC) de la persona física o moral adjudicada, Hipervínculo en su caso, al (los) lnforme(s) de avance físicos en versión pública si así corresponde, Hipervínculo, en su caso, al (los) lnforme(s) de avance financieros, en versión pública si así corresponde, Hipervínculo al acta de recepción física de los trabajos ejecutados u homóloga., toda vez que al revelar dicha información al público en general, se pondrían en riesgo las funciones del Banco de México, el funcionamiento del sistema financiero y de la economía nacional en su conjunto. Fracción XXXII art. 70 de la LGTAIP: Nombre, denominación o razón social del proveedor o contratista, Estratificación, Origen del proveedor o contratista, País de origen si la empresa es una filial extranjera, Registro Federal de Contribuyentes (RFC} de la persona física o moral, Entidad 15 Esta información puede ser consultada a través de la siguiente liga: http://consu ltapubli camx. ina i. org.mx :8080/vut-web/ Página 11 de 22 Jl~.I. BAN(QoEl'\ÉXJCO federativa de la persona física o moral, El proveedor o contratista realiza subcontrataciones, Actividad económica de la empresa, Domicilio fiscal de la empresa, Domicilio en el extranjero, Nombre del representante legal de la empresa, Datos de contacto, Correo electrónico, Tipo de acreditación legal que posee, Dirección electrónica que corresponda a la página web del proveedor o co ntratista, Teléfono oficial del proveedor o contratista, Correo electrónico comercial del proveedor o contratista, toda vez que al revelar dicha información al público en general, se pondrían en riesgo las funciones del Banco de México, el funcio namiento del sistema financiero y de la economía nacional en su conjunto. En razón de lo anterior, y vistas las consideraciones expuestas en el presente documento, con fundamento en lo establecido en los artículos 60, apartado A, fracciones I y VIII, párrafo sexto, 28, párrafos se xto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos; 1, 100, 103, segundo párrafo, 104, 105, 107, 108, último párrafo, 109, 113, fracción IV, y 114 de la LGTAIP; 97, 100, 102, 103, 110, fracción IV, y 111 de la LFTAIP, lo., 2o. y 3o., fracción 1, de la Ley del Banco de México; 4o., párrafo primero, 80., párrafos primero, y tercero, 10, párrafo primero, 12 y 19 Bis 1, del Reglamento Interior del Banco de México; Segundo, fracción VI , del Acuerdo de Adscripción de la s Unidades Administrativas del Banco de México; así como, así como Primero, Segundo, fracción XIII, Cuarto, Se xto, Octavo, párrafos primero, segundo y tercero, Vigésimo segundo, fracciones I y 111 , Trigésimo tercero, y Trigésimo cuarto, párrafos primero y segundo de los Lineamientos, se clasifica como reservada, por el plazo de 5 años a partir de la fecha de clasificación, la información de las tecnologías de información que directa o indirectamente soportan las operaciones monetarias, cambiarías y de agente financiero que realiza el Banco de México por cuenta propia y a nombre del gobierno federal y los metadatos listados anteriormente, toda vez que el Banco Cen tral continuará utilizando la infraestructura tecnológica protegida por la presente prueba de daño para el ejerci cio de su s funciones, considerando que los periodos de reemplazo de la infraestructura tecnológica, y por consiguiente la vigencia de sus propias especificaciones, se extienden a rangos de entre diez y quince años. Pág ina 12 de 22 })?1 BANC0°,f'\ÉXICO 1 REFERENCIA 2 United States Gcn1emment Accountability Offíee Statenlent for the Record GAO To the Subco1nrnittee on Ten-oris1n and Hon1eland Security, Co1nn1it e on the Judiciary, U.S. Senate F'or Relea..~ oo Delh Statement of Gregory C. Wilshusen, Director Information Security Issues David A Powner, Director Information Technology Management Issues GA0-10-230T Pá gina 13 de 22 BANC0°•!'\ÉXICO }1~1 REFERENCIA 3 lJIE/2016 BadCyber Several Polish banks hacked, information stolen by unknow n attackers ' ,1 .'1r·/ p. ' • 2 ----·------1!14 Página 14 de 22 BANCO DE r\ÉXICO REFERENCIA 4 13'6'2016 .... 130um1sQ;m:~1.a:om Etcrt;ft> Cffl• sn•:r ~~~~~~~- BAE SYSJEMS THREAT ft(SEARCU BUIG SUBstlllllI Posted by SAE Sys:,,r.,. A¡:,pl;ed n:.,11genr.e - S<.N;¡y, 12 Feb-lW)• 20 l 7 6,i.;tn1,,¡plo-te(et~c our ~C~'TFl tiell ª"'~nn. LAZARUS & WATERIHG-HOL EA'HACKS en 3-m f ~nn;.ary 2-011. re¡earcr.cn:. at bad~yt"':!r ocm refEo.15e d zi ~ t"'i ~ c:etaJiEO a ~f1e¡ a7taek[> at ?~'11 fl r-....1r.o.11lr4.".'11.. :AJr-"1. TI'\f' J l1 1C lt <:; toe-!. tu&~ 1r.a, '7Jt,'J ,'3- - Dy :-ar-~ r.'t~ St .serA:JuS k'l~illD1 lf'!Ci,1f)' k'l~f?ter:t we ,t¡a1"!' .Se@!J K1 ~rr a-A-ea b'f .:1 ~.a1ri Ul.at cv~r 20 eommé'rc.ta b.3r.li;. h.a r:l te!!l cor. rm e-:i u ft1cttl"!E, l'lll'IJUJ!P1JS!S '2pCXl pruv~ a., OI ili:I r..Jl l'tn(l r.;J5 1111 lfllS mtm.1 ANAlYSIS As stated in the blog, lile attacks ara S!Jlpectid of ooginating lrom ttie websrte of tlte Poli:111 Fi citl ¡iem . Autlwíity (lmf.guv[Jpl), s!J belo r'f'1 1.JZIE:'JN IK U H..lt:'.00\.VY Cl'BIJI ll(JSl ARl!JIIRDI ~ K0.\·1 IS.I . '\:"\ U/ ,O lfü l 'IN:~::iU\~ I..CIJ 7 "El COMllCT Rll1\Jt1tt.et !nfarrm1lm or :D aB. IIO on c-r.:oert, ?91..f!'~fUlli Frcm ;:1t le.a.1:t 2'0~6-1 0-07 ID la!' Jar:rJ&')' 1r! 11r. .rte cooe ha.ti tlrl!en mo;11r.eu ta r;a.u¡e: ~ :o c,,wr·o.ad mal!CIOJ5 J.ava5cf11t fll!5 :rom t,1.: rig IOQU~&/ 119 Pa gi na 15 de 22 Jl?;i BAN(Qocf'\txICO REFERENCIA 5 Resea.rchGate Privacy, Confidentialíty, and Security of Health Care Infonnation: Lessons from the Recent \N'annaCry Cyberattack Artide 'll'orld Neuosurgery · Ju ne 20lf Clf Id 10'-t JU:Alí'S 1 142 l author: • Eas r..em ~air,e Medica l Center Página 16 de 22 j)?, BAN(QoEf'\ÉXICO 1 REFERENCIA 6 CM"J: C;qfjAVOS BANCOIVEXT Ciudad de México a 10 de enero de 20 18 ACCIÓN OPORTUNA DE BANCOMEXT SALVAGUARDA INTERESES DE CLIENTES Y LA INSTITUCIÓN El Banco Nacional de Comercio Exterior (Bancomext), informa que, a pesar de las robustas medidas de seguridad con que cuenta, el día 9 de enero fue victima de una afectación en su plataforma de pagos internacionales provocada por un tercero. Las autoridades han confirmado que el modus operandi de los presuntos "hackers" es similar a intromisiones ocurridas en otras instituciones en México y América Latina . Afortunadamente. el protocolo y la oportuna reacción de las áreas responsables de la operación, con el apoyo de los bancos. las autoridades correspondientes y el Banco de México. lograron contener este hecho. Cabe destacar que los intereses de nuestros clientes y los del propio Banco se encuentran a salvo y que Bancomext está reanudando operaciones para sus clientes y contrapartes. A medida que exista mayor información se hará del conocimiento del público. Teléfono de Comunicación Social: 15551024 Página 17 de 22 Jl?ji BAN(Qoef'\txICO . -- - ,--~ -...... - :----.. .. ---.. __ .... --- -··-~=nIDTJ ··-·-······' Página 18 de 22 BAN(QoE MÉXICO REFERENCIA 8 21.d~l11d'{')d>: 01: Pu ntos Importantes sobre la Situación Actual del SP EI. 1. Se tienen registrados S. participantes con wtneraciones de cibersecuridad. Todos los ataques que se han observado han sido dirigidos hacia los bancos, casas de bolsa y otros participantes del .sistema de pagos. Esto.s han estado enfocados en los :sistemas de los ,participantes con los que se conectan alSPEl. 2. El sistema central del SPB, que opera el Sanco de MélÓCO, no se ha visto afectado y no ha sido blanc;o de níneún ataque. El sistema central opera de manera segura y eficiente como lo ha hecho desde su creación. 3. Los recur.sos de lo.s clientes de instituciones financieras están set:uros, no estuvieron en peligro y no han sido el objetivo de los ataques. Los recursos que se han extraído han sido de los partiqpa.ntes {bancos, casas de bolsa, etc.). los ataante·s han buscado vulnerar las cone,úones de las institucione-.s cnn el SPEI, inyectando instrucciones de pago fraudulentas a partir de cuentas inexistentes, lo cual afecta ta cuenta transaccional de los participantes en e l SPEI, pero no las cuentas de los dientes fi lli!IM. los recursos de los dientes están seguros; porque radican en un sistema separado .con validaciones indiYiduales por opet"ación. 4.. Para salvaguardar la continuidad operativa, el Banco de .México alertó a los participantes en el SPH y solicitó a los participantes ro Página 1 de 3 Pá gina 19 de ZZ Jl?;1BANCO DE i"\ÉXICO REFERENCIA 9 FACTOR CAPITAL .J SI A EL ECONOMIST.N~f!¡CIONES HUMANO 2018 BDVA Ba ncomer ."'.F::CTIKIO~ES i•'- SPE.1 El sistema financiero mexicano fue víctima de u11a campaña de ciberataques Algunas instituciones del sistema financiero en Mé.>ri.ro sufrieron una campaña de ciberataques, a principios del 2017 , que afectó los aplicativos y la infraestructura de TI que dan soporte a los ser\~cios de banca en línea. F _dri 90Rfrt=1f.•!m~ ; S d,a ..,dy,;; di:! 2·~ 'l "'. -, ti :.5 4 Página 20 de 22 BAN(Om:f'\ÉXICO }]?11 REFERENCIA 10 +2 2Votc.s: Social Engineering Fundamentals. Part 1: Hacker Tactics By:H Createod 18 Dec 2001 IIS oCgnyrum:t:s o o _(btt¡;i://en-us.redditcom/submit?urf=http://www.symantec.com/connect/articles/social eneineerj2.e:-fund~-part-j-hacker-tacticsl 1fwC•0~QMQ~ect/f-..~0~fW~ª~'·d~?p~a~iJJ"f=..._~~~~~---J-~~'l6M~...... !r l______,r by Sarah Granger Social Engineering Fundamentals, Part 1: Hacker Tactics by S.arah Granger (maitto:[email protected]) last updated December 18, 2001 ATrueStory One moming a few years back, a group of strangers walked ínto a large shípping firm and walked out with access to che firm's entire corporate network. How did they do it? By obtaining small a mounts of access, bit by bit, from a number of d ifferent employees in that firm. First, they did research about the company for two days before even attempting to set foot on the premises. For example, they leamed key employees' names by calling HR. Next, they pretended to lose their key to the front door, anda man let them in. Then they "lost" their identity badges when entering the third floor secured area, sm iled, anda friendly employee opened the door for them. The strangers knew the CFO was out of town, so they were able to enter his office and obcain financia! data off his unlocked computer. They dug through the corporate trash, finding all kinds of useful documents. They asked a janitor for a garbage pail in whích co place their contents and carried ali of this data out of the building in rheir hands. The strangers had studied the CFO's voice, so t hey were able to phone, pretending to be the (FO, in a rush, desperately in need of his network password. From there, they used regular technical hackíng tools to gain super-user access into the system. Página 21 de 22 BAN(Qot i'\[XICO REFERENCIA 11 WaterISAC Securify' lmormation Cem:ex 10 Basic Cybersecurity Measures Best Practices to Reduce Exploitable WeaKnesses and Attack.s June 2015 Developed in partnership with the U .S. Department of Home.land Security Industria( Contror Systerns ()¡·ber Emergency Response Team flCS-CERn, ttie Flll, and the lnformatilon Technology ISAC. WaterlSAC also acknowledges the Mutti-State ISAC for its contributicms to this document_ © WaterlSAC 2015. Página 22 de 22 "Anexo 8" Jl~i BAN(Qo,J'\[XI(O EL COMITÉ DE TRANSPARENCIA DEL BANCO DE MÉXICO OBLIGACIONES DE TRANSPARENCIA Unidad Administrativa: Dirección de Apoyo a las Operaciones del Banco de México. VISTOS, para resolver sobre la clasificación de información determinada por la unidad administrativa al rubro indicada, y RESULTANDO PRIMERO. Que con la finalidad de cumplir con las obligaciones de transparencia comunes, los sujetos obligados pondrán a disposición del público, en sus respectivos medios electrónicos y en la Plataforma Nacional de Transparencia, de acuerdo con sus facultades, atribuciones, funciones u objeto social, la información de los temas, documentos y políticas que se señalan en el artícu lo 70 de la Ley General de Transparencia y Acceso a la Información Pú blica (LGTAIP) . SEGUNDO. Que quien es titular de la Dirección de Apoyo a las Operaciones del Banco de México mediante oficio con fecha de veintiuno de febrero del dos mil veinte, hizo del conocimiento de este órgano colegiado su determinación de clasificar diversa información contenida en los documentos señalados en dicho oficio, en términos y de conformidad con la fundamentación y motivación señaladas en las carátulas y en la prueba de daño correspondiente, respecto de los cuales se generaron las versiones públicas respectivas, y solicitó a este órgano colegiado confirmar tal clasificación y aprobar las respectivas versiones públicas. CONSIDERANDO PRIMERO. Este Comité es competente para confirmar, modificar o revocar las determinaciones que en materia de clasificación de la información realicen los titulares de las áreas del Banco de México, de conformidad con los artículos 44, fracción 11, de la LGTAIP; 65, fracción 11 , de la Ley Federa l de Transparencia y Acceso a la Información Pública (LFTAIP); y 31, fracción 111, del Reg lamento Interior del Banco de México (RIBM). Asimismo, este órgano colegiado es competente pa ra aprobar las versiones públicas que someten a su consideración, en términos del Quincuagésimo sexto y el Sexagésimo segundo, párrafos primero y segundo, inciso b), de los "Lineamientos generales en materia de clasificación y desclasificación de la información, así como para la elaboración de versiones públicas", vigentes (Lineamientos). SEGUNDO. En seguida se analiza la clasificación realizada por la unidad administrativa referida en el resultando Segundo. Es procedente la clasificación de la información testada y re ferida como reservada, conforme a la fundamentación y motivación expresadas en la prueba de daño correspondiente, la cual se tiene aquí por reproducida como si a la letra se insertase en obvio de repeticiones innecesarias. "2020, Año de Leona Vicario, Benemérita Madre de la Patria" Pág,na 1 de 2 I'/ / 9¡ Y BAN(Oorf'\[XICO Ji?11 En consecuencia, este Comité confirma la clasificación de la información testada y referida como reservada. En este sentido, se aprueban las versiones públicas señaladas en el oficio precisado en el resultando Segu ndo de la presente determinación. Por lo expuesto con fundamento en los artículos, 44, fracción 11, 137, párrafo segundo, inciso a), de la LGTAIP; 65, fracción 11, y 102, párrafo primero, de la LFTAIP; 31, fracción 111, del RIBM; Quincuagésimo sexto y Sexagésimo segundo, párrafos primero y segundo, inciso b), de los Lineamientos, y Quinta de las Reglas de Operación del Comité de Transparencia del Banco de México, este órgano colegiado: RESUELVE PRIMERO. Se confirma la clasificación de la información testada y referida como reservada, conforme a la fundamentación y motivación expresadas en la correspondiente prueba de daño, en términos del considerando Segundo de la presente resolución. SEGUNDO. Se aprueban las versiones públicas señaladas en el oficio precisado en el resultando Segundo de la presente determinación. Así lo resolvió, por unanimidad de sus integrantes presentes el Comité de Transparencia del Banco de México, en sesión celebrada el cuatro de marzo de dos mil veinte.------ COMITÉ DE TRANSPARENCIA LA Integrante / "2020, Año de Leona Vicario, Benemérita Madre de la Patria" J/ I Página 2 de 2 9//'