Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon

Esta es la historia de una compañía mexicana que expuso en internet miles de archivos con información personal de sus clientes. Los documentos estuvieron disponibles, sin passwords ni candados, durante un mes.

El despacho contable Enconta dejó expuestos 384,519 archivos relacionados con sus clientes en los servidores de Amazon. Los archivos estuvieron disponibles por lo menos un mes, sin contraseñas ni otros candados de seguridad, para cualquier persona con una conexión a internet. Los documentos contenían estados de cuenta bancarios, facturas, recibos de compras y pagos, declaraciones fiscales para el SAT e incluso cotizaciones de servicios de Enconta para sus propios clientes.

Con la información filtrada por Enconta era posible conocer información sensible de sus clientes, como cuánto dinero tenían en sus cuentas bancarias o cuáles eran sus movimientos financieros mes a mes. Por ejemplo:

1. Enconta expuso dos estados de cuenta de un cliente de la tarjeta de crédito Platinum SKYPLUS de American Express, con una línea de crédito de 300,000 pesos. La cuenta tenía una tarjeta adicional, así que se mostraban los movimientos de dos personas distintas vinculadas a la misma cuenta. Uno de los estados de cuenta muestra que una de las personas pagó el impuesto predial (1,567.50 pesos) y la tenencia (2,151.84 pesos). La otra pagó una colegiatura del Tec de Monterrey (43,466) y otra de un colegio (5,700 pesos).
2. Enconta expuso un estado de cuenta de un cliente de ScotiaBank con un saldo en su cuenta de 1,663,920.64 pesos. En ese estado de cuenta llaman la atención dos transferencias por un total de 179,999.93 pesos. Durante ese mes, el cliente realizó seis retiros de efectivo desde cajeros automáticos.
3. Enconta expuso la cotización que envió a un cliente por el servicio de contabilidad mensual, por 800 pesos más IVA.

Enconta es una startup de base tecnológica de servicios financieros, lo que se conoce como fintech (por la contracción de las palabras en inglés financial technology). Es parte de la familia de la reparadora de crédito Resuelve tu Deuda, fundada por Juan Pablo Zorrilla. Otras marcas de la familia son Finx, que ofrece servicios de consultoría a inversionistas financieros, y La Tasa, un servicio de préstamos persona a persona.

Los 384,519 archivos que Enconta dejó sin protección en el servicio de Amazon fueron descubiertos el 15 de agosto de 2018 por Bob Diachenko, experto en ciberseguridad. Diachenko fue el investigador que descubrió la vulneración de 2.37 millones de expedientes clínicos electrónicos de los beneficiarios del Seguro Social de Michoacán y que la empresa privada Hova Health almacenó sin protección en Amazon.

Diachenko me pidió ayuda para alertar a personal de Enconta de la vulneración de los archivos. Él había enviado un par de correos a la compañía y no había recibido respuesta. Yo me comuniqué vía telefónica a las oficinas de Enconta los días 21 y 22 de agosto. El 13 de septiembre recibí una comunicación de 227 palabras de Enconta donde me informaba que la información de sus clientes “quedó parcialmente expuesta” debido a una migración de archivos “por un cambio de proveedor de almacenamiento de información”. Según Enconta, ese proceso concluyó el 4 de septiembre. Diachenko tiene la certeza de que la protección de los documentos concluyó el día 13.

“Cada uno de nuestros clientes ha recibido el aviso correspondiente como lo marca la ley”, dijo el comunicado de Enconta en referencia a la notificación obligada que las compañías privadas deben hacer cuando existe una vulneración de datos personales. “Durante el periodo que la información estuvo expuesta no tenemos conocimiento de descargas de esta información por parte de terceros”, añadió Enconta.

Enconta suma una raya más al tigre de las negligencias técnicas para el resguardo de datos personales en México. El desarrollo de la tecnología digital permite la creación de productos y servicios novedosos, como puede ser el caso de Enconta; también exige responsabilidad y cuidado: estamos hablando de la vulneración de información sensible en un país que no se distingue por brindar protección a sus ciudadanos. Los actores privados deben poner de su parte.

Este artículo originalmente se publicó en El Economista el 23 de septiembre de 2018.

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)

Comentarios