Empleados de KPMG descargaron facturas del SAT sin autorización y vulneraron datos personales de sus client... - Noticias - VLEX 777670073

Empleados de KPMG descargaron facturas del SAT sin autorización y vulneraron datos personales de sus client...

 
EXTRACTO GRATUITO
Foto: KPMG en Facebook

Un grupo de desarrolladores de software de KPMG México descargó sin autorización de sus titulares comprobantes fiscales digitales del Servicio de Administración Tributaria (SAT) y con ellos creó una base de datos que estuvo expuesta en internet, sin contraseñas ni controles de seguridad, entre noviembre de 2018 y enero de 2019, de acuerdo con un reporte de KPMG México enviado a clientes afectados.

En el reporte con carácter confidencial, del que este reportero tiene una copia en inglés, se hace una descripción pormenorizada de lo que KPMG México llama “incidente de seguridad de la información”, el cual lamenta “profundamente” y por el que se compromete a trabajar con los afectados para “mitigar cualquier consecuencia”. Un portavoz de una de las corporaciones involucradas confirmó, a condición de anonimato, haber recibido información de KPMG sobre el incidente.

La base de datos creada por el “pequeño grupo” de desarrolladores de KPMG México contenía a la vista de cualquiera comprobantes fiscales digitales de al menos 41 corporaciones en México, como Operadora de Hospitales Ángeles y el club de futbol Gallos Blancos (Grupo Empresarial Ángeles); las farmacias FarmaCon (FEMSA); las siderúrgicas ArcelorMittal y Thyssenkrupp; ITESO, la universidad jesuita de Guadalajara; el Club Premier de la línea aérea Aeroméxico, y la administradora de fondos para el retiro Profuturo GNP.

La información exponía datos personales y fiscales de colaboradores de clientes de KPMG México, como RFC (Registro Federal de Contribuyentes), CURP (Clave Única de Registro de Población), NSS (Número de Seguridad Social), números de cuentas bancarias, salarios o periodo de antigüedad. El reporte de KPMG México deja claro que la vulneración de los datos personales comprometidos afecta a empleados de los clientes de la firma: “En consecuencia, KPMG ha ofrecido a todos los empleados potencialmente afectados y cuya información podría haber estado en el ambiente no autorizado los servicios de monitoreo proporcionados por Experian Information Solutions, Inc”, una compañía de control de riesgos, se lee en la segunda página del reporte.

KPMG es una firma internacional que ofrece servicios de auditoría, impuestos y asesoría. En México ofrece sus servicios a entidades de las industrias de bienes de consumo, gobierno, infraestructura, automotriz, manufactura y maquila y servicios financieros. En su año fiscal terminado el 30 de septiembre pasado registró una facturación global de 29,000 millones de dólares.

En el reporte confidencial de siete páginas, fechado el 22 de febrero, KPMG México reconoce que su personal utilizó los accesos al SAT confiados por los clientes a KPMG México para descargar información fiscal, sin autorización y violando normas de seguridad y privacidad de la firma consultora. El personal de KPMG México, al que la firma identifica como un “pequeño grupo”, creó un “ambiente no autorizado” en una nube del servicio de almacenamiento Azure Blob Storage de Microsoft, para la cual utilizó una configuración sin contraseñas ni controles de seguridad. Cualquier persona con acceso a internet podía acceder a la base de datos.

El “pequeño grupo” trabajaba en el desarrollo de una tecnología llamada Plataforma Fiscal. “Los datos debieron descargarse a través de la red segura de KPMG a un servidor seguro aprobado por KPMG. En su lugar, el pequeño grupo descargó la información en un ambiente no autorizado, sin el conocimiento de la oficina de Seguridad de la Información de KPMG y en contravención a una dirección previa de dicha oficina. Todas estas acciones fueron violaciones muy graves de nuestras políticas”, dice el documento.

Este reportero pidió comentarios a KPMG México a través de dos contactos de voceros corporativos, pero hasta la publicación de este artículo no se había recibido respuesta.

Detalles de la filtración masiva de datos personales y de información fiscal fueron divulgados entre el 21 de enero y el 11 de febrero por el investigador Bob Diachenko, quien ha hecho otras revelaciones relacionadas con información personal de ciudadanos mexicanos, pero se desconocía quién había creado...

Para continuar leyendo

SOLICITA TU PRUEBA