Resumen de la sesión de preguntas sobre la filtración de datos: desmitificando la filtración, con Matt Johnson, CISO de Ledger.
English | Français | Español | Deutsch
Matt es un antiguo agente de la Policía Federal Australiana que cuenta con experiencia demostrada en materia de seguridad tanto física como cibernética, y ha ocupado cargos como el de Jefe de Seguridad de Grupo en Ingenico y Director de Ciberseguridad en Visa. Tras la filtración de datos, y poco tiempo después de que se uniera Johnson, Ledger ha tomado las primeras medidas sustanciales para hacer frente a la situación y garantizar que este tipo de hackeos no vuelvan a producirse. Esta sesión de preguntas y respuestas ha sido su primera oportunidad de compartir con vosotros su visión del futuro y responder a vuestras preguntas. Esta es nuestra versión resumida.
Antes de comenzar
En primer lugar, como empresa, lamentamos enormemente que se hayan producido estos incidentes y el dolor o el estrés que os hayan podido causar. La misión de Ledger es garantizar vuestra seguridad y nos tomamos estos incidentes muy en serio, tanto personal como profesionalmente. También forma parte de nuestra misión ser transparentes en nuestra comunicación y escuchar vuestras preocupaciones, y por eso hemos organizado este evento, para facilitaros respuestas. Así que queremos dar las gracias por su asistencia y participación a todas aquellas personas que acudieron a nuestra sesión de preguntas.
Siempre surgirán adversarios que se centrarán en intentar acceder a los datos de Ledger desde diferentes ángulos y debemos seguir reforzando nuestra estructura de seguridad. Es un problema que afecta a todo el sector y contra el que tenemos que luchar colectivamente, y Ledger está duplicando su compromiso para aportar su granito de arena a esta lucha. Hoy estamos aquí para desmitificar y proporcionaros a vosotros, como miembros de esta comunidad, un conocimiento exhaustivo de la situación.
Si queréis saber más sobre lo ocurrido, podéis encontrar un resumen aquí.
Nuestro plan de acción de cara al futuro
Las filtraciones de datos y los ataques de phishing son un problema que afecta cada vez más a todo el sector, y vamos a hacer lo que sea necesario para hacer frente a cualquier amenaza que pueda surgir en el futuro. Seguimos trabajando en este problema cada día, y hoy queremos compartir con vosotros el inicio de nuestro nuevo plan, que tiene como objetivo aumentar el nivel de protección de nuestros clientes.
- Anunciamos cambios en la forma en que Ledger tratará los datos de sus clientes: nuestro objetivo es eliminar completamente vuestros datos personales, como el nombre, la dirección y el número de teléfono, tan pronto como nos sea posible. Nos exigimos a nosotros mismos y a nuestros proveedores externos que conserven estos datos durante el periodo de tiempo necesario para cumplir con nuestras obligaciones para con nuestros clientes (como la ejecución de los pedidos) y con la ley (como las obligaciones contables y legales). Los datos que sea necesario conservar se pondrán en un entorno más segregado tan pronto como sea posible.
- Implementaremos un modelo de mensajería en el que la información técnica y de seguridad proactiva importante se comunicará a través de Ledger Live. El correo electrónico y las redes sociales se utilizarán ÚNICAMENTE para difundir mensajes y anuncios relacionados con nuestros productos.
- Llevaremos a cabo una reevaluación detallada de todos nuestros proveedores y socios para asegurarnos de que siguen cumpliendo las normas más rigurosas.
Ledger está destinando una gran cantidad de recursos adicionales a identificar y condenar a los responsables de los ataques a Ledger y a sus clientes, entre los que se incluye una recompensa de 10 BTC si se recibe información que conduzca a su detención y enjuiciamiento. Confiamos en que otras empresas se unan al programa de recompensas y ayuden a hacer de la comunidad de criptomonedas un entorno más seguro.
Tú preguntas, nosotros respondemos
1- ¿Se han visto comprometidos mis fondos o mi información de pago?
A pesar de estos ataques, las carteras de hardware de Ledger no se han visto vulneradas y tus criptomonedas están seguras siempre y cuando no compartas tus 24 palabras con nadie (especialmente si se hacen pasar por Ledger; Ledger nunca te pedirá esta información). Además, Ledger no almacena la información de las tarjetas de crédito, por lo que la filtración de datos no ha afectado a tus datos de pago.
2- He recibido llamadas telefónicas/mensajes con amenazas físicas, ¿qué hago?
Antes de nada, te pedimos disculpas por esta situación tan estresante, entendemos por lo que estás pasando y, aunque se trata de una situación alarmante, te pedimos que no entres en pánico. Los estafadores suelen intentar maximizar sus ganancias con el menor riesgo posible, por lo que no se nos ha comunicado ningún ataque físico. Los estafadores siempre van a por los que son más fáciles de atacar. Procuran crear una sensación de urgencia y pánico, convierten la situación en algo urgente o crítico, juegan con tus miedos y hacen todo lo posible para convencerte de que les des tus 24 palabras.
Por favor, mantén la calma y recopila los intentos de phishing para presentar una denuncia ante la policía local. A continuación, envíanos el número de tu denuncia ante la policía. Ledger está recopilando una cantidad importante de denuncias de clientes para procesarlas y remitirlas a los servicios policiales especializados pertinentes. Necesitamos tu ayuda para poder encontrar a los responsables. Ponte en contacto con nosotros a través de nuestro formulario de contacto en línea y a través de @Ledger_Support en Twitter.
3- No he recibido ningún correo electrónico de Ledger, quiero saber si se han filtrado mis datos.
Los datos que han quedado expuestos son el correo electrónico, el nombre, los apellidos, el número de teléfono, los productos pedidos y la dirección de entrega. Nos hemos puesto en contacto con los usuarios afectados por correo electrónico para informarles exactamente de la información que se ha filtrado en su caso. Si no has recibido un correo electrónico de Ledger, comprueba tu carpeta de correo no deseado. También puedes ponerte en contacto con nuestro equipo de asistencia o consultar la página web< https://haveibeenpwned.com/, donde podrás comprobar al instante si tus datos se han visto comprometidos a raíz de esta filtración.
4- ¿Vendéis datos/información a empresas de telemarketing?
De ninguna manera; tus datos nunca han sido divulgados deliberadamente y Ledger nunca se ha beneficiado de vender o compartir tus datos con terceros.
5- ¿Utilizas a un tercero independiente para realizar las pruebas de penetración? ¿Ofrecéis recompensas por encontrar fallos o vulnerabilidades?
Llevamos a cabo pruebas de penetración de forma activa. También tenemos un laboratorio de seguridad llamado Ledger Donjon que somete a nuestros dispositivos de hardware a pruebas sistemáticas. Puesto que la ventaja de tener una cartera de hardware como la de Ledger es utilizar un dispositivo de confianza para verificar la información, siempre recomendamos a nuestros usuarios que lo hagan antes de validar manualmente cualquier acción o transacción.
Además, tenemos un programa activo de recompensas por encontrar fallos. Ledger sigue incentivando a la comunidad a participar en este programa para reforzar nuestro compromiso con la seguridad. Puedes encontrar más información aquí.
6- ¿Compartirá Ledger la información relativa a los ataques de phishing con otros fabricantes de hardware? He oído que los estafadores también han puesto en su punto de mira las mismas direcciones utilizando ataques para otros dispositivos, ya que saben que hay quien tiene ambos.
Sí, hemos anunciado nuestra intención de colaborar con otros miembros del sector en esta iniciativa. También nos hemos puesto en contacto con otras empresas y particulares de este ámbito para obtener financiación para el programa de recompensas por delitos cometidos contra la comunidad de criptomonedas.
7- ¿Vais a indemnizar a los afectados por la filtración de datos?
No tenemos previsto ofrecer indemnizaciones a las personas afectadas por la filtración de datos. No obstante, estamos decididos a centrarnos en I+D para fortalecer nuestra seguridad. Por otra parte, también estamos dedicando una cantidad notable de recursos a investigar la filtración de datos y las campañas actuales de phishing para que los responsables comparezcan ante la justicia, en beneficio de todo nuestro ecosistema.
Perspectivas de futuro
Todos estamos atravesando un momento difícil. Gracias a todas las personas que nos han apoyado. Y a todos los clientes de Ledger, tened la certeza de que estamos trabajando sin descanso para que esto no vuelva a repetirse. Como dice el refrán, lo que no te mata te hace más fuerte. En otras palabras, Ledger superará esta situación y os brindará una experiencia mejor, más fuerte y más segura; tenéis nuestra palabra.
Es un honor para nosotros formar parte de esta comunidad y seguiremos trabajando con ahínco cada día para evolucionar y aportar valor añadido al ecosistema, pero sobre todo para merecer vuestra confianza.