La filtración de información expuso a la vista de cualquiera con acceso a internet datos personales y fiscales de empleados de por lo menos 41 clientes de la firma consultora en México
KPMG México
confirmó que a finales de enero de 2019 detectó “que cierta información de
algunos clientes estuvo comprometida ante un tercero no autorizado”, por lo que
inició una investigación y tomó “acciones correctivas decisivas con la
diligencia debida”. Esta filtración de información, que duró de noviembre de
2018 a enero de 2019, expuso a la vista de cualquiera con acceso a internet
datos personales y fiscales de empleados de por lo menos 41 clientes de la
firma consultora en México, publicó El Economista el domingo pasado.
“Por motivos
de confidencialidad con nuestros clientes, no estamos en posibilidades de
proporcionar detalles adicionales, aunque sin duda estamos trabajando de manera
cercana con los clientes involucrados”, dijo Roberto Cabrera Siles, socio de
KPMG México a cargo de comunicación con medios, en un correo electrónico
enviado a este medio.
El
Economista publicó que empleados de KPMG México descargaron sin autorización de
sus titulares millones de comprobantes fiscales digitales (CFDI) del Servicio
de Administración Tributaria (SAT) y con ellos crearon una base de datos que
estuvo expuesta en internet, sin contraseñas ni controles de seguridad, entre
noviembre de 2018 y enero de 2019. Se calcula que el volumen de la filtración
es de 4.98 millones de documentos.
En un
reporte interno confidencial fechado el 22 de febrero, del cual este reportero
tiene una copia, KPMG México detalla que un “pequeño grupo” de empleados de la
compañía utilizó el servicio de almacenamiento Azure Blob Storage de Microsoft
para hospedar la información confidencial sin contraseñas ni controles de
seguridad, por lo que estos datos estuvieron a la vista de cualquier con acceso
a internet durante tres meses.
Entre las
corporaciones afectadas por la filtración de datos personales y fiscales se
encuentran la aseguradora General de Seguros, S.A.B., el conglomerado
industrial Grupo Bocar, el Grupo Empresarial Ángeles a través de la Operadora
de Hospitales Ángeles y el club de futbol Gallos Blancos S.A. de C.V., las
farmacias FarmaCon de FEMSA, la universidad ITESO, el Club Premier de la línea
aérea Aeroméxico, las siderúrgicas ArcelorMittal, Thyssenkrupp, y la
administradora de fondos para el retiro Profuturo GNP.
En el
reporte interno dirigido a clientes, la compañía hace un recuento pormenorizado
de lo que llamó “incidente de seguridad de la información” y asegura que estas
“acciones fueron violaciones muy graves de nuestras políticas”; informa que
despidió a dos personas del equipo de desarrollo y que presentó una denuncia
penal ante el Ministerio Público.
En la
comunicación enviada este lunes a El Economista, Cabrera Siles aseguró que el
26 de febrero la autoridad de protección de datos, el Inai, “realizó una
solicitud de información a KPMG en México con respecto a este suceso”. Por
motivos de confidencialidad y de que la investigación está en curso, añadió,
“no podemos comentar nada adicional”.
De acuerdo
con la comunicación de Cabrera Siles, KPMG México “los programas de seguridad y
protección de la información de KPMG se encuentran entre nuestras más altas
prioridades. Nuestra capacidad de proveer servicios de alta calidad que
nuestros clientes esperan no se ha visto afectada de ninguna manera”.
Y añadió:
“Lamentamos profundamente este incidente y estamos comprometidos a trabajar con
nuestros clientes y otras partes relacionadas para continuar protegiendo la
información de los mismos”.
Con esta
filtración, KPMG México se integra a un grupo cada vez mayor de empresas en
México que han registrado filtraciones de datos personales, como Hova Health,
involucrada en la exhibición de 2.34 millones de expedientes clínicos
electrónicos de beneficiarios de Seguro Popular de Michoacán en 2018; la empresa
de servicios de transporte Uber, que fue víctima del robo de datos personales
de casi 1 millón de usuarios mexicanosen 2016, y el medio nativo digital
Cultura Colectiva, que expuso 450 millones de registros con información de
usuarios de Facebook en 2019.
Más información
#HablemosDeSeguridad
Vía @vanguardia