Vulneración a Banamex y Nasoft expone datos sensibles de empleados y contratistas

Computer Hacked. CC0 Public Domain https://pixabay.com/en/computer-security-padlock-hacker-1591018/

ESCRITO POR: Valentín Fuentes. AUTORES DE LA INVESTIGACIÓN:  Valentín FuentesCedric LaurantDaniel VillegasGiovanna Salazar, Manuel Mejías.

A través de nuestro portal de denuncias anónimas “Filtraciones Digitales”, un informante envió a SonTusDatos una carpeta de archivos que fueron obtenidos tras una vulneración a las empresas Banamex y Nasoft. Después de una revisión exhaustiva, confirmamos que la información, hecha pública en el sitio pastebin desde 2013, pertenece tanto a los empleados, contratistas y candidatos laborales de Nasoft, una empresa especializada en consultoría orientada a tecnologías de información, como al banco Banamex, la segunda institución financiera más grande de México. Instamos al INAI a que investigue esta vulneración para que determine las responsabilidades de ambas compañías por no haber notificado esa vulneración a las personas afectadas.

¿QUÉ TIPO DE INFORMACIÓN CONTIENEN LOS ARCHIVOS FILTRADOS?

El archivo enviado a SonTusDatos contiene 339 carpetas y 3,820 archivos, alcanzando 1.93GB de información.

En su mayoría, la información pertenece a la empresa Nasoft (North American Software), una empresa mexicana fundada en 1999 y especializada en consultoría orientada a tecnologías de información. En 2014 Nasoft y Alpama Global Services (AGS), una empresa española fundada en 2007, se unieron para formar lo que hoy en día es AGS NASOFT.

Nasoft es contratista de Banamex y realiza servicios de consultoría y proyectos especiales para esa institución financiera. Los documentos filtrados contienen información interna sobre los proyectos que durante varios años Nasoft desarrolló para Banamex.

Además, existen documentos de otros proyectos internos de Nasoft, así como una gran cantidad de archivos de sus recursos humanos, incluyendo currículums, sueldos, prestaciones, vacaciones, información de reclutamiento, proyectos asignados a cada empleado y evaluaciones laborales.

Los documentos relacionados con la gestión de proyectos (Project Management Office) son los más numerosos, seguidos de documentos de recursos humanos, información y estrategia corporativa, arquitectura de sistemas y documentos propios de los proyectos con Banamex.

Una forma de dimensionar la gran cantidad de información corporativa que fue extraída durante la vulneración, es analizando el nombre de las carpetas. La siguiente gráfica muestra los nombres de las carpetas que contienen la mayor cantidad de archivos: con sólo conocer el nombre de la carpeta, podemos inferir el tipo de información que fue expuesta. Sobresale la gran cantidad de carpetas que contienen información relativa a Banamex.

Ilustración 4: Categorías de los archivos de la filtración de Nasoft Banamex.Ilustración 1: Categorías de los archivos de la filtración de Nasoft CitiBanamex.

En los archivos filtrados se encontraron más de 160 currículums vitae, en inglés y español, tanto de candidatos externos, como de empleados de Nasoft, que fueron propuestos para proyectos de Banamex. Los documentos contienen datos personales como nombres, domicilios, teléfonos, correos electrónicos, historial académico, historial laboral, expectativas económicas, fotografías, edad, estado civil, RFC, CURP, IFE, etc.

Ilustración 5: CVs de candidatos que buscaban ingresar a laborar en Nasoft.
Ilustración 2: CVs de candidatos que buscaban ingresar a laborar en Nasoft.

La filtración contiene al menos 109 documentos con información crítica y privilegiada sobre el negocio de la compañía, como:

  • Proyectos completos
  • Propuestas de servicios a terceros
  • Diseño de sistemas
  • Minutas internas
  • Análisis de requerimientos de clientes
  • Solicitudes de control de cambios
  • Procesos internos
  • Manuales de usuarios (internos)
  • Contratos de prestación de servicios
Ilustración 7: Informes de costos y actividades filtrados (en formato XLS principalmente).
Ilustración 3: Informes de costos y actividades filtrados (en formato XLS principalmente).
Ilustración 11: Documento TXT con información de usuarios y contraseñas para SAP, correo corporativo y acceso a sistemas internos.
Ilustración 4: Documento TXT con información de usuarios y contraseñas para SAP, correo corporativo y acceso a sistemas internos.
Ilustración 13: Factura por pago expedida por Banamex por la prestación de servicios de Nasoft.
Ilustración 5: Factura de pago por la prestación de servicios de Nasoft a Banamex.

¿REALMENTE LA INFORMACIÓN PERTENECE A BANAMEX Y NASOFT?

Para determinar la autenticidad de la información, SonTusDatos realizó un análisis completo de los metadatos de los archivos filtrados. A continuación, se presentan los principales hallazgos.

Los archivos fueron creados entre los años 1999 a 2013. La mayor parte de los archivos fueron creados en 2010 y 2011, esto es, los archivos fueron creados en años anteriores a la filtración.

Ilustración 15: Años de creación de los archivos filtrados.
Ilustración 6: Años de creación de los archivos filtrados.

Un metadato que contienen los archivos es el de “fecha de última impresión”. Este dato indica la fecha exacta de la última vez que el documento fue impreso. El análisis gráfico de este metadato revela que existen picos uniformes en fechas particulares. Por ejemplo, se observan picos de actividad en junio de 2001, junio de 2003, junio de 2009 y junio de 2010. Suponemos que durante el mes de junio, Nasoft realizaba algún tipo de informe o corte de sus actividades, de ahí que se realizara un mayor volumen de impresiones durante ese mes.

La distribución de este parámetro (fecha de última impresión) no es uniforme, ni aleatoria: esto es un buen indicador para asegurar que los documentos son auténticos.

Ilustración 16: Gráfica de fechas de impresión de los documentos filtrados.
Ilustración 7: Gráfica de fechas de impresión de los documentos filtrados.

A partir del análisis de contenido realizado, SonTusDatos logró identificar tanto las actividades de la empresa Nasoft, como los nombres de sus empleados. Para determinar si efectivamente las personas mencionadas en los documentos son realmente, o fueron en algún momento, empleados de Nasoft, se realizó una búsqueda en fuentes abiertas, incluyendo perfiles en LinkedIn, perfiles en Twitter, perfiles en Facebook, notas periodísticas y el propio directorio de trabajadores de Nasoft disponible de forma pública en su página web. Tras la búsqueda de información, fue posible identificar a un gran número de empleados y ex empleados de Nasoft.

En minutas de Nasoft de septiembre de 2011 mencionan una reunión en donde se trataron problemáticas y proyectos con Banamex, e incluyen los nombres de 4 participantes.

Se lograron localizar dos publicaciones en la red social Twitter que datan de mayo y julio de 2011 donde dos de las personas que aparecen en las minutas publicaron que se encontraban realizando actividades dentro de la empresa Nasoft y Banamex. De esta forma, podemos inferir que los documentos filtrados, en efecto, son legítimos.

Ilustración 17: Minuta de Nasoft de septiembre de 2011 donde se reporta la asistencia de cuatro de sus empleados.
Ilustración 8: Minuta de Nasoft de septiembre de 2011 donde se reporta la asistencia de cuatro de sus empleados.
Ilustración 18: Persona mencionada en las minutas de Nasoft que publicó en Twitter que en 2011 asistió a una junta de Nasoft.
Ilustración 9: Persona mencionada en las minutas de Nasoft que publicó en Twitter que en 2011 asistió a una junta de Nasoft.
Ilustración 19: Persona mencionada en los documentos filtrados que publicó en Twitter que en 2011 era empleado de Nasoft y trabajaba en un proyecto para Banamex.
Ilustración 10: Persona mencionada en los documentos filtrados que publicó en Twitter que en 2011 era empleado de Nasoft y trabajaba en un proyecto para Banamex.

¿SE ENTERARON BANAMEX Y NASOFT DE LA VULNERACIÓN?

El informante que compartió el archivo de la filtración aseguró que la información fue publicada en Internet en 2013 y que había informado vía correos electrónicos a las empresas Banamex y Nasoft sobre el robo y publicación en el sitio pastebin de esa información. Se logró verificar la declaración del informante a través de una publicación hecha el 11 de enero de 2013 en el sitio pastebin. En esa publicación, un usuario anónimo informó que había logrado acceder a los sistemas de las empresas Banamex, Citigroup y Nasoft. Colocó una lista con todos los directorios a los que pudo acceder y filtró todos los documentos en un contenedor comprimido que alojó en dos servicios para compartir archivos en la nube: gigasize.com y filetea.me.

Al momento de realizar la investigación (noviembre 2016), ambos enlaces de descarga estaban dados de baja. Sin embargo, el archivo comprimido enviado a SonTusDatos vía el portal de denuncias anónimas “Filtraciones Digitales” contiene exactamente los mismos directorios que aparecen en la publicación original de 2013. Esto comprueba que se trata del mismo archivo.

Ilustración 20: Publicación en pastebin en enero de 2013 del usuario que aseguró haber hackeado a Banamex, Nasoft y Citigroup.

Ilustración 11: Publicación en pastebin en enero de 2013 del usuario que aseguró haber hackeado a Banamex, Nasoft y Citigroup.

“Matando tres pájaros de un tiro, gracias a un pequeño agujero de seguridad, pude obtener información confidencial sobre tres sitios, el primero es un banco mexicano que ha sido adquirido por un banco norteamericano, y el último es una empresa que implementa algunos proyectos sobre seguridad, infraestructura, servicios, servicios web, tecnología, cuentas de Citi, contratos, currículum de personas, CRM, sistemas de facturación, sucursales, etc.

Banamex.com HACKEADO!
citigroup.com HACKEADO!
nasoft.com HACKEADO!”

Si bien la publicación en pastebin no se encuentra indexada en buscadores tradicionales como Google o Bing, el buscador interno de la plataforma sí permite localizar el mensaje con cualquiera de las palabras que contiene la publicación, como “Banamex”, “Nasoft”, “hackeo”, etc. De ahí que Nasoft pudiera estar enterado de la vulneración: pues a más de 3 años de su publicación el mensaje sobre el hackeo continúa en línea. Es probable que los archivos de la filtración actualmente ya no se encuentren disponibles por contener información confidencial.

CONCLUSIONES

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece, entre otras cosas, que los responsables del tratamiento de datos personales deben establecer  y mantener medidas adecuadas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra vulneraciones, así como la obligación de informar sobre cualquier tipo de brecha de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares de los datos que tratan.

Es por ello que SonTusDatos, después de verificar que la información filtrada en enero de 2013 es genuina, hizo un llamado a Nasoft para que se pronunciara sobre la vulneración sufrida en la cual se filtró esa información interna que también incluía información de su contratista Banamex, y para que diera a conocer qué medidas tomó al respecto, si informó a los afectados y si estableció o corrigió las medidas de seguridad necesarias para evitar que este tipo de situación vuelva a suceder.

De igual manera, Banamex debe aclarar si estuvo al tanto de este ataque y si la información filtrada en 2013 pone en riesgo alguno sus sistemas actualmente en operación.

En este sentido, SonTusDatos insta al INAI, la autoridad en materia de protección de datos en el país, a que investigue esta filtración y determine si los afectados fueron notificados sobre el robo y la publicación de sus datos personales en Internet.

COROLARIO

Desde mediados de febrero de este año SonTusDatos entabló contacto con Banamex (vía la página https://www.banamex.com/esp/escribenos.html) y Nasoft (vía telefónica y por correo electrónico) con objeto de hacerles saber del caso de vulneración que recibimos y de brindarles la oportunidad de aportar sus comentarios a la presente investigación.

Hasta la fecha, no hemos recibido respuesta de Banamex.

En el caso de Nasoft, mantuvimos comunicación con un abogado externo de la empresa quien señaló que su cliente “[iba] a mandar una carta acusando recibo del informe”. Al respecto, SonTusDatos recibió la carta el pasado 8 de marzo de 2016 vía electrónica, la cual reproducimos de forma íntegra a continuación:

En atención a su petición de respuesta a la información que nos ha enviado, me permito comentarle lo siguiente:

Primero, quiero aclararle que NASOFT es una empresa establecida en México desde el año 2000, y que entre los productos que ofrece a sus clientes no se encuentra el de seguridad en TICS ni en Internet, tal como lo puede corroborar en nuestra página web www.agsnasoft.com.

Segundo, que luego de un análisis técnico preliminar de la información que usted nos envió, los expertos coinciden en que se trató de un ataque (hackeo) al proveedor que nos brindaba los servicios de seguridad en nuestras comunicaciones.

Tercero, que la información que usted nos hizo llegar, presuntamente recibida de forma anónima, causó gran sorpresa en los directivos de la empresa, razón por la cual de inmediato se ordenó una investigación interna, a efecto de conocer si la misma es verídica, además, se tomó la decisión de dar parte a las autoridades competentes de este hecho, toda vez que la obtención y el uso de esa información podría ser constitutivo de un delito.

Finalmente, queremos dejar muy claro que para NASOFT lo más importante es su reputación, y que siempre ha cumplido el compromiso de velar por la confidencialidad de la información de nuestros clientes y trabajadores.

Sin más por el momento, quedo a sus órdenes.

Lic. Fernando Carbonell Paredes

Representante de Medios de Comunicación de NASOFT

Ante la cual señalamos lo siguiente:

  • Respecto al primer punto, destacamos que AGS NASOFT enlista “Ciberseguridad” en el menú “Soluciones” de su página principal. En tal sección señalan: “AGS NASOFT desarrolla soluciones en tecnología bajo rigurosos protocolos de Ciberseguridad”. Esto, aunado a otros elementos como el que ofrezcan centros SOC y CERT, nos llevan a  considerar que tienen un dominio suficiente en los temas de seguridad en TICS e Internet.
  • Es preciso que el INAI verifique si, en efecto, el proveedor que brindaba a NASOFT servicios de seguridad en sus comunicaciones sufrió algún ataque cibernético que derivara en la vulneración de datos personales.
  • Aún cuando lo anterior se comprobara, la responsabilidad de proteger los datos personales de sus empleados y de las otras personas de las que trata datos personales recae exclusivamente en NASOFT, por ser el “responsable de tratamiento” según la ley aplicable.
  • De acuerdo con la investigación realizada, es muy posible que ambas empresas involucradas -NASOFT y Banamex- estuvieran al tanto de la vulneración ocurrida, ya que hace más de 3 años que el mensaje sobre el hackeo está publicado en el sitio pastebin, y seguramente alguno de sus empleados o terceros se los notificó.
  • Reconocemos como algo positivo que NASOFT haya decidido iniciar una investigación interna sobre el caso. Sin embargo, será tarea del INAI determinar si tal respuesta llega demasiado tarde, y si violó el marco legal que obliga las empresas a informar “de forma inmediata (…) al titular, a fin de que este último pueda tomar las medidas correspondientes [para defender] sus derechos”.
  • Nuestra investigación muestra que Nasoft y Banamex tenían que estar al tanto de la vulneración, y por esta razón, tenían que haber notificado a las personas afectadas mucho antes.

CONSULTA NUESTRO INFORME COMPLETO:

Referencias

By Valentín Fuentes

Valentín Fuentes fue Investigador Técnico del Programa de protección de datos “SonTusDatos” de la Asociación Civil “Artículo 12” entre agosto y diciembre del año 2016. Más información sobre Valentín: https://sontusdatos.org/staff/valentin-fuentes/.