KPMG México confirmó que a finales de enero de 2019 detectó “que cierta información de algunos clientes estuvo comprometida ante un tercero no autorizado”, por lo que inició una investigación y tomó “acciones correctivas decisivas con la diligencia debida”. Esta filtración de información, que duró de noviembre de 2018 a enero de 2019, expuso a la vista de cualquiera con acceso a internet datos personales y fiscales de empleados de por lo menos 41 clientes de la firma consultora en México, publicó El Economista el domingo pasado.

“Por motivos de confidencialidad con nuestros clientes, no estamos en posibilidades de proporcionar detalles adicionales, aunque sin duda estamos trabajando de manera cercana con los clientes involucrados”, dijo Roberto Cabrera Siles, socio de KPMG México a cargo de comunicación con medios, en un correo electrónico enviado a este medio.

El Economista publicó que empleados de KPMG México descargaron sin autorización de sus titulares millones de comprobantes fiscales digitales (CFDI) del Servicio de Administración Tributaria (SAT) y con ellos crearon una base de datos que estuvo expuesta en internet, sin contraseñas ni controles de seguridad, entre noviembre de 2018 y enero de 2019. Se calcula que el volumen de la filtración es de 4.98 millones de documentos.

En un reporte interno confidencial fechado el 22 de febrero, del cual este reportero tiene una copia, KPMG México detalla que un “pequeño grupo” de empleados de la compañía utilizó el servicio de almacenamiento Azure Blob Storage de Microsoft para hospedar la información confidencial sin contraseñas ni controles de seguridad, por lo que estos datos estuvieron a la vista de cualquier con acceso a internet durante tres meses.

Entre las corporaciones afectadas por la filtración de datos personales y fiscales se encuentran la aseguradora General de Seguros, S.A.B., el conglomerado industrial Grupo Bocar, el Grupo Empresarial Ángeles a través de la Operadora de Hospitales Ángeles y el club de futbol Gallos Blancos S.A. de C.V., las farmacias FarmaCon de FEMSA, la universidad ITESO, el Club Premier de la línea aérea Aeroméxico, las siderúrgicas ArcelorMittal, Thyssenkrupp, y la administradora de fondos para el retiro Profuturo GNP.

En el reporte interno dirigido a clientes, la compañía hace un recuento pormenorizado de lo que llamó “incidente de seguridad de la información” y asegura que estas “acciones fueron violaciones muy graves de nuestras políticas”; informa que despidió a dos personas del equipo de desarrollo y que presentó una denuncia penal ante el Ministerio Público.

En la comunicación enviada este lunes a El Economista, Cabrera Siles aseguró que el 26 de febrero la autoridad de protección de datos, el Inai, “realizó una solicitud de información a KPMG en México con respecto a este suceso”. Por motivos de confidencialidad y de que la investigación está en curso, añadió, “no podemos comentar nada adicional”.

De acuerdo con la comunicación de Cabrera Siles, KPMG México “los programas de seguridad y protección de la información de KPMG se encuentran entre nuestras más altas prioridades. Nuestra capacidad de proveer servicios de alta calidad que nuestros clientes esperan no se ha visto afectada de ninguna manera”.

Y añadió: “Lamentamos profundamente este incidente y estamos comprometidos a trabajar con nuestros clientes y otras partes relacionadas para continuar protegiendo la información de los mismos”.

Con esta filtración, KPMG México se integra a un grupo cada vez mayor de empresas en México que han registrado filtraciones de datos personales, como Hova Health, involucrada en la exhibición de 2.34 millones de expedientes clínicos electrónicos de beneficiarios de Seguro Popular de Michoacán en 2018; la empresa de servicios de transporte Uber, que fue víctima del robo de datos personales de casi 1 millón de usuarios mexicanos en 2016, y el medio nativo digital Cultura Colectiva, que expuso 450 millones de registros con información de usuarios de Facebook en 2019.

Corporaciones vinculadas con la filtración de KPMG México
Información fiscal de por lo menos 41 corporaciones en México fue localizada en una base de datos sin contraseñas ni controles de seguridad, por lo que cualquier persona con acceso a internet podía acceder a los documentos. La base de datos fue creada por un “pequeño grupo” de desarrolladores de tecnología fiscal de KPMG México.
  Corporación Documentos expuestos
1 General de Seguros, S.A.B. 657,300
2 Carl Zeiss Visión Manufactura de México, S. de R.L. de C.V. 539,211
3 Cummins Grupo Industrial, S. de R.L. de C.V. 415,051
4 FarmaCon, S.A. de C.V. (Grupo FEMSA) 335,960
5 Operadora de Hospitales Ángeles, S.A. de C.V. (Grupo Empresarial Ángeles) 242,413
6 Fanosa, S.A. de C.V. 192,445
7 Alphabet de México, S.A. de C.V. 172,019
8 ITESO, A.C. 168,145
9 Fugra Servicios, S.A. de C.V. (Grupo Bocar) 145,997
10 Auma Servicios, S.A. de C.V. (Grupo Bocar) 115,236
11 Alphabet de México de Monclova, S.A. de C.V. 107,626
12 Auma Lerma Servicios, S.A. de C.V. (Grupo Bocar) 100,263
13 Arris Group de México, S.A. de C.V. 93,542
14 Auma Salt Servicios, S.A. de C.V. (Grupo Bocar) 88,916
15 Bocar Servicios, S.A. de C.V. (Grupo Bocar) 82,069
16 Servicios Profesionales Petroleros, S. de R.L. de C.V. 76,150
17 Prime Wheel México, S. de R.L. de C.V. 67,771
18 Pulidora de Baja California, S.A. de C.V. 65,774
19 Plastic Servicios, S.A. de C.V. (Grupo Bocar) 65,042
20 Thyssenkrupp Components Technology de México S.A. de C.V. 61,235
21 Service Zone, S. de R.L. de C.V. 41,999
22 Mersen de México Juárez, S.A. de C.V. 41,119
23 Termocontroles de Juárez, S.A. de C.V. 39,914
24 Digital Appliance Controls de México, S.A. de C.V. (SigmaTron International, Inc.) 34,613
25 PLM Premier, S.A.P.I. de C.V. (Club Premier de Aeroméxico) 27,797
26 Kalischatarra, S. de R.L. de C.V. 21,694
27 Liberty Cartón de México, S. de R.L. de C.V. 20,506
28 Auma San Luis Servicios, S.A. de C.V. (Grupo Bocar) 19,271
29 Auma Querétaro, S.A. de C.V. (Grupo Bocar) 18,099
30 Plastic Servicios Slp, S.A. de C.V. (Grupo Bocar) 14,979
31 Gbt Servicios Profesionales, S. de R.L. de C.V. 14,021
32 ArcelorMittal Servicios de Monterrey, S.A. de C.V. 12,505
33 Tyco Electronics Mexico, S. de R.L. de C.V. 10,407
34 Servicios Mexicanos De Manufactura S. de R.L. de C.V. 8,004
35 Tequila Don Julio Servicios, S.A. de C.V. 7,503
36 LP Logística en Recursos Humanos, S.A. de C.V. (Engenium Capital) 2,822
37 Hasmex Servicios, S.A. de C.V. 2,320
38 Zone Compra S. de R.L. de C.V. 2,296
39 Club Gallos Blancos, S.A. de C.V. (Grupo Empresarial Ángeles) 2,160
40 Mssl Wirings Juárez, S.A. de C.V. 1,968
41 Profuturo GNP, S.A de C.V., SOFOM, E.N.R. 1,618
  Total de documentos identificados con estas 41 compañías: 4,137,780
Fuente: Economicón y Security Discovery.