Desprotegió KPMG datos de empresas

75

Dejan en la nube sin protección los perfiles y hacker pide rescate.

Jessika Becerra

La falta de controles de la firma de consultoría KPMG ocasionaron que información fiscal de 41 empresas que operan en México se expusiera en la red sin protección, con lo que fue posible que un hacker pidiera a afectados dinero como rescate por recuperarla.

La exposición de datos en una nube sin vigilancia ocurrió entre noviembre de 2018 y enero de 2019, y desde febrero el Instituto Nacional de Transparencia, Acceso a la Información de Datos Personales (INAI) investiga el incidente.

Además KPMG se encuentra sujeta de investigación por parte de la Procuraduría de Justicia de la Ciudad de México.

De acuerdo con documentos de la indagatoria, las firmas afectadas fueron contactadas por un hacker que les pidió 0.5 bitcoin como rescate por la información.

En un documento enviado a clientes por KPMG, que describe el incidente, se detalla que, de noviembre del 2018 a enero del 2019, un pequeño grupo de empleados de esta compañía incumplieron protocolos de protección de datos, al almacenar información fiscal en una nube que estaba fuera de la infraestructura tecnológica de la empresa.

Como consecuencia, al menos un tercero no autorizado, posiblemente hacker, sustrajo una parte de la información que se encontraba en esa base de datos integrada a la nube de Microsoft Azure.

La base contenía información de formato XML para Comprobantes Fiscales Digitales por Internet (CFDI), que podían haber incluido datos como RFC, números de seguridad social, CURP, salarios y prestaciones de los empleados y números de cuentas bancarias.

Los documentos señalan que el 30 de enero del 2019, los equipos de seguridad informática y legal de KPMG fueron notificados de que al menos un hacker tuvo acceso a la base de datos. Francisco Javier Acuña, comisionado presidente del INAI calificó la posible filtración como grave y explicó que la indagatoria inició cuando un especialista en vulnerabilidades llamado Bob Diachenko, los alertó.

Según información publicada por Diachenko, entre las 41 compañías están la red de Hospitales Ángeles, Profuturo GNP, Tequila Don Julio y el Club Gallos Blancos, quienes le confiaron al despacho más de 600 mil registros con datos de nómina de sus empleados e información de sus proveedores.

Acuña explicó que las empresas privadas no están obligadas a avisar al INAI cuando su información esExponen información de 41 compañías que operan en México tuvo expuesta, por lo se buscará una reforma que lo haga obligatorio. KPMG, una de las cuatro consultoras financieras más grandes del País, comunicó por escrito a sus clientes que al menos un tercero sustrajo la información expuesta, y que el 1 de febrero denunció el incidente ante el Ministerio Público