Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes
José Soto Galindo
15 abril, 2019
En el reporte con carácter confidencial, del que este reportero tiene una copia en inglés, se hace una descripción pormenorizada de lo que KPMG México llama “incidente de seguridad de la información”, el cual lamenta “profundamente” y por el que se compromete a trabajar con los afectados para “mitigar cualquier consecuencia”. Un portavoz de una de las corporaciones involucradas confirmó, a condición de anonimato, haber recibido información de KPMG sobre el incidente.
Un grupo de desarrolladores de software de KPMG México descargó sin autorización de sus titulares comprobantes fiscales digitales del Servicio de Administración Tributaria (SAT) y con ellos creó una base de datos que estuvo expuesta en internet, sin contraseñas ni controles de seguridad, entre noviembre de 2018 y enero de 2019, de acuerdo con un reporte de KPMG México enviado a clientes afectados.
En el reporte con carácter confidencial, del que este reportero tiene una copia en inglés, se hace una descripción pormenorizada de lo que KPMG México llama “incidente de seguridad de la información”, el cual lamenta “profundamente” y por el que se compromete a trabajar con los afectados para “mitigar cualquier consecuencia”. Un portavoz de una de las corporaciones involucradas confirmó, a condición de anonimato, haber recibido información de KPMG sobre el incidente.
La base de datos creada por el “pequeño grupo” de desarrolladores de KPMG México contenía a la vista de cualquiera comprobantes fiscales digitales de al menos 41 corporaciones en México, como Operadora de Hospitales Ángeles y el club de futbol Gallos Blancos (Grupo Empresarial Ángeles); las farmacias FarmaCon (FEMSA); las siderúrgicas ArcelorMittal y Thyssenkrupp; ITESO, la universidad jesuita de Guadalajara; el Club Premier de la línea aérea Aeroméxico, y la administradora de fondos para el retiro Profuturo GNP.
La información exponía datos personales y fiscales de colaboradores de clientes de KPMG México, como RFC (Registro Federal de Contribuyentes), CURP (Clave Única de Registro de Población), NSS (Número de Seguridad Social), números de cuentas bancarias, salarios o periodo de antigüedad. El reporte de KPMG México deja claro que la vulneración de los datos personales comprometidos afecta a empleados de los clientes de la firma: “En consecuencia, KPMG ha ofrecido a todos los empleados potencialmente afectados y cuya información podría haber estado en el ambiente no autorizado los servicios de monitoreo proporcionados por Experian Information Solutions, Inc”, una compañía de control de riesgos, se lee en la segunda página del reporte.
KPMG es una firma internacional que ofrece servicios de auditoría, impuestos y asesoría. En México ofrece sus servicios a entidades de las industrias de bienes de consumo, gobierno, infraestructura, automotriz, manufactura y maquila y servicios financieros. En su año fiscal terminado el 30 de septiembre pasado registró una facturación global de 29,000 millones de dólares.
En el reporte confidencial de siete páginas, fechado el 22 de febrero, KPMG México reconoce que su personal utilizó los accesos al SAT confiados por los clientes a KPMG México para descargar información fiscal, sin autorización y violando normas de seguridad y privacidad de la firma consultora. El personal de KPMG México, al que la firma identifica como un “pequeño grupo”, creó un “ambiente no autorizado” en una nube del servicio de almacenamiento Azure Blob Storage de Microsoft, para la cual utilizó una configuración sin contraseñas ni controles de seguridad. Cualquier persona con acceso a internet podía acceder a la base de datos.
El “pequeño grupo” trabajaba en el desarrollo de una tecnología llamada Plataforma Fiscal. “Los datos debieron descargarse a través de la red segura de KPMG a un servidor seguro aprobado por KPMG. En su lugar, el pequeño grupo descargó la información en un ambiente no autorizado, sin el conocimiento de la oficina de Seguridad de la Información de KPMG y en contravención a una dirección previa de dicha oficina. Todas estas acciones fueron violaciones muy graves de nuestras políticas”, dice el documento.
Este reportero pidió comentarios a KPMG México a través de dos contactos de voceros corporativos, pero hasta la publicación de este artículo no se había recibido respuesta.
Detalles de la filtración masiva de datos personales y de información fiscal fueron divulgados entre el 21 de enero y el 11 de febrero por el investigador Bob Diachenko, quien ha hecho otras revelaciones relacionadas con información personal de ciudadanos mexicanos, pero se desconocía quién había creado la base de datos expuesta. Hoy sabemos que fue personal de KPMG México. En una publicación en el blog especializado en ciberseguridad Security Discovery, Diachenko aseguró que la base de datos contenía 4.98 millones de comprobantes fiscales conocidos como CFDI (Comprobante Fiscal Digital por Internet).
El reporte de KPMG registra que un cliente de la consultora escribió a un miembro del “pequeño grupo” de desarrolladores para preguntarle sobre las publicaciones de Diachenko en la red social Twitter el 29 de enero; ese mismo día, y de nuevo sin autorización de la firma consultora —continúa el reporte—, el “pequeño grupo” eliminó de Azure Blob Storage el llamado “ambiente no autorizado”.
KPMG México asegura en su reporte confidencial que presentó una denuncia penal relacionada con este incidente ante la Fiscalía General de la República. Señala que despidió a dos personas del “pequeño grupo” y suspendió al resto —el número es desconocido—, en espera de acciones disciplinarias según lo determine una investigación interna, que inició el 29 de enero pasado. En la revisión del incidente se involucró el equipo de KPMG Estados Unidos y se notificó a KPMG International.
Una fuente consultada por este reportero a condición de no revelar su nombre aseguró que, días después de darse a conocer detalles de la filtración en medios sociales, aun sin conocerse públicamente el nombre de la compañía responsable, un empleado de KPMG México buscó asesoría jurídica penal luego de ser “corrido ipso facto”. La fuente aseguró que el empleado estuvo “como en un interrogatorio dentro de las oficinas” y al terminar “no le querían regresar su identificación”.
Extorsión
Tanto Diachenko en su cuenta en Twitter como KPMG México en su reporte confidencial hablan de un intruso que supuestamente hizo una copia de la base de datos hospedada en Azure Blob Storage y, posteriormente, exigió un “rescate” en la criptomoneda bitcoin. El 23 de enero “Se colocó una nota de rescate en el ambiente no autorizado, indicando que la información había sido capturada. La nota exigía 0.5 Bitcoin a cambio de la devolución de la información”, se lee en el recuento de hechos de KPMG. La extorsión equivalía a 34,000 pesos al valor de la criptomoneda y del peso mexicano en dólares ese día.
En un tuit publicado el 23 de enero, Diachenko escribió: “Entonces le tomó a los cibercriminales sólo dos días encontrar y barrer toda una base de datos desprotegida en MongoDB —un sistema de base de datos de código abierto muy popular entre desarrolladores—con casi 5 millones de facturas electrónicas mexicanas (CFD), con un montón de información personal involucrada. La base de datos parece ser administrada por un proveedor aún desconocido, con algunas grandes compañías involucradas”. Se buscó algún comentario adicional de Diachenko para este artículo, pero no hubo respuesta.
Se desconoce si KPMG México se vinculó con las demandas de la supuesta extorsión y pagó el rescate. También se desconoce si algún intruso hizo una copia de la base de datos. KPMG asegura en su reporte que, “a través de entrevistas con el pequeño grupo” de desarrolladores, pudo saber que este equipo nunca hizo una copia de la información comprometida. También dice que solicitó apoyo a Microsoft, proveedor de los servicios de Azure Blob Storage, para restaurar e identificar los accesos registrados a la base de datos, pero “Microsoft no pudo hacerlo y tampoco contaba con los registros de seguridad”.
Esta filtración de casi 5 millones de documentos con datos personales y fiscales de ciudadanos mexicanos se suma a una lista cada vez mayor de vulneraciones masivas cometidas por corporaciones en México, como la exhibición de 2.34 millones de expedientes clínicos electrónicos de beneficiarios de Seguro Popular de Michoacán, en la que estuvo involucrada la compañía mexicana Hova Health en 2018; el robo de datos personales de casi 1 millón de usuarios mexicanos de la empresa de servicios de transporte Uber en 2016, y la exposición de 450 millones de registros con información perteneciente a usuarios de Facebook por parte del medio nativo digital Cultura Colectiva conocida el 3 de abril de 2019.
| Corporaciones vinculadas con la filtración de KPMG México | ||
|---|---|---|
| Información fiscal de por lo menos 41 corporaciones en México fue localizada en una base de datos sin contraseñas ni controles de seguridad, por lo que cualquier persona con acceso a internet podía acceder a los documentos. La base de datos fue creada por un “pequeño grupo” de desarrolladores de tecnología fiscal de KPMG México. | ||
| Corporación | Documentos expuestos | |
| 1 | General de Seguros, S.A.B. | 657,300 |
| 2 | Carl Zeiss Visión Manufactura de México, S. de R.L. de C.V. | 539,211 |
| 3 | Cummins Grupo Industrial, S. de R.L. de C.V. | 415,051 |
| 4 | FarmaCon, S.A. de C.V. (Grupo FEMSA) | 335,960 |
| 5 | Operadora de Hospitales Ángeles, S.A. de C.V. (Grupo Empresarial Ángeles) | 242,413 |
| 6 | Fanosa, S.A. de C.V. | 192,445 |
| 7 | Alphabet de México, S.A. de C.V. | 172,019 |
| 8 | ITESO, A.C. | 168,145 |
| 9 | Fugra Servicios, S.A. de C.V. (Grupo Bocar) | 145,997 |
| 10 | Auma Servicios, S.A. de C.V. (Grupo Bocar) | 115,236 |
| 11 | Alphabet de México de Monclova, S.A. de C.V. | 107,626 |
| 12 | Auma Lerma Servicios, S.A. de C.V. (Grupo Bocar) | 100,263 |
| 13 | Arris Group de México, S.A. de C.V. | 93,542 |
| 14 | Auma Salt Servicios, S.A. de C.V. (Grupo Bocar) | 88,916 |
| 15 | Bocar Servicios, S.A. de C.V. (Grupo Bocar) | 82,069 |
| 16 | Servicios Profesionales Petroleros, S. de R.L. de C.V. | 76,150 |
| 17 | Prime Wheel México, S. de R.L. de C.V. | 67,771 |
| 18 | Pulidora de Baja California, S.A. de C.V. | 65,774 |
| 19 | Plastic Servicios, S.A. de C.V. (Grupo Bocar) | 65,042 |
| 20 | Thyssenkrupp Components Technology de México S.A. de C.V. | 61,235 |
| 21 | Service Zone, S. de R.L. de C.V. | 41,999 |
| 22 | Mersen de México Juárez, S.A. de C.V. | 41,119 |
| 23 | Termocontroles de Juárez, S.A. de C.V. | 39,914 |
| 24 | Digital Appliance Controls de México, S.A. de C.V. (SigmaTron International, Inc.) | 34,613 |
| 25 | PLM Premier, S.A.P.I. de C.V. (Club Premier de Aeroméxico) | 27,797 |
| 26 | Kalischatarra, S. de R.L. de C.V. | 21,694 |
| 27 | Liberty Cartón de México, S. de R.L. de C.V. | 20,506 |
| 28 | Auma San Luis Servicios, S.A. de C.V. (Grupo Bocar) | 19,271 |
| 29 | Auma Querétaro, S.A. de C.V. (Grupo Bocar) | 18,099 |
| 30 | Plastic Servicios Slp, S.A. de C.V. (Grupo Bocar) | 14,979 |
| 31 | Gbt Servicios Profesionales, S. de R.L. de C.V. | 14,021 |
| 32 | ArcelorMittal Servicios de Monterrey, S.A. de C.V. | 12,505 |
| 33 | Tyco Electronics Mexico, S. de R.L. de C.V. | 10,407 |
| 34 | Servicios Mexicanos De Manufactura S. de R.L. de C.V. | 8,004 |
| 35 | Tequila Don Julio Servicios, S.A. de C.V. | 7,503 |
| 36 | LP Logística en Recursos Humanos, S.A. de C.V. (Engenium Capital) | 2,822 |
| 37 | Hasmex Servicios, S.A. de C.V. | 2,320 |
| 38 | Zone Compra S. de R.L. de C.V. | 2,296 |
| 39 | Club Gallos Blancos, S.A. de C.V. (Grupo Empresarial Ángeles) | 2,160 |
| 40 | Mssl Wirings Juárez, S.A. de C.V. | 1,968 |
| 41 | Profuturo GNP, S.A de C.V., SOFOM, E.N.R. | 1,618 |
| Total de documentos identificados con estas 41 compañías: | 4,137,780 | |
| Fuente: Economicón y Security Discovery. | ||
Este artículo originalmente se publicó en El Economista el 14 de abril de 2019.
Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.
Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.
Comentarios
