Librería Porrúa confirma que 1.14 millones de sus clientes fueron afectados por filtración de datos personales

La cadena mexicana Librería Porrúa confirmó a El Economista que datos personales de 1 millón 149,177 de sus clientes estuvieron expuestos en internet sin contraseñas ni herramientas de autentificación. En la vulneración no fueron expuestos medios de pago ni contraseñas de los consumidores, dijo Édgar Gobea, gerente de Tecnología de Librería Porrúa.

Este jueves se publicó en el sitio Comparitech una investigación que revela que 2.1 millón de registros con datos personales de consumidores de Porrúa estuvieron expuestos durante algunos días de julio de 2019 en una base de datos abierta e indexada a la que cualquier podía acceder. La infomación incluía nombres de clientes, facturas, números telefónicos, direcciones de correo electrónico, domicilios de envío y otras informaciones de carácter personal.

Según Comparitech, un sitio especializado en comparación de servicios de tecnología para consumidores finales, supuestos hackers tuvieron acceso a la información y exigieron una recompensa en bitcoins por el equivalente a 500 dólares. Comparitech dijo desconocer si Porrúa había accedido a la extorsión.

En entrevista con El Economista, Érika Carrillo, gerente de Comunicación de Librería Porrúa, dijo que nunca se realizó un pago a ningún hacker ni recibieron información relacionada con una extorsión.

“Nosotros no hicimos ningún pago y no recibimos ninguna petición de información. La verdad es que a nosotros es algo que nos parece un poco absurdo, porque 500 dólares —si estamos hablando de una información que supuestamente manejan, que es muy valiosa— honestamente es muy absurdo. Con el valor que tiene esta base de la que estás hablando, que tiene tarjetas de crédito, es completamente falso”, dijo Carrillo.

Diachenko ha estado involucrado en la revelación de otras vulneraciones de bases de datos con información personal de ciudadanos mexicanos, como en las filtraciones de la proveedora de servicios de imagenología Hova Health en Michoacán, la startup de contabilidad Enconta y la consultora internacional KPMG.

Librería de Porrúa Hermanos y Cía. S.A de C.V. fue fundada en 1900. En su sitio web asegura contar con más de 75 sucursales en México. 

Detalles de la filtración

Édgar Gobea, gerente de Tecnología de Porrúa, dijo a El Economista que las bases de datos que estuvieron expuestas (una, con 1.2 millones de registros; la otra, con 985,000 registros) son antiguas y, por tanto, desactualizadas.

“Creemos que es una base de datos de desarrollo antigua, no es ni base de datos de producción,. Con esto me refiero a la que está viva en el sitio, a la que tú accedes como cliente. ¿Como lo sabemos? Vemos que el medio [Comparitech] menciona que son alrededor de 200,000 registros de clientes, nosotros actualmente traemos 1.2 millones, y los campos y los tamaños de las bases de datos son diferentes a lo que tenemos hoy. Hasta donde hemos podido investigar, esta base de datos —insisto— es de desarrollo y es una base de hace dos años”, dijo Gobea.

“Sí tiene información del usuario, como bien mencionas: es su nombre, su contraseña, su dirección, teléfono, pero lo que no almacenamos nosotros son los medios de pago. Esos no los almacenamos porque usamos una tercera instancia certificadora. En este caso usamos a 3D Secure [un medio de pago electrónico administrado por Visa y Mastercard], pues ellos nos certifican justo para que yo no almacene datos y todo pase a través de sus sistemas, ellos son los que utilizan las transacciones”, dijo Gobea.

Érika Carrillo dijo que luego de tener noticia sobre la vulneración de datos personales de 1.4 millones de sus clientes, “se activó el protocolo y ya se está enviando un mail a todos los usuarios haciéndoles el conocimiento de esta información, en el cual suponemos que sus datos están vulnerables, haciéndoles la advertencia e invitándolos, en lo que refiere a nuestro sitio, a cambiar la contraseña”.

Además del correo electrónico de advertencia —cuyo envío se inició este mismo jueves, de acuerdo con Carrillo y Gobea—, la compañía modificará los accesos a su plataforma electrónica y reforzará sus protocolos de seguridad.

Libería Porrúa confirmó que se tomarán “las medidas legales conducentes, que es denunciar los hechos con la información que estamos recabando, fundamentalmente la información técnica”, dijo Flor María Díaz, de la Coordinación Jurídica de Librería Porrúa. “Vamos a poner en conocimiento de las autoridades para que también se siga por las vías conducentes y en el mejor de los casos ubiquemos a quien está haciendo esta situación”, dijo Díaz.

“Nosotros fuimos pioneros en el comercio electrónico y desde hace 18 años no habíamos presentado una situación similar en la que nosotros hubiéramos estado enterados que que esto haya sucedido. Es importante mencionar que vamos a reforzar todos los esfuerzos técnicos y humanos que haya que hacer para que no vuelva a suceder esta situación”, dijo Érika Carrillo.

rodrigo.riquelme@eleconomista.mx