Empleados de KPMG descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes

Un grupo de desarrolladores de software de KPMG México descargó sin autorización de sus titulares comprobantes fiscales digitales del Servicio de Administración Tributaria (SAT) y con ellos creó una base de datos que estuvo expuesta en internet, sin contraseñas ni controles de seguridad, entre noviembre de 2018 y enero de 2019, de acuerdo con un reporte de KPMG México enviado a clientes afectados.

En el reporte con carácter confidencial, del que este reportero tiene una copia en inglés, se hace una descripción pormenorizada de lo que KPMG México llama “incidente de seguridad de la información”, el cual lamenta “profundamente” y por el que se compromete a trabajar con los afectados para “mitigar cualquier consecuencia”. Un portavoz de una de las corporaciones involucradas confirmó, a condición de anonimato, haber recibido información de KPMG sobre el incidente.

• ACTUALIZACIÓN 15/04/2019: KPMG México confirma filtración de datos de sus clientes; “lamentamos profundamente este incidente”

La base de datos creada por el “pequeño grupo” de desarrolladores de KPMG México contenía a la vista de cualquiera comprobantes fiscales digitales de al menos 41 corporaciones en México, como Operadora de Hospitales Ángeles y el club de futbol Gallos Blancos (Grupo Empresarial Ángeles); las farmacias FarmaCon (FEMSA); las siderúrgicas ArcelorMittal y Thyssenkrupp; ITESO, la universidad jesuita de Guadalajara; el Club Premier de la línea aérea Aeroméxico, y la administradora de fondos para el retiro Profuturo GNP.

La información exponía datos personales y fiscales de colaboradores de clientes de KPMG México, como RFC (Registro Federal de Contribuyentes), CURP (Clave Única de Registro de Población), NSS (Número de Seguridad Social), números de cuentas bancarias, salarios o periodo de antigüedad. El reporte de KPMG México deja claro que la vulneración de los datos personales comprometidos afecta a empleados de los clientes de la firma: “En consecuencia, KPMG ha ofrecido a todos los empleados potencialmente afectados y cuya información podría haber estado en el ambiente no autorizado los servicios de monitoreo proporcionados por Experian Information Solutions, Inc”, una compañía de control de riesgos, se lee en la segunda página del reporte.

KPMG es una firma internacional que ofrece servicios de auditoría, impuestos y asesoría. En México ofrece sus servicios a entidades de las industrias de bienes de consumo, gobierno, infraestructura, automotriz, manufactura y maquila y servicios financieros. En su año fiscal terminado el 30 de septiembre pasado registró una facturación global de 29,000 millones de dólares.

En el reporte confidencial de siete páginas, fechado el 22 de febrero, KPMG México reconoce que su personal utilizó los accesos al SAT confiados por los clientes a KPMG México para descargar información fiscal, sin autorización y violando normas de seguridad y privacidad de la firma consultora. El personal de KPMG México, al que la firma identifica como un “pequeño grupo”, creó un “ambiente no autorizado” en una nube del servicio de almacenamiento Azure Blob Storage de Microsoft, para la cual utilizó una configuración sin contraseñas ni controles de seguridad. Cualquier persona con acceso a internet podía acceder a la base de datos.

El “pequeño grupo” trabajaba en el desarrollo de una tecnología llamada Plataforma Fiscal. “Los datos debieron descargarse a través de la red segura de KPMG a un servidor seguro aprobado por KPMG. En su lugar, el pequeño grupo descargó la información en un ambiente no autorizado, sin el conocimiento de la oficina de Seguridad de la Información de KPMG y en contravención a una dirección previa de dicha oficina. Todas estas acciones fueron violaciones muy graves de nuestras políticas”, dice el documento.

Este reportero pidió comentarios a KPMG México a través de dos contactos de voceros corporativos, pero hasta la publicación de este artículo no se había recibido respuesta.

Detalles de la filtración masiva de datos personales y de información fiscal fueron divulgados entre el 21 de enero y el 11 de febrero por el investigador Bob Diachenko, quien ha hecho otras revelaciones relacionadas con información personal de ciudadanos mexicanos, pero se desconocía quién había creado la base de datos expuesta. Hoy sabemos que fue personal de KPMG México. En una publicación en el blog especializado en ciberseguridad Security Discovery, Diachenko aseguró que la base de datos contenía 4.98 millones de comprobantes fiscales conocidos como CFDI (Comprobante Fiscal Digital por Internet).

El reporte de KPMG registra que un cliente de la consultora escribió a un miembro del “pequeño grupo” de desarrolladores para preguntarle sobre las publicaciones de Diachenko en la red social Twitter el 29 de enero; ese mismo día, y de nuevo sin autorización de la firma consultora —continúa el reporte—, el “pequeño grupo” eliminó de Azure Blob Storage el llamado “ambiente no autorizado”.

KPMG México asegura en su reporte confidencial que presentó una denuncia penal relacionada con este incidente ante la Fiscalía General de la República. Señala que despidió a dos personas del “pequeño grupo” y suspendió al resto —el número es desconocido—, en espera de acciones disciplinarias según lo determine una investigación interna, que inició el 29 de enero pasado. En la revisión del incidente se involucró el equipo de KPMG Estados Unidos y se notificó a KPMG International.

Una fuente consultada por este reportero a condición de no revelar su nombre aseguró que, días después de darse a conocer detalles de la filtración en medios sociales, aun sin conocerse públicamente el nombre de la compañía responsable, un empleado de KPMG México buscó asesoría jurídica penal luego de ser “corrido ipso facto”. La fuente aseguró que el empleado estuvo “como en un interrogatorio dentro de las oficinas” y al terminar “no le querían regresar su identificación”.

Extorsión

Tanto Diachenko en su cuenta en Twitter como KPMG México en su reporte confidencial hablan de un intruso que supuestamente hizo una copia de la base de datos hospedada en Azure Blob Storage y, posteriormente, exigió un “rescate” en la criptomoneda bitcoin. El 23 de enero “Se colocó una nota de rescate en el ambiente no autorizado, indicando que la información había sido capturada. La nota exigía 0.5 Bitcoin a cambio de la devolución de la información”, se lee en el recuento de hechos de KPMG. La extorsión equivalía a 34,000 pesos al valor de la criptomoneda y del peso mexicano en dólares ese día.

En un tuit publicado el 23 de enero, Diachenko escribió: “Entonces le tomó a los cibercriminales sólo dos días encontrar y barrer toda una base de datos desprotegida en MongoDB —un sistema de base de datos de código abierto muy popular entre desarrolladores—con casi 5 millones de facturas electrónicas mexicanas (CFD), con un montón de información personal involucrada. La base de datos parece ser administrada por un proveedor aún desconocido, con algunas grandes compañías involucradas”. Se buscó algún comentario adicional de Diachenko para este artículo, pero no hubo respuesta.

Se desconoce si KPMG México se vinculó con las demandas de la supuesta extorsión y pagó el rescate. También se desconoce si algún intruso hizo una copia de la base de datos. KPMG asegura en su reporte que, “a través de entrevistas con el pequeño grupo” de desarrolladores, pudo saber que este equipo nunca hizo una copia de la información comprometida. También dice que solicitó apoyo a Microsoft, proveedor de los servicios de Azure Blob Storage, para restaurar e identificar los accesos registrados a la base de datos, pero “Microsoft no pudo hacerlo y tampoco contaba con los registros de seguridad”.

Esta filtración de casi 5 millones de documentos con datos personales y fiscales de ciudadanos mexicanos se suma a una lista cada vez mayor de vulneraciones masivas cometidas por corporaciones en México, como la exhibición de 2.34 millones de expedientes clínicos electrónicos de beneficiarios de Seguro Popular de Michoacán, en la que estuvo involucrada la compañía mexicana Hova Health en 2018; el robo de datos personales de casi 1 millón de usuarios mexicanos de la empresa de servicios de transporte Uber en 2016, y la exposición de 450 millones de registros con información perteneciente a usuarios de Facebook por parte del medio nativo digital Cultura Colectiva conocida el 3 de abril de 2019.

KPMG México confirma filtración

Roberto Cabrera Siles, socio de KPMG México a cargo de comunicación con medios, envió una comunicación a este reportero el lunes 15 de abril en la que confirmó el “incidente de seguridad de la información” y afirma que la compañía inició una investigación al respecto de manera inmediata.

“A finales de enero de 2019, la firma miembro de KPMG International en México detectó que cierta información de algunos clientes estuvo comprometida ante un tercero no autorizado. Por motivos de confidencialidad con nuestros clientes, no estamos en posibilidades de proporcionar detalles adicionales, aunque sin duda estamos trabajando de manera cercana con los clientes involucrados”, escribió Cabrera.

En la comunicación, el ejecutivo de KPMG aseguró que el 26 de febrero la autoridad de protección de datos, el Inai, “realizó una solicitud de información a KPMG en México con respecto a este suceso”. Por motivos de confidencialidad y de que la investigación está en curso, añadió, “no podemos comentar nada adicional”.

Reproduzco a continuación la comunicación íntegra de Cabrera Siles:

Estimado José y Luis Miguel,

Respondiendo a tu solicitud de información sobre el incidente informático en el cual estamos involucrados, te comparto nuestra postura:

• A finales de enero de 2019, la firma miembro de KPMG International en México detectó que cierta información de algunos clientes estuvo comprometida ante un tercero no autorizado. Por motivos de confidencialidad con nuestros clientes, no estamos en posibilidades de proporcionar detalles adicionales, aunque sin duda estamos trabajando de manera cercana con los clientes involucrados.
• Al descubrir lo anterior, KPMG en México inició inmediatamente una investigación, y ha tomado y continuará tomando las acciones correctivas decisivas para abordar este asunto con la diligencia debida.
• Además, se ha iniciado una denuncia penal ante las autoridades mexicanas correspondientes, de modo que se pueda iniciar una investigación en contra de las personas que resulten responsables.
• Los programas de seguridad y protección de la información de KPMG se encuentran entre nuestras más altas prioridades. Nuestra capacidad de proveer servicios de alta calidad que nuestros clientes esperan no se ha visto afectada de ninguna manera
• Lamentamos profundamente este incidente y estamos comprometidos a trabajar con nuestros clientes y otras partes relacionadas para continuar protegiendo la información de los mismos.

Con  base en tu pregunta sobre el INAI, te comentó lo siguiente:

• El 26 de febrero de 2019, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) realizó una solicitud de información a KPMG en México con respecto a este suceso. KPMG Cárdenas Dosal, S.C. está comprometida a cooperar cabalmente con la solicitud del INAI.

Agradecemos tu comunicación  y me reitero a tus órdenes.

Saludos,

Roberto Cabrera Siles

Socio

KPMG Cárdenas Dosal, S.C.

Manuel Avila Camacho 176

11650 México, D.F.

Tél.: +52 (55) 5246 8790

Conm.: +52 (55) 5246 8300

www.kpmg.com.mx