INAI: Liverpool violó Ley de protección de datos por no tener medidas de seguridad adecuadas

La cadena de tiendas departamentales impugnó una resolución del INAI para evitar temporalmente enfrentar sanciones por presuntas violaciones de la Ley de protección de datos.

Sickillers se adjudicó el hackeo a sistemas informáticos de Liverpool y publicó parte de la información en páginas de la plataforma de redes sociales Facebook.

El hackeo a Liverpool del año 2014 y la filtración masiva de información y datos personales no han sido todavía esclarecidos. La empresa ha sido remisa en informar a sus clientes sobre la vulneración de sus datos personales mientras las autoridades encargadas de realizar las investigaciones no han proporcionado información relevante sobre el caso. En respuesta a una solicitud de acceso a información por parte de SonTusDatos, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”) reveló que la cadena de tiendas departamentales impugnó su resolución de verificación, lo cual tiene por efecto de ocultar al público las razones por las cuales tendría que ser sancionada y evita temporalmente enfrentar sanciones por presuntas violaciones a la Ley. El INAI argumenta que ha clasificado los detalles del caso como reservados, argumentando que el expediente contiene información de particulares y de medidas de seguridad de la empresa con carácter de “confidencial”, “reservada” y “comercial reservada”.

EL CASO

A finales de diciembre de 2014, la empresa de tiendas departamentales Liverpool sufrió un ataque informático que derivó en la filtración de información privada y datos personales de directivos, trabajadores y clientes de la empresa. El grupo autodenominado “Sickillers” dio a conocer en páginas de Facebook y en blogs que tenía acceso completo a los sistemas internos de la compañía. Como muestra de su dicho, el grupo de hackers filtró información que contenía expedientes judiciales, manuales corporativos de uso interno, documentos oficiales de la Secretaría de Hacienda y Crédito Público (“SHCP”), documentos bancarios, diagramas técnicos, información técnica de sus sistemas, proyectos internos de negocio, planos arquitectónicos, manuales, auditorías, datos sobre fraudes, directorio y fotografías de trabajadores, así como documentos y datos personales de clientes y directivos de la empresa.

Liverpool (formalmente “El Puerto de Liverpool S.A.B. de C.V.”) es considerado uno de los emisores de crédito al consumo más grande de México. En 2014, se posicionó como la tercera entidad con mayor número de tarjetas de crédito emitidas, con 3.4 millones de tarjetas, y la cuarta entidad con mayor saldo de crédito otorgado, con 28 billones de pesos.

Comunicado de evento relevante de Liverpool a la Bolsa Mexicana de Valores, del 24 de diciembre de 2014.La empresa cotiza en la Bolsa Mexicana de Valores (“BMV”), por ello está sujeta a cumplir las obligaciones que marca la Ley del Mercado de Valores, así como el reglamento interno de la BMV. Por esta razón, debe informar a la Comisión de la BMV, y al público en general, los “eventos relevantes” que la afectan, como lo es el caso de un robo de información. Por tal motivo, el 24 de diciembre de 2014, Liverpool emitió un comunicado donde informaba que la empresa había sido víctima de un intento de extorsión que supuestamente buscaba dañar su reputación. Así miso, dio a conocer que los supuestos autores del hecho lograron una intrusión en correos electrónicos del personal y también “obtuvieron información de algunos clientes”. La empresa denunció esos hechos ante las autoridades e informó a sus inversionistas que el riesgo derivado de dicha intrusión era bajo.

La posición de la compañía fue ambigua, pues no se aclaró si el riesgo “bajo” se refería a las acciones bursátiles de la empresa o riesgo para sus clientes, ni explicaron los alcances de la intrusión. Si bien la notificación hecha a la BMV se centró en información para los inversionistas, tampoco se emitió alguna declaración pública o boletín de prensa posterior que informara si la vulnerabilidad había sido resuelta, si los clientes tenían que realizar alguna comprobación de seguridad, o si sus datos habían sido comprometidos. En su comunicado dirigido a la BMV, Liverpool admitió que los hackers habían obtenido la información “de algunos clientes”, pero no aclaró en algún momento posterior qué tipo de datos eran o si eso suponía un riesgo para la comisión de otros delitos, como clonación de tarjetas o suplantación de identidad.

El portal de noticias Sin Embargo entrevistó a algunos clientes de Liverpool que declararon no haber recibido ninguna notificación sobre el robo de datos personales. Leticia Carranza, una de las clientes entrevistadas, mostró su preocupación ante posibles llamadas de extorsión que se pudieran desencadenar y señaló que ni en el momento de suscribirse con Liverpool, ni posteriormente, recibió información sobre la protección que la empresa da a los datos personales de sus clientes.

“Cuando recién saqué mi tarjeta de Liverpool, empecé a recibir llamadas de números con ladas de diferentes partes del país; cuando contestaba nadie hablaba […] busqué esos teléfonos en Internet y encontré que ya habían sido registrados como de fraude. Se me hizo muy raro que saqué la tarjeta y de inmediato comenzaron las llamadas”.

Otra clienta, Elsa García indicó que los datos que la cadena le solicitó para sacar su tarjeta fueron comprobantes de domicilio, teléfonos personales y de sus referencias, copias de la credencial de elector y el talón de pago de su actual empleo De acuerdo a estimaciones de Juan Pablo Castro, director de Innovación de Trend Micro en México, el hackeo que sufrió la cadena departamental Liverpool podría costarle al menos 88.5 millones de pesos, considerando los ingresos de la compañía y contemplando una eventual compensación del daño a sus clientes así como multas impuestas por parte de la autoridad.

EL HACKEO

El grupo Sickillers concedió vía correo electrónico una entrevista al sitio FayerWayer y aseguró que tenía en su poder millones de registros de clientes de Liverpool, así como datos personales y números de tarjetas de crédito. Esas declaraciones fueron acompañadas de la filtración de más datos con información confidencial de la empresa, lo que ponía en entre dicho la clasificación de “bajo riesgo” con la que Liverpool calificó el ataque, pues expuso planes de estrategias comerciales, correos electrónicos de empleados y detalles de la infraestructura de sus sistemas informáticos. Sickillers declaró:

“La principal razón entre todas es: porque podemos y disfrutamos hacerlo. El alcance de este hack es un acceso total a su infraestructura, por seis años hemos estado accediendo y documentado cada mínima parte de sus sistemas; contamos con todas sus bases de datos, códigos fuentes, correos, datos e información de sus directivos y de los clientes.”

El grupo también declaró que enviarían a los usuarios afectados correos electrónicos con sus datos personales con una invitación para denunciar a la empresa por sus fallas de seguridad, sin que se pueda confirmar hasta el momento que esto realmente haya sucedido.

“[También] en Facebook y por correo electrónico estamos liberando información poco a poco. Así mismo estamos haciendo llegar a clientes afectados su información sugiriendo tomar acciones legales contra la empresa “

Datos de transacciones bancarias e información de tarjetas de crédito filtrados por el grupo sickillers.

Datos de transacciones bancarias e información de tarjetas de crédito filtrados por el grupo Sickillers.

Después del comunicado del 24 de diciembre de 2014, Liverpool no se pronunció nuevamente sobre el caso, a pesar de diversas solicitudes de comentarios por parte de clientes para saber cuál era el alcance del ataque y el número real o estimado de los usuarios afectados.

Al respecto, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece en su artículo 39 que dentro de las atribuciones del INAI se encuentra:

“Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su competencia, con las excepciones previstas por la legislación”.

Así mismo, el artículo 59 de la misma Ley señala que es responsabilidad del INAI verificar el cumplimiento de la LFPDPPP y la normatividad que de ésta derive. El mecanismo con el que cuenta para llevar a cabo dicha facultad es la verificación, y ésta puede iniciarse de oficio cuando se presuma fundada y motivadamente la existencia de violaciones a la Ley.

Bajo ese fundamento, el INAI inició el 16 de enero del 2015 un proceso de investigación a Liverpool. “Es un tema que lleva cuatro meses de investigación, ha habido varias comunicaciones con la empresa, las cuales son confidenciales”, dijo Jonathan Mendoza, Director General de Verificación del INAI en una entrevista publicada el 21 de abril del 2015 en El Economista.

En este caso, fue la empresa la que proporcionó la información para el arranque de este proceso de investigación al informar del hackeo a las autoridades bursátiles. En el mismo reportaje de El Economista, el Comisionado del INAI Francisco Javier Acuña declaró:

“Está por concluir la investigación. Si de ese procedimiento inicia una verificación, hay elementos clarísimos de que el asunto promete, tras la verificación, llegar a otro estadio pero tampoco puede garantizarse que de la verificación se llegue a la sanción”.

Dada la gravedad del caso y el potencial riesgo para millones de tarjetahabientes, el INAI (en ese entonces IFAI), inició un procedimiento de verificación que concluyó el 11 de noviembre de 2015 con la resolución ACT-PRIV/11/11/2015.03.01.01, la cual es por el momento reservada en su integralidad.

LA SOLICITUD DE ACCESO

Atendiendo al principio de máxima publicidad, mediante solicitud número 0673800083116, SonTusDatos requirió, a través del Sistema Infomex el 20 de abril de 2016, acceso a la siguiente información:

“1. El estado en que se encuentra el procedimiento de investigación preliminar; procedimiento cautelar; procedimiento de verificación; procedimiento de imposición de sanciones cualquier otro procedimiento o acción […] a la persona moral EL PUERTO DE LIVERPOOL, S.A.B. DE C.V.; especificando en su respuesta:
a. Tipo de procedimiento(s);
b. Número de expediente;
c. Fecha de inicio de los procedimientos;
d. Razones o motivos por el cual se iniciaron los procedimientos;
2. Actuaciones del INAI (ex IFAI) dentro de los procedimientos, en versión pública, a que hago referencia en el Punto 1 [y la] resolución de los procedimientos en versión pública”.

El 4 de mayo de 2016, en sesión extraordinaria, el Comité de Información del INAI determinó por unanimidad la clasificación de información del caso Liverpool como “reservada”, a propuesta de la Dirección General de Protección de Derechos y Sanción. El 2 de junio de 2016, la Dirección General de Investigación y Verificación sometió al Comité de Transparencia confirmar la clasificación de la información correspondiente al caso como “confidencial”. El 7 de junio, dicho comité resolvió por unanimidad clasificar la información con ese estatus.

El INAI consideró que dentro de los procedimientos del caso se encontraba diversa información de particulares con carácter de confidencial, reservada y comercial reservada, así como sobre medidas de seguridad con el carácter de confidencial y comercial reservada, por lo tanto resolvió que no es posible entregar toda la información que obra en el expediente da forma íntegra. Además, el INAI informó que Liverpool impugnó el procedimiento de verificación y con ello el procedimiento de imposición de sanciones quedó suspendido.

El 19 de mayo, en respuesta a la solicitud de SonTusDatos, el INAI informó que:

“El 16 de diciembre de 2015 […] se inició el procedimiento de imposición de sanciones en contra de la persona moral denominada Distribuidora Liverpool, S.A. de C.V. por presunto incumplimiento de algunos de los principios o disposiciones de la Ley de la materia, radicado bajo el número de expediente PS.0040/15.
El 2 de marzo de 2016, se emitió Acuerdo mediante el cual se amplió el plazo para resolver el procedimiento de imposición de sanciones PS.0040/15 por un periodo de cincuenta días hábiles más al considerar que existía causa justificada para ello; sin embargo, dicho procedimiento se encuentra suspendido, es decir no se ha continuado con las demás etapas procesales en virtud de que la persona moral Distribuidora Liverpool, S.A. de C.V.* promovió juicio contencioso administrativo en contra de la resolución ACT-PRIV/11/2015.03.01.01 [NOTA: la cual es por el momento reservada en su integralidad] emitida por el Pleno de este Instituto en el procedimiento de verificación número INAI.3S.07.02-0005/2015 [NOTA: idem].
En el juicio contencioso administrativo, la Sexta Sala Regional Metropolitana del Tribunal Federal de Justicia Fiscal y Administrativa dentro del expediente número 3650/16-17-06-1 [NOTA: idem] otorgó como medida cautelar la suspensión provisional de los efectos de la resolución ACT-PRIV/11/2015.03.01.01 y como consecuencia de la misma, la suspensión del procedimiento de imposición de sanciones PS.0040/15”.

*[Distribuidora Liverpool, S.A. de C.V. es la división de crédito de Liverpool.]

Concisamente, el INAI aceptó que realizó una investigación a Liverpool. Ésta se inició debido a que la cadena de tiendas no implementó las medidas de seguridad adecuadas para proteger los datos personales de sus clientes, además de fallar en dar aviso a los afectados sobre la vulneración a sus datos personales, hechos que constituyen violaciones a la LFPDPPP. De acuerdo a la respuesta del INAI a la solicitud de información de SonTusDatos, ese proceso concluyó con una resolución de verificación, y debido a esa resolución se inició un procedimiento de imposición de sanciones. Por lo anterior se infiere que si se inició ese procedimiento es porque se encontraron elementos suficientes para sancionar a la empresa.

En la etapa de imposición de sanciones, el INAI debe definir las multas económicas para la empresa. Sin embargo, Liverpool impugnó el proceso de verificación, por lo tanto el procedimiento de imposición de sanciones quedó suspendido.

Los detalles del caso fueron clasificados como reservados por el INAI debido a que el procedimiento sancionatorio aún se encuentra en trámite y porque consideró que el expediente contiene información confidencial de la empresa que no puede hacerse pública.

Ante la incertidumbre sobre la cantidad de registros y datos personales y financieros que el grupo Sickillers podría tener en su poder, el caso sigue estando vigente y el riesgo para los usuarios permanece latente. Los artículos 19 y 20 de la LFPDPPP son claros al respecto:

Artículo 19.- “Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico”.
Artículo 20.- “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos”.

Al no proporcionar información alguna, ni dar aviso a los clientes sobre la vulneración de sus datos, tanto Liverpool como el INAI han dejado sin resolver las preguntas que a casi dos años del ataque, siguen en el aire:

  • ¿Existió realmente un hackeo a los sistemas de Liverpool, o se trató de un robo interno de información?
  • ¿La información filtrada es la única que obtuvo Sickillers, o tienen acceso a más información que no ha sido publicada?
  • ¿Cuántos registros obtuvieron de clientes, empleados o directivos de Liverpool y qué datos personales y financieros tienen en su poder?
  • ¿Por qué Liverpool no notificó a sus clientes sobre la vulneración de sus datos personales?

Documentos de referencia:

By Valentín Fuentes

Valentín Fuentes es Investigador Técnico del Programa de protección de datos “SonTusDatos” de la Asociación Civil “Artículo 12”. Más información sobre Valentín: https://sontusdatos.org/staff/valentin-fuentes/. Llave pública GPG: https://sontusdatos.org/contacto/llave-publica-de-valentin-fuentes/.

Comentarios (0)

Deja un comentario...