Logotipo oficial de KPMG.

KPMG México confirmó que a finales de enero de 2019 detectó “que cierta información de algunos clientes estuvo comprometida ante un tercero no autorizado”, por lo que inició una investigación y tomó “acciones correctivas decisivas con la diligencia debida”. Esta filtración de información, que duró de noviembre de 2018 a enero de 2019, expuso a la vista de cualquiera con acceso a internet datos personales y fiscales de empleados de por lo menos 41 clientes de la firma consultora en México, publicó Economicón el domingo pasado.

“Por motivos de confidencialidad con nuestros clientes, no estamos en posibilidades de proporcionar detalles adicionales, aunque sin duda estamos trabajando de manera cercana con los clientes involucrados”, dijo Roberto Cabrera Siles, socio de KPMG México a cargo de comunicación con medios, en un correo electrónico enviado a este medio.

Economicón publicó que empleados de KPMG México descargaron sin autorización de sus titulares millones de comprobantes fiscales digitales (CFDI) del Servicio de Administración Tributaria (SAT) y con ellos crearon una base de datos que estuvo expuesta en internet, sin contraseñas ni controles de seguridad, entre noviembre de 2018 y enero de 2019. Se calcula que el volumen de la filtración es de 4.98 millones de documentos.

En un reporte interno confidencial fechado el 22 de febrero, del cual este reportero tiene una copia, KPMG México detalla que un “pequeño grupo” de empleados de la compañía utilizó el servicio de almacenamiento Azure Blob Storage de Microsoft para hospedar la información confidencial sin contraseñas ni controles de seguridad, por lo que estos datos estuvieron a la vista de cualquier con acceso a internet durante tres meses.

Entre las corporaciones afectadas por la filtración de datos personales y fiscales se encuentran la aseguradora General de Seguros, S.A.B., el conglomerado industrial Grupo Bocar, el Grupo Empresarial Ángeles a través de la Operadora de Hospitales Ángeles y el club de futbol Gallos Blancos S.A. de C.V., las farmacias FarmaCon de FEMSA, la universidad ITESO, el Club Premier de la línea aérea Aeroméxico, las siderúrgicas ArcelorMittal y Thyssenkrupp, y la administradora de fondos para el retiro Profuturo GNP.

Primera de las siete páginas que integran el reporte confidencial de KPMG México, en el que la firma consultora hace un reporte pormenorizado de la vulneración de datos personales cometida por su personal. Da clic en la imagen para ver el reporte completo en PDF.

En el reporte interno dirigido a clientes, la compañía hace un recuento pormenorizado de lo que llamó “incidente de seguridad de la información” y asegura que estas “acciones fueron violaciones muy graves de nuestras políticas”; informa que despidió a dos personas del equipo de desarrollo y que presentó una denuncia penal ante el Ministerio Público.

En la comunicación enviada este lunes, Cabrera Siles aseguró que el 26 de febrero la autoridad de protección de datos, el Inai, “realizó una solicitud de información a KPMG en México con respecto a este suceso”. Por motivos de confidencialidad y de que la investigación está en curso, añadió, “no podemos comentar nada adicional”.

De acuerdo con la comunicación de Cabrera Siles, KPMG México “los programas de seguridad y protección de la información de KPMG se encuentran entre nuestras más altas prioridades. Nuestra capacidad de proveer servicios de alta calidad que nuestros clientes esperan no se ha visto afectada de ninguna manera”.

Y añadió: “Lamentamos profundamente este incidente y estamos comprometidos a trabajar con nuestros clientes y otras partes relacionadas para continuar protegiendo la información de los mismos”.

“Lamentamos profundamente este incidente y estamos comprometidos a trabajar con nuestros clientes y otras partes relacionadas para continuar protegiendo la información de los mismos”.

Con esta filtración, KPMG México se integra a un grupo cada vez mayor de empresas en México que han registrado filtraciones de datos personales, como Hova Health, involucrada en la exhibición de 2.34 millones de expedientes clínicos electrónicos de beneficiarios de Seguro Popular de Michoacán en 2018; la empresa de servicios de transporte Uber, que fue víctima del robo de datos personales de casi 1 millón de usuarios mexicanos en 2016, y el medio nativo digital Cultura Colectiva, que expuso 450 millones de registros con información de usuarios de Facebook en 2019.

Este artículo originalmente se publicó en El Economista el 16 de abril de 2019.

Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.

Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.

Comentarios

economicon