El despacho de cobranza Recremex exhibió datos personales de 30,000 deudores en internet

El despacho de cobranza Recremex compró cartera de deuda a BBVA, Banamex, Banorte, BNP, HSBC, Invex, Afirme y American Express la subió sin contraseña a un servicio de hospedaje en la nube y, por lo menos durante un par de semanas, los datos personales de más de 30,000 personas estuvieron expuestos a cualquiera con una conexión a internet. La información vulnerada incluye nombre completo del deudor, correo electrónico, tipo de producto financiero contratado, saldo total de la deuda, número de cuenta con el acreedor original, teléfono del cliente y otro teléfono de contacto, domicilio del cliente, nombres y correos electrónicos de empleados de Recremex (gerentes de cartera y cobradores), así como nombres y correos electrónicos de agencias de análisis de riesgo como Open Road.

ACTUALIZACIÓN 21/03/2020 23:45 HORAS: Esta versión agrega los nombres de BNP y HSBC en la lista de bancos que cedieron cartera de crédito a Recremex.

Recremex (el acrónimo de Recuperación Crediticia de México, S.C.) es el nuevo protagonista de una historia que se repite. Es la historia de una compañía que utiliza servicios de hospedaje en la nube para dar tratamiento a los datos personales, pero que olvida protegerlos con contraseña y luego esos datos son indexados por algún motor de búsqueda y la información personal queda expuesta.

La historia de Recremex la hemos visto recientemente con Hova Health y los datos personales de los michoacanos inscritos en el Seguro Popular (2018); con la librería Porrúa (2019); con los datos de clientes de la agencia de consultoría KPMG (2019), y con los usuarios del sitio de contenido Cultura Colectiva (2019). No se trata de hackeos ni ciberataques, se trata de equivocaciones en la configuración de la seguridad de las bases de datos hospedadas en internet. Errores que, por impunes, seguirán ocurriendo.

Revisemos los detalles del caso Recremex. En la base de datos personales vulnerada hay nombres de clientes con saldos vencidos de 500 pesos hasta cuentas de 5.3 millones de pesos, pasando, por supuesto, por todos los escaños de deuda posibles en ese rango. Hay clientes de todo el país: de Ecatepec, de Mexicali, de Iztacalco, de Cuautla, de Tlalpan, de Cuajimalpa, de la Benito Juárez, de Zapopan, de León, de Jiquilpan. Y hay correos electrónicos, teléfonos de contacto, domicilios, saldos y tipos de deuda (créditos de nómina, tarjetas de crédito, financiamiento para compra de autos). No se discrimina por tipo de deudor: están desde el notario 23, con las iniciales JCTG (evito exhibir su nombre y su lugar de residencia) hasta responsables de constructoras, inmobiliarias, papelerías, refaccionarias y tiendas de uniformes.

Llamé a las oficinas de Recremex para pedir comentarios respecto a esta vulneración de datos personales. Me respondió una persona que dijo ser parte del “área de calidad” y me dijo: “No tengo tengo conocimiento de esa información. La información es inexacta. No tengo idea a qué se refiere”. Como si el hecho de ignorar o desconocer algo hiciera desaparecer el problema.

La filtración de datos ocurrió desde el servidor 34.208.170.67 en Amazon Web Services y estuvo disponible para cualquier usuario a través del motor de búsqueda censys.io, especializado en rastrear contenido en la nube. La disponibilidad duró por lo menos dos semanas hasta el 3 de marzo de 2020. La vulneración fue denunciada primero por el investigador en seguridad de la información Alex Gor en un canal de expertos en ciberseguridad del sitio Reddit.

“Esta fuga de datos personales se produjo debido a una configuración equivocada del servidor web Apache y a graves violaciones en el almacenamiento de datos personales”, me dijo Gor consultado sobre el caso. No se necesita ser genio ni experto en computación para identificar la gravedad del asunto.