Foto: KPMG en Facebook

En el reporte con carácter confidencial, del que este reportero tiene una copia en inglés, se hace una descripción pormenorizada de lo que KPMG México llama “incidente de seguridad de la información”, el cual lamenta “profundamente” y por el que se compromete a trabajar con los afectados para “mitigar cualquier consecuencia”. Un portavoz de una de las corporaciones involucradas confirmó, a condición de anonimato, haber recibido información de KPMG sobre el incidente.

Un grupo de desarrolladores de software de KPMG México descargó sin autorización de sus titulares comprobantes fiscales digitales del Servicio de Administración Tributaria (SAT) y con ellos creó una base de datos que estuvo expuesta en internet, sin contraseñas ni controles de seguridad, entre noviembre de 2018 y enero de 2019, de acuerdo con un reporte de KPMG México enviado a clientes afectados.

En el reporte con carácter confidencial, del que este reportero tiene una copia en inglés, se hace una descripción pormenorizada de lo que KPMG México llama “incidente de seguridad de la información”, el cual lamenta “profundamente” y por el que se compromete a trabajar con los afectados para “mitigar cualquier consecuencia”. Un portavoz de una de las corporaciones involucradas confirmó, a condición de anonimato, haber recibido información de KPMG sobre el incidente.

La base de datos creada por el “pequeño grupo” de desarrolladores de KPMG México contenía a la vista de cualquiera comprobantes fiscales digitales de al menos 41 corporaciones en México, como Operadora de Hospitales Ángeles y el club de futbol Gallos Blancos (Grupo Empresarial Ángeles); las farmacias FarmaCon (FEMSA); las siderúrgicas ArcelorMittal y Thyssenkrupp; ITESO, la universidad jesuita de Guadalajara; el Club Premier de la línea aérea Aeroméxico, y la administradora de fondos para el retiro Profuturo GNP.

La información exponía datos personales y fiscales de colaboradores de clientes de KPMG México, como RFC (Registro Federal de Contribuyentes), CURP (Clave Única de Registro de Población), NSS (Número de Seguridad Social), números de cuentas bancarias, salarios o periodo de antigüedad. El reporte de KPMG México deja claro que la vulneración de los datos personales comprometidos afecta a empleados de los clientes de la firma: “En consecuencia, KPMG ha ofrecido a todos los empleados potencialmente afectados y cuya información podría haber estado en el ambiente no autorizado los servicios de monitoreo proporcionados por Experian Information Solutions, Inc”, una compañía de control de riesgos, se lee en la segunda página del reporte.

KPMG es una firma internacional que ofrece servicios de auditoría, impuestos y asesoría. En México ofrece sus servicios a entidades de las industrias de bienes de consumo, gobierno, infraestructura, automotriz, manufactura y maquila y servicios financieros. En su año fiscal terminado el 30 de septiembre pasado registró una facturación global de 29,000 millones de dólares.

En el reporte confidencial de siete páginas, fechado el 22 de febrero, KPMG México reconoce que su personal utilizó los accesos al SAT confiados por los clientes a KPMG México para descargar información fiscal, sin autorización y violando normas de seguridad y privacidad de la firma consultora. El personal de KPMG México, al que la firma identifica como un “pequeño grupo”, creó un “ambiente no autorizado” en una nube del servicio de almacenamiento Azure Blob Storage de Microsoft, para la cual utilizó una configuración sin contraseñas ni controles de seguridad. Cualquier persona con acceso a internet podía acceder a la base de datos.

El “pequeño grupo” trabajaba en el desarrollo de una tecnología llamada Plataforma Fiscal. “Los datos debieron descargarse a través de la red segura de KPMG a un servidor seguro aprobado por KPMG. En su lugar, el pequeño grupo descargó la información en un ambiente no autorizado, sin el conocimiento de la oficina de Seguridad de la Información de KPMG y en contravención a una dirección previa de dicha oficina. Todas estas acciones fueron violaciones muy graves de nuestras políticas”, dice el documento.

Este reportero pidió comentarios a KPMG México a través de dos contactos de voceros corporativos, pero hasta la publicación de este artículo no se había recibido respuesta.

Detalles de la filtración masiva de datos personales y de información fiscal fueron divulgados entre el 21 de enero y el 11 de febrero por el investigador Bob Diachenko, quien ha hecho otras revelaciones relacionadas con información personal de ciudadanos mexicanos, pero se desconocía quién había creado la base de datos expuesta. Hoy sabemos que fue personal de KPMG México. En una publicación en el blog especializado en ciberseguridad Security Discovery, Diachenko aseguró que la base de datos contenía 4.98 millones de comprobantes fiscales conocidos como CFDI (Comprobante Fiscal Digital por Internet).

El reporte de KPMG registra que un cliente de la consultora escribió a un miembro del “pequeño grupo” de desarrolladores para preguntarle sobre las publicaciones de Diachenko en la red social Twitter el 29 de enero; ese mismo día, y de nuevo sin autorización de la firma consultora —continúa el reporte—, el “pequeño grupo” eliminó de Azure Blob Storage el llamado “ambiente no autorizado”.

KPMG México asegura en su reporte confidencial que presentó una denuncia penal relacionada con este incidente ante la Fiscalía General de la República. Señala que despidió a dos personas del “pequeño grupo” y suspendió al resto —el número es desconocido—, en espera de acciones disciplinarias según lo determine una investigación interna, que inició el 29 de enero pasado. En la revisión del incidente se involucró el equipo de KPMG Estados Unidos y se notificó a KPMG International.

Una fuente consultada por este reportero a condición de no revelar su nombre aseguró que, días después de darse a conocer detalles de la filtración en medios sociales, aun sin conocerse públicamente el nombre de la compañía responsable, un empleado de KPMG México buscó asesoría jurídica penal luego de ser “corrido ipso facto”. La fuente aseguró que el empleado estuvo “como en un interrogatorio dentro de las oficinas” y al terminar “no le querían regresar su identificación”.

Primera de las siete páginas que integran el reporte confidencial de KPMG México, en el que la firma consultora hace un reporte pormenorizado de la vulneración de datos personales cometida por su personal. Da clic en la imagen para ver el reporte completo en PDF.

Extorsión

Tanto Diachenko en su cuenta en Twitter como KPMG México en su reporte confidencial hablan de un intruso que supuestamente hizo una copia de la base de datos hospedada en Azure Blob Storage y, posteriormente, exigió un “rescate” en la criptomoneda bitcoin. El 23 de enero “Se colocó una nota de rescate en el ambiente no autorizado, indicando que la información había sido capturada. La nota exigía 0.5 Bitcoin a cambio de la devolución de la información”, se lee en el recuento de hechos de KPMG. La extorsión equivalía a 34,000 pesos al valor de la criptomoneda y del peso mexicano en dólares ese día.

En un tuit publicado el 23 de enero, Diachenko escribió: “Entonces le tomó a los cibercriminales sólo dos días encontrar y barrer toda una base de datos desprotegida en MongoDB —un sistema de base de datos de código abierto muy popular entre desarrolladores—con casi 5 millones de facturas electrónicas mexicanas (CFD), con un montón de información personal involucrada. La base de datos parece ser administrada por un proveedor aún desconocido, con algunas grandes compañías involucradas”. Se buscó algún comentario adicional de Diachenko para este artículo, pero no hubo respuesta.

Se desconoce si KPMG México se vinculó con las demandas de la supuesta extorsión y pagó el rescate. También se desconoce si algún intruso hizo una copia de la base de datos. KPMG asegura en su reporte que, “a través de entrevistas con el pequeño grupo” de desarrolladores, pudo saber que este equipo nunca hizo una copia de la información comprometida. También dice que solicitó apoyo a Microsoft, proveedor de los servicios de Azure Blob Storage, para restaurar e identificar los accesos registrados a la base de datos, pero “Microsoft no pudo hacerlo y tampoco contaba con los registros de seguridad”.

Esta filtración de casi 5 millones de documentos con datos personales y fiscales de ciudadanos mexicanos se suma a una lista cada vez mayor de vulneraciones masivas cometidas por corporaciones en México, como la exhibición de 2.34 millones de expedientes clínicos electrónicos de beneficiarios de Seguro Popular de Michoacán, en la que estuvo involucrada la compañía mexicana Hova Health en 2018; el robo de datos personales de casi 1 millón de usuarios mexicanos de la empresa de servicios de transporte Uber en 2016, y la exposición de 450 millones de registros con información perteneciente a usuarios de Facebook por parte del medio nativo digital Cultura Colectiva conocida el 3 de abril de 2019.

Corporaciones vinculadas con la filtración de KPMG México
Información fiscal de por lo menos 41 corporaciones en México fue localizada en una base de datos sin contraseñas ni controles de seguridad, por lo que cualquier persona con acceso a internet podía acceder a los documentos. La base de datos fue creada por un “pequeño grupo” de desarrolladores de tecnología fiscal de KPMG México.
Corporación Documentos expuestos
1 General de Seguros, S.A.B. 657,300
2 Carl Zeiss Visión Manufactura de México, S. de R.L. de C.V. 539,211
3 Cummins Grupo Industrial, S. de R.L. de C.V. 415,051
4 FarmaCon, S.A. de C.V. (Grupo FEMSA) 335,960
5 Operadora de Hospitales Ángeles, S.A. de C.V. (Grupo Empresarial Ángeles) 242,413
6 Fanosa, S.A. de C.V. 192,445
7 Alphabet de México, S.A. de C.V. 172,019
8 ITESO, A.C. 168,145
9 Fugra Servicios, S.A. de C.V. (Grupo Bocar) 145,997
10 Auma Servicios, S.A. de C.V. (Grupo Bocar) 115,236
11 Alphabet de México de Monclova, S.A. de C.V. 107,626
12 Auma Lerma Servicios, S.A. de C.V. (Grupo Bocar) 100,263
13 Arris Group de México, S.A. de C.V. 93,542
14 Auma Salt Servicios, S.A. de C.V. (Grupo Bocar) 88,916
15 Bocar Servicios, S.A. de C.V. (Grupo Bocar) 82,069
16 Servicios Profesionales Petroleros, S. de R.L. de C.V. 76,150
17 Prime Wheel México, S. de R.L. de C.V. 67,771
18 Pulidora de Baja California, S.A. de C.V. 65,774
19 Plastic Servicios, S.A. de C.V. (Grupo Bocar) 65,042
20 Thyssenkrupp Components Technology de México S.A. de C.V. 61,235
21 Service Zone, S. de R.L. de C.V. 41,999
22 Mersen de México Juárez, S.A. de C.V. 41,119
23 Termocontroles de Juárez, S.A. de C.V. 39,914
24 Digital Appliance Controls de México, S.A. de C.V. (SigmaTron International, Inc.) 34,613
25 PLM Premier, S.A.P.I. de C.V. (Club Premier de Aeroméxico) 27,797
26 Kalischatarra, S. de R.L. de C.V. 21,694
27 Liberty Cartón de México, S. de R.L. de C.V. 20,506
28 Auma San Luis Servicios, S.A. de C.V. (Grupo Bocar) 19,271
29 Auma Querétaro, S.A. de C.V. (Grupo Bocar) 18,099
30 Plastic Servicios Slp, S.A. de C.V. (Grupo Bocar) 14,979
31 Gbt Servicios Profesionales, S. de R.L. de C.V. 14,021
32 ArcelorMittal Servicios de Monterrey, S.A. de C.V. 12,505
33 Tyco Electronics Mexico, S. de R.L. de C.V. 10,407
34 Servicios Mexicanos De Manufactura S. de R.L. de C.V. 8,004
35 Tequila Don Julio Servicios, S.A. de C.V. 7,503
36 LP Logística en Recursos Humanos, S.A. de C.V. (Engenium Capital) 2,822
37 Hasmex Servicios, S.A. de C.V. 2,320
38 Zone Compra S. de R.L. de C.V. 2,296
39 Club Gallos Blancos, S.A. de C.V. (Grupo Empresarial Ángeles) 2,160
40 Mssl Wirings Juárez, S.A. de C.V. 1,968
41 Profuturo GNP, S.A de C.V., SOFOM, E.N.R. 1,618
Total de documentos identificados con estas 41 compañías: 4,137,780
Fuente: Economicón y Security Discovery.

Este artículo originalmente se publicó en El Economista el 14 de abril de 2019.

Comentarios

economicon

Newsletter

TwitterFacebook