Apreciable Titular:

Con fundamento en lo previsto en los artículos 54 y 55 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios, el Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios (Infoem) hace de su conocimiento que el pasado 19 octubre del presente año sufrió un ataque cibernético, que derivó en el acceso, reproducción y distribución no autorizados de la información contenida en la cuenta de correo electrónico: “soporte@itaipem.org.mx”.

Como parte de nuestra responsabilidad ante tal afectación, compartimos con usted lo siguiente:

La información comprometida corresponde exclusivamente a los correos enviados y recibidos, a través de la cuenta “soporte@itaipem.org.mx”, la cual puede contener datos personales, no solo de usted como titular, sino de terceros, relacionados al ejercicio de sus atribuciones y competencias.

Los datos personales que pudieron ser afectados corresponden a uno o algunos de los siguientes: direcciones de correos electrónicos particulares, teléfonos particulares, nombres, CURP, RFC, datos contenidos en procedimientos seguidos en forma de juicio, contraseñas, nombres de usuarias o usuarios relacionados con diversas plataformas, domicilios, fotografías, claves de elector, huellas dactilares, género, fechas de nacimiento y firmas.

Por lo anterior, con la finalidad de minimizar los riesgos inherentes a su seguridad, le solicitamos respetuosamente y de manera inmediata, cambiar las claves de acceso a su correo electrónico con dominio @itaipem.org.mx, revisar el contenido de su correo enviado y recibido desde la cuenta soporte@itaipem.org.mx, a fin de identificar aquella información que pudiera haberse comprometido. Esta revisión debe incluir aquellos archivos adjuntos que se hayan comunicado mediante esta vía.

En este sentido, el Infoem hace de su conocimiento que, más allá del reforzamiento de claves y contraseñas, fortalecerá el control de acceso de las cuentas de correo electrónico, a través de acciones como la doble identificación.

Por otro lado, trabajamos en la consolidación de la emisión de procedimientos internos para asegurar la documentación que avale el estado de actualización del sistema de correo electrónico, conforme a las mejores prácticas y recomendaciones del emisor del software, para mitigar riesgos de seguridad.

Asimismo, realizaremos un programa de auditorías periódicas internas al sistema de correo electrónico, con el objetivo de identificar posibles áreas de mejora; así como eliminación o mitigación de eventualidades y fallas.

Ahora bien, es necesario destacar que el Infoem, a través de la Dirección General Jurídica y de Verificación, dio parte a las autoridades penales y administrativas competentes, con la finalidad de que se realicen las investigaciones que lleven a la identificación del o los responsables y les sean aplicadas las sanciones correspondientes, toda vez que los datos personales de las y los usuarios pudieron verse comprometidos.

Es preciso mencionar que, a través de las investigaciones y revisiones llevadas hasta el momento, hemos corroborado que el acceso no autorizado a la cuenta de correo no se dio de manera directa ni se aprovechó alguna vulnerabilidad en el servidor de correo.

Durante el desarrollo de este proceso de investigación se le notificará a cada particular sobre sus datos personales que se hayan visto comprometidos, con la finalidad de que tome las medidas que considere oportunas para salvaguardar su información. Aunado a ello, el Infoem brindará orientación, a quien así lo solicite, a través de la Dirección General de Protección Datos Personales.

También se hace de su conocimiento que la contingencia fue atendida de forma inmediata, con las siguientes acciones: cambio de contraseñas de los correos, cierre de sesiones activas, bloqueo en la cobertura de direcciones de protocolo de internet no prioritarias, actualización de la versión del sistema operativo y software en general, solicitud del retiro del archivo al sitio donde se hizo pública la información (la cual ya fue eliminada y no se puede tener acceso).

Finalmente, para la atención inmediata y directa derivada de este tema, el Infoem ha creado la cuenta de correo electrónico atecsujetosobligados@itaipem.org.mx

Cabe destacar que el ingreso no autorizado se mitigó de forma total y permanente en menos de 12 horas.

En caso de tener alguna duda respecto a los datos personales que pudieron haberse comprometido, puede comunicarse al Centro de Atención Telefónica 800 821 04 41; o bien, directamente a la Dirección General de Informática, al número 722 226 1980 extensiones 401, 402, 221 y 414.