Los turistas internacionales que viajaron a México en el 2016 y buscaron un reembolso de sus impuestos a través del servicio de MoneyBack pudieron haber tenido sus datos expuestos en internet sin ninguna protección. De acuerdo con un grupo de investigadores del Kromtech Security Services, más de 450,000 documentos de clientes de la compañía mexicana estuvieron libres en la red; en total, se habla de por lo menos 300 gigabytes de contenido.

La vulnerabilidad fue reportada durante una auditoría de seguridad de rutina realizada por el grupo de ciberseguridad en la que mostró que fue una base de datos CrouchDB mal configurada que dejó expuestos 455,028 documentos entre pasaportes, identificaciones oficiales, tarjetas de crédito, datos de boletos aéreos y más , que eran accesibles de manera pública sin la necesidad de una contraseña u otro método de autenticación para revisar o descargar el repositorio de la compañía con sede en la Ciudad de México.

En dicha base de datos que quedaron expuestos 89,623 pasaportes de turistas de países como Estados Unidos, Canadá, Argentina, Colombia e Italia. La base de datos contenía más de 300 gigabytes de información. El Economista buscó esta mañana un comentario de MoneyBack, en los teléfonos de contacto que aparecen en su sitio web, pero no fue posible encontrar a algún responsable para hablar del tema.

MoneyBack es un proveedor de reembolsos de impuestos para los viajeros internacionales y cuenta, según su sitio web, con más de 50 puntos de servicio en todo el país 19 aeropuertos y 9 puertos de cruceros , incluyendo Cancún, Los Cabos, Puerto Vallarta, Ciudad de México, la Riviera Maya, Guadalajara, Monterrey, Acapulco, Ixtapa, Cuernavaca y Mazatlán. MoneyBack ofrece a los clientes el retorno del 8.9 por ciento.

La compañía es propiedad del fondo de inversión Prorsus Capital S.A.P.I. de C.V., que dirigen Alejandro Betancourt, Emiliano Salinas Occelli y Ana María Ortes Rodríguez.

Para solicitar un reembolso de impuestos, los turistas deben de realizar una compra mínima de 1,200 pesos (unos 67 dólares) en bienes mexicanos con métodos de pago electrónico o en efectivo y sin exceder los 3,000 pesos. La compañía está afiliada con más de 6,000 comercios en México incluyendo tiendas minoristas, departamentales, de artesanías y joyería.

La Secretaría de Turismo reportó que en el 2016, México recibió a 35 millones de turistas, lo que representó un incremento de 49% respecto al año anterior.

Bob Diachenko, jefe de comunicaciones de seguridad de Kromtech, dijo en una publicación en el blog de MacKeeper Security que el almacenamiento incorrecto de datos digitales es una de las mayores amenazas que enfrentan los consumidores, las empresas y los gobiernos. Los datos se pueden copiar, copiar, reproducir muy fácilmente y un pequeño error podría exponer todo como ha demostrado este caso .

No es claro si alguien más, además de los investigadores de Kromtech, tuvo acceso a los datos expuestos en internet. MoneyBack, de acuerdo con Kromtech, tiene sus servidores en Estados Unidos. También se desconoce cuáles fueron las medidas para cerrar la vulneración de información que llevó a cabo MoneyBack.

En el 2015, MoneyBack cerró el año con el registro de 1,500 millones de pesos en ventas y la devolución de 160 millones por concepto de IVA. Del monto total de compras, 500 millones se generaron en Cancún; 650 en Cozumel, y el resto en sus sucursales en el resto del país.

[email protected]