SINGAPUR – Es posible que los ciberdelincuentes hayan accedido a los datos personales de unas 30.000 personas que utilizaron los servicios del Instituto de Empleo y Empleabilidad del Congreso Nacional de Sindicatos (e2i).
Los delincuentes pueden tener acceso no autorizado a los nombres de las personas, las calificaciones educativas y NRIC, los detalles de contacto y empleo, según una declaración de e2i el lunes (5 de abril).
E2i ofrece servicios de capacitación en habilidades y búsqueda de empleo a los trabajadores.
El instituto dijo que fue alertado sobre un incidente de datos el 12 de marzo en el que un malware infectó el buzón de correo de un empleado de un proveedor externo designado por e2i, la empresa de servicios de centro de contacto i-vic International.
El malware generalmente se distribuye a través de correo electrónico no deseado y puede evitar el escaneo y la detección.
El buzón afectado contenía los datos personales de unas 30.000 personas que participaron en los eventos e2i, utilizaron los servicios del instituto, o ambos, desde noviembre de 2018 al 12 de marzo de este año. Incluyeron personas que participaron en una feria de empleo, taller de empleabilidad o fueron a coaching de carrera.
Por ahora, no hay evidencia de que haya un mal uso o filtración de datos o que el sistema de TI e2i se haya visto comprometido, dijo el instituto.
Se negó a decir cuántas personas utilizan los servicios de e2i en total, «sin confidencialidad para nuestros solicitantes de empleo».
E2i informó de la violación de datos a la Comisión de Protección de Datos Personales (PDPC) y al Equipo de Respuesta a Emergencias Informáticas de Singapur de la Agencia de Seguridad Cibernética de Singapur (SingCert).
I-vic International también informó a la policía sobre el incidente del 22 de marzo.
El PDPC dijo que está al tanto del incidente y está investigando, mientras que la policía investiga el asunto.
En cuanto a por qué el incidente no fue revelado previamente, e2i dijo que «dada la complejidad de las investigaciones, llevó tiempo realizar una evaluación de impacto».
«Trabajamos con el proveedor con la máxima urgencia para determinar la naturaleza y el alcance de los datos personales que se han visto potencialmente afectados», agregó.
El incidente está detrás de varios ataques de seguridad cibernética que afectan a proveedores externos.
En diciembre del año pasado, se reveló que el proveedor de software de gestión de TI SolarWinds era el objetivo de los piratas informáticos. Aproximadamente 18.000 clientes de la empresa con sede en Texas se vieron afectados, incluidos los gigantes tecnológicos estadounidenses Microsoft y FireEye.
En el mismo mes, un sistema de intercambio de archivos proporcionado por la empresa estadounidense de intercambio de nube Accellion fue el objetivo de un ataque cibernético que afectó a clientes de todo el mundo, incluida la empresa de telecomunicaciones más grande de Singapur, Singtel. Los datos de casi 129.000 usuarios de Singtel fueron robados en la violación.
Luego, en marzo, se informó que alrededor de 380 servidores informáticos operados por organizaciones en Singapur estaban en riesgo de un pirateo global masivo del software de servidor de correo electrónico Microsoft Exchange ampliamente utilizado.
El gobierno de Singapur anunció el mes pasado que se pedirá a las organizaciones que gestionan la infraestructura de información crítica del país, como las redes de telecomunicaciones y los sistemas de transporte público, que gestionen mejor los riesgos de ciberseguridad de sus proveedores.
En cuanto a la última violación de datos, e2i e i-vic International han tomado medidas para aumentar la seguridad de sus sistemas de red y correo electrónico y también están realizando verificaciones para monitorear cualquier vulnerabilidad potencial.
Están contactando a las personas potencialmente afectadas por correo electrónico, SMS y llamadas telefónicas para alertarlas sobre el incidente y brindarles apoyo sobre cómo manejar los posibles riesgos involucrados.
E2i dijo que las personas afectadas por la violación de datos deben estar atentas a cualquier actividad o solicitud sospechosa, así como a los intentos de phishing y cualquier actividad o solicitud sospechosa.
Dijo que el estafador en el incidente podría tener acceso no autorizado a los datos personales de las personas y podría contactarlos fingiendo ser de e2i. Pero quedará claro que cualquier correo electrónico «e2i» del malo es falso porque no termina en @ e2i.com.sg
Aquellos que reciben un correo electrónico sospechoso o sospechan que han sido blanco de una estafa pueden comunicarse con e2i al 6713-5779.
También pueden enviar un informe en línea a SingCert en este enlace.
El Sr. Gilbert Tan, CEO de e2i, dijo: «Lamentamos profundamente la ansiedad que este incidente de datos puede traer a nuestros clientes. La protección de los datos personales de nuestros clientes es de suma importancia para nosotros».
Agregó que el malware no apunta directamente a e2i, sino que está verificando sus sistemas de TI, así como el de su proveedor.
E2i también revisará los estándares de ciberseguridad de sus proveedores para evitar que el incidente se repita.
«Entre todas estas medidas, me gustaría asegurarme de que las operaciones, los servicios y los sistemas de e2i permanezcan sin cambios y que las personas que buscan empleo puedan seguir buscando empleo y asistencia para la empleabilidad con e2i», dijo Tan.
Para las personas que sospechan que se ha accedido ilegalmente a sus datos personales, e2i tiene los siguientes consejos:
– No utilice su información personal en su contraseña y cambie sus contraseñas con regularidad.
– Configure su contraseña de manera que sea muy difícil para las personas asociarla con usted, como usar una contraseña compuesta por caracteres alfanuméricos y símbolos.
– Tenga cuidado con las estafas de phishing y controle cualquier actividad sospechosa.
– No comparta su contraseña única con nadie, ni siquiera con miembros de la familia. E2i nunca le pedirá que revele su contraseña.
La fuga de datos de Facebook llega a 3 millones de usuarios de Singapur
Por separado, SingCert envió una alerta el lunes por la noche sobre informes de que más de 533 millones de datos de usuarios de Facebook se filtraron recientemente en línea, incluidos tres millones de usuarios con sede en Singapur.
La información filtrada comprende principalmente el número de teléfono celular de un usuario de Facebook, el nombre del perfil, la identificación del perfil y la ubicación. También se han incluido algunos datos de los usuarios, como la fecha de nacimiento y la dirección de correo electrónico de una persona.
Facebook aclaró que la empresa solucionó la vulnerabilidad relacionada con la filtración en agosto de 2019.
Pero SingCert dijo que los usuarios aún deberían estar atentos a posibles campañas de phishing derivadas de la filtración.
Los ciberdelincuentes pueden utilizar la información filtrada para realizar phishing y otros ataques de ingeniería social.
«Los usuarios de Facebook deben permanecer atentos y tener cuidado con las llamadas telefónicas no solicitadas y los mensajes enviados a través de SMS y aplicaciones de mensajería instantánea como WhatsApp», dijo SingCert.
Los tramposos ingeniosos también pueden utilizar la tecnología de suplantación de identidad de llamadas para hacerse pasar por el usuario de Facebook y realizar otros ataques.
Por ejemplo, pueden utilizar los datos de contacto del usuario de Facebook para solicitar productos y servicios o realizar compras en su nombre.
También pueden hacerse pasar por el usuario de Facebook para enviar enlaces maliciosos, solicitar transferencias de dinero o solicitar OTP para comprometer las cuentas de contacto del usuario.
SingCert aconsejó al público que practique buenos hábitos de higiene cibernética para ayudar a limitar el impacto de tales filtraciones de datos, como no reutilizar la misma contraseña en diferentes cuentas en línea y habilitar la autenticación de dos factores cuando esté disponible.
