INAI:

LIVERPOOL
VIOLÓ LEY DE
PROTECCIÓN
DE DATOS POR
NO TENER
MEDIDAS DE
SEGURIDAD
ADECUADAS
La cadena de tiendas departamentales impugnó
una resolución del INAI para evitar
temporalmente enfrentar sanciones por
presuntas violaciones de la Ley de protección de
datos.
SEP13
BY VALENTÍN FUENTESIN CÉDRIC LAURANT, DANIEL VILLEGAS, ENTRADAS
DESTACADAS, INVESTIGACIONES, SOLICITUDES DE ACCESO A INFORMACIÓN, VALENTÍN
FUENTES, VULNERACIONES DE DATOS PERSONALESCOMMENTS: 3

EL HACKEO A LIVERPOOL DEL AÑO 2014 Y LA FILTRACIÓN MASIVA DE INFORMACIÓN

Y DATOS PERSONALES NO HAN SIDO TODAVÍA ESCLARECIDOS. LA EMPRESA HA SIDO
REMISA EN INFORMAR A SUS CLIENTES SOBRE LA VULNERACIÓN DE SUS DATOS
PERSONALES MIENTRAS LAS AUTORIDADES ENCARGADAS DE REALIZAR LAS
INVESTIGACIONES NO HAN PROPORCIONADO INFORMACIÓN RELEVANTE SOBRE EL
CASO. EN RESPUESTA A UNA SOLICITUD DE ACCESO A INFORMACIÓN POR PARTE DE
SONTUSDATOS, EL INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A LA
INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES (“INAI”) REVELÓ QUE LA
CADENA DE TIENDAS DEPARTAMENTALES IMPUGNÓ SU RESOLUCIÓN DE
VERIFICACIÓN, LO CUAL TIENE POR EFECTO DE OCULTAR AL PÚBLICO LAS RAZONES
POR LAS CUALES TENDRÍA QUE SER SANCIONADA Y EVITA TEMPORALMENTE
ENFRENTAR SANCIONES POR PRESUNTAS VIOLACIONES A LA LEY. EL INAI
ARGUMENTA QUE HA CLASIFICADO LOS DETALLES DEL CASO COMO RESERVADOS,
ARGUMENTANDO QUE EL EXPEDIENTE CONTIENE INFORMACIÓN DE PARTICULARES Y
DE MEDIDAS DE SEGURIDAD DE LA EMPRESA CON CARÁCTER DE “CONFIDENCIAL”,
“RESERVADA” Y “COMERCIAL RESERVADA”.
EL CASO
A finales de diciembre de 2014, la empresa de tiendas departamentales Liverpool sufrió un ataque informático que
derivó en la filtración de información privada y datos personales de directivos, trabajadores y clientes de la empresa.
El grupo autodenominado “Sickillers” dio a conocer en páginas de Facebook y en blogs que tenía acceso completo a
los sistemas internos de la compañía. Como muestra de su dicho, el grupo de hackers filtró información que contenía
expedientes judiciales, manuales corporativos de uso interno, documentos oficiales de la Secretaría de Hacienda y
Crédito Público (“SHCP”), documentos bancarios, diagramas técnicos, información técnica de sus sistemas, proyectos
internos de negocio, planos arquitectónicos, manuales, auditorías, datos sobre fraudes, directorio y fotografías de
trabajadores, así como documentos y datos personales de clientes y directivos de la empresa.

Liverpool (formalmente “El Puerto de Liverpool S.A.B. de C.V.”) es considerado uno de los emisores de crédito al
consumo más grande de México. En 2014, se posicionó como la tercera entidad con mayor número de tarjetas de
crédito emitidas, con 3.4 millones de tarjetas, y la cuarta entidad con mayor saldo de crédito otorgado, con 28 billones
de pesos.

La empresa cotiza en la Bolsa Mexicana de Valores (“BMV”),

por ello está sujeta a cumplir las obligaciones que marca la Ley del Mercado de Valores, así como el reglamento
interno de la BMV. Por esta razón, debe informar a la Comisión de la BMV, y al público en general, los “eventos
relevantes” que la afectan, como lo es el caso de un robo de información. Por tal motivo, el 24 de diciembre de 2014,
Liverpool emitió un comunicado donde informaba que la empresa había sido víctima de un intento de extorsión que
supuestamente buscaba dañar su reputación. Así miso, dio a conocer que los supuestos autores del hecho lograron
una intrusión en correos electrónicos del personal y también “obtuvieron información de algunos clientes”. La empresa
denunció esos hechos ante las autoridades e informó a sus inversionistas que el riesgo derivado de dicha intrusión
era bajo.

La posición de la compañía fue ambigua, pues no se aclaró si el riesgo “bajo” se refería a las acciones bursátiles de
la empresa o riesgo para sus clientes, ni explicaron los alcances de la intrusión. Si bien la notificación hecha a la BMV
se centró en información para los inversionistas, tampoco se emitió alguna declaración pública o boletín de prensa
posterior que informara si la vulnerabilidad había sido resuelta, si los clientes tenían que realizar alguna comprobación
de seguridad, o si sus datos habían sido comprometidos. En su comunicado dirigido a la BMV, Liverpool admitió que
los hackers habían obtenido la información “de algunos clientes”, pero no aclaró en algún momento posterior qué tipo
de datos eran o si eso suponía un riesgo para la comisión de otros delitos, como clonación de tarjetas o suplantación
de identidad.

El portal de noticias Sin Embargo entrevistó a algunos clientes de Liverpool que declararon no haber recibido ninguna
notificación sobre el robo de datos personales. Leticia Carranza, una de las clientes entrevistadas, mostró su
preocupación ante posibles llamadas de extorsión que se pudieran desencadenar y señaló que ni en el momento de
suscribirse con Liverpool, ni posteriormente, recibió información sobre la protección que la empresa da a los datos
personales de sus clientes.
“Cuando recién saqué mi tarjeta de Liverpool, empecé a recibir llamadas de números con ladas de
diferentes partes del país; cuando contestaba nadie hablaba […] busqué esos teléfonos en Internet y
encontré que ya habían sido registrados como de fraude. Se me hizo muy raro que saqué la tarjeta y
de inmediato comenzaron las llamadas”.

Otra clienta, Elsa García indicó que los datos que la cadena le solicitó para sacar su tarjeta fueron comprobantes de
domicilio, teléfonos personales y de sus referencias, copias de la credencial de elector y el talón de pago de su actual
empleo De acuerdo a estimaciones de Juan Pablo Castro, director de Innovación de Trend Micro en México, el hackeo
que sufrió la cadena departamental Liverpool podría costarle al menos 88.5 millones de pesos, considerando los
ingresos de la compañía y contemplando una eventual compensación del daño a sus clientes así como multas
impuestas por parte de la autoridad.

EL HACKEO
El grupo Sickillers concedió vía correo electrónico una entrevista al sitio FayerWayer y aseguró que tenía en su poder
millones de registros de clientes de Liverpool, así como datos personales y números de tarjetas de crédito. Esas
declaraciones fueron acompañadas de la filtración de más datos con información confidencial de la empresa, lo que
ponía en entre dicho la clasificación de “bajo riesgo” con la que Liverpool calificó el ataque, pues expuso planes de
estrategias comerciales, correos electrónicos de empleados y detalles de la infraestructura de sus sistemas
informáticos. Sickillers declaró:
“La principal razón entre todas es: porque podemos y disfrutamos hacerlo. El alcance de este hack es
un acceso total a su infraestructura, por seis años hemos estado accediendo y documentado cada
mínima parte de sus sistemas; contamos con todas sus bases de datos, códigos fuentes, correos, datos
e información de sus directivos y de los clientes.”

El grupo también declaró que enviarían a los usuarios afectados correos electrónicos con sus datos personales con
una invitación para denunciar a la empresa por sus fallas de seguridad, sin que se pueda confirmar hasta el momento
que esto realmente haya sucedido.
“[También] en Facebook y por correo electrónico estamos liberando información poco a poco. Así mismo
estamos haciendo llegar a clientes afectados su información sugiriendo tomar acciones legales contra la
empresa “

Datos de transacciones bancarias e información de tarjetas de crédito filtrados por el grupo Sickillers.

Después del comunicado del 24 de diciembre de 2014, Liverpool no se pronunció nuevamente sobre el caso, a
pesar de diversas solicitudes de comentarios por parte de clientes para saber cuál era el alcance del ataque y el
número real o estimado de los usuarios afectados.

Gonzalo Cruz@project_gonzo
Oye @liverpoolmexico ¿qué datos fueron los que perdieron con el hackeo y en qué riesgo estamos?
Igualmente, ¿qué acciones tomarán?

9:20 AM - Dec 25, 2014

Twitter Ads info and privacy

See Gonzalo Cruz's other Tweets

Papi Hugo@hugolmx

@liverpoolmexico deberia comunicarnos a los clientes sobre la información expuesta por el hackeo a
sus BDs, por seguridad personal.

5:43 PM - Dec 25, 2014

Twitter Ads info and privacy

See Papi Hugo's other Tweets

@liverpoolmexico ¿Algún comentario del gran HACKEO que recibierón?, ¿los datos de sus clientes
están a salvo?

— Jorge Luis Tirado (@jorge_tirado721) January 5, 2015

Al respecto, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece
en su artículo 39 que dentro de las atribuciones del INAI se encuentra:
“Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su
competencia, con las excepciones previstas por la legislación”.

Así mismo, el artículo 59 de la misma Ley señala que es responsabilidad del INAI verificar el cumplimiento de la
LFPDPPP y la normatividad que de ésta derive. El mecanismo con el que cuenta para llevar a cabo dicha facultad es
la verificación, y ésta puede iniciarse de oficio cuando se presuma fundada y motivadamente la existencia de
violaciones a la Ley.

Bajo ese fundamento, el INAI inició el 16 de enero del 2015 un proceso de investigación a Liverpool. “Es un tema que
lleva cuatro meses de investigación, ha habido varias comunicaciones con la empresa, las cuales son confidenciales”,
dijo Jonathan Mendoza, Director General de Verificación del INAI en una entrevista publicada el 21 de abril del 2015
en El Economista.

En este caso, fue la empresa la que proporcionó la información para el arranque de este proceso de investigación al
informar del hackeo a las autoridades bursátiles. En el mismo reportaje de El Economista, el Comisionado del INAI
Francisco Javier Acuña declaró:
“Está por concluir la investigación. Si de ese procedimiento inicia una verificación, hay elementos
clarísimos de que el asunto promete, tras la verificación, llegar a otro estadio pero tampoco puede
garantizarse que de la verificación se llegue a la sanción”.

Dada la gravedad del caso y el potencial riesgo para millones de tarjetahabientes, el INAI (en ese entonces IFAI), inició
un procedimiento de verificación que concluyó el 11 de noviembre de 2015 con la resolución ACT-
PRIV/11/11/2015.03.01.01, la cual es por el momento reservada en su integralidad.

LA SOLICITUD DE ACCESO
Atendiendo al principio de máxima publicidad, mediante solicitud número 0673800083116, SonTusDatos requirió, a
través del Sistema Infomex el 20 de abril de 2016, acceso a la siguiente información:
“1. El estado en que se encuentra el procedimiento de investigación preliminar; procedimiento cautelar;
procedimiento de verificación; procedimiento de imposición de sanciones cualquier otro procedimiento
o acción […] a la persona moral EL PUERTO DE LIVERPOOL, S.A.B. DE C.V.; especificando en su
respuesta:
a. Tipo de procedimiento(s);
b. Número de expediente;
c. Fecha de inicio de los procedimientos;
d. Razones o motivos por el cual se iniciaron los procedimientos;
2. Actuaciones del INAI (ex IFAI) dentro de los procedimientos, en versión pública, a que hago referencia
en el Punto 1 [y la] resolución de los procedimientos en versión pública”.

El 4 de mayo de 2016, en sesión extraordinaria, el Comité de Información del INAI determinó por unanimidad la
clasificación de información del caso Liverpool como “reservada”, a propuesta de la Dirección General de Protección
de Derechos y Sanción. El 2 de junio de 2016, la Dirección General de Investigación y Verificación sometió al Comité
de Transparencia confirmar la clasificación de la información correspondiente al caso como “confidencial”. El 7 de
junio, dicho comité resolvió por unanimidad clasificar la información con ese estatus.

El INAI consideró que dentro de los procedimientos del caso se encontraba diversa información de particulares con
carácter de confidencial, reservada y comercial reservada, así como sobre medidas de seguridad con el carácter de
confidencial y comercial reservada, por lo tanto resolvió que no es posible entregar toda la información que obra en el
expediente da forma íntegra. Además, el INAI informó que Liverpool impugnó el procedimiento de verificación y con
ello el procedimiento de imposición de sanciones quedó suspendido.

El 19 de mayo, en respuesta a la solicitud de SonTusDatos, el INAI informó que:

“El 16 de diciembre de 2015 […] se inició el procedimiento de imposición de sanciones en contra de la
persona moral denominada Distribuidora Liverpool, S.A. de C.V. por presunto incumplimiento de algunos
de los principios o disposiciones de la Ley de la materia, radicado bajo el número de expediente
PS.0040/15.
El 2 de marzo de 2016, se emitió Acuerdo mediante el cual se amplió el plazo para resolver el
procedimiento de imposición de sanciones PS.0040/15 por un periodo de cincuenta días hábiles más al
considerar que existía causa justificada para ello; sin embargo, dicho procedimiento se encuentra
suspendido, es decir no se ha continuado con las demás etapas procesales en virtud de que la persona
moral Distribuidora Liverpool, S.A. de C.V.* promovió juicio contencioso administrativo en contra de la
resolución ACT-PRIV/11/2015.03.01.01 [NOTA: la cual es por el momento reservada en su
integralidad] emitida por el Pleno de este Instituto en el procedimiento de verificación número
INAI.3S.07.02-0005/2015 [NOTA: idem].
En el juicio contencioso administrativo, la Sexta Sala Regional Metropolitana del Tribunal Federal de
Justicia Fiscal y Administrativa dentro del expediente número 3650/16-17-06-1 [NOTA: idem] otorgó
como medida cautelar la suspensión provisional de los efectos de la resolución ACT-
PRIV/11/2015.03.01.01 y como consecuencia de la misma, la suspensión del procedimiento de
imposición de sanciones PS.0040/15”.

*[Distribuidora Liverpool, S.A. de C.V. es la división de crédito de Liverpool.]

Concisamente, el INAI aceptó que realizó una investigación a Liverpool. Ésta se inició debido a que la cadena de
tiendas no implementó las medidas de seguridad adecuadas para proteger los datos personales de sus clientes,
además de fallar en dar aviso a los afectados sobre la vulneración a sus datos personales, hechos que constituyen
violaciones a la LFPDPPP. De acuerdo a la respuesta del INAI a la solicitud de información de SonTusDatos, ese
proceso concluyó con una resolución de verificación, y debido a esa resolución se inició un procedimiento de
imposición de sanciones. Por lo anterior se infiere que si se inició ese procedimiento es porque se encontraron
elementos suficientes para sancionar a la empresa.
 En la etapa de imposición de sanciones, el INAI debe definir las multas económicas para la empresa. Sin embargo,
Liverpool impugnó el proceso de verificación, por lo tanto el procedimiento de imposición de sanciones quedó
suspendido.

Los detalles del caso fueron clasificados como reservados por el INAI debido a que el procedimiento sancionatorio
aún se encuentra en trámite y porque consideró que el expediente contiene información confidencial de la empresa
que no puede hacerse pública.

Ante la incertidumbre sobre la cantidad de registros y datos personales y financieros que el grupo Sickillers podría
tener en su poder, el caso sigue estando vigente y el riesgo para los usuarios permanece latente. Los artículos 19 y
20 de la LFPDPPP son claros al respecto:
Artículo 19.- “Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y
mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos
personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el
manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias
para los titulares, la sensibilidad de los datos y el desarrollo tecnológico”.
Artículo 20.- “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten
de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma
inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas
correspondientes a la defensa de sus derechos”.

Al no proporcionar información alguna, ni dar aviso a los clientes sobre la vulneración de sus datos, tanto Liverpool
como el INAI han dejado sin resolver las preguntas que a casi dos años del ataque, siguen en el aire:
• ¿Existió realmente un hackeo a los sistemas de Liverpool, o se trató de un robo interno de información?
• ¿La información filtrada es la única que obtuvo Sickillers, o tienen acceso a más información que no ha sido publicada?
• ¿Cuántos registros obtuvieron de clientes, empleados o directivos de Liverpool y qué datos personales y financieros
tienen en su poder?
• ¿Por qué Liverpool no notificó a sus clientes sobre la vulneración de sus datos personales?

Documentos de referencia:
• El Financiero, “Liverpool alcanza tercer lugar como emisor de tarjetas de crédito”, 23 de junio de
2014, http://www.elfinanciero.com.mx/empresas/liverpool-supera-a-bancos-en-emision-de-tarjetas-de-credito.html.
• Ley Federal de Protección de Datos Personales en Posesión de los
Particulares, http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf.
• Ley del Mercado de Valores, http://www.diputados.gob.mx/LeyesBiblio/pdf/LMV.pdf.
• Reglamento Interno de la Bolsa Mexicana de Valores, https://www.bmv.com.mx/docs-
pub/STC_MANUAL_REGLAMENTO/REGLAMENTO_INTERIORjgd5mp0mvc2q8yf1ph658i7qe86v3u.PDF.
• El Puerto de Liverpool, “Eventos relevantes”, 24 de diciembre de 2014, http://elpuertodeliverpool.mx/docs/eventos-
relevantes/2014/EVENTO-RELEVANTE-2014-12-24.pdf.
• Sin Embargo, “Base de datos de Liverpool fue robada desde el 24, pero los clientes no fueron avisados”, 1 de enero
de 2015, http://www.sinembargo.mx/01-01-2015/1204966.
• El Financiero, “Hackeo a Liverpool podría costarle más de 100 mdp, estiman”, 13 de enero de
2015, http://www.elfinanciero.com.mx/empresas/hackeo-a-liverpool-podria-costarle-mas-de-100-mdp-estiman.html.
• FayerWayer, “El grupo SicKillers se adjudica el robo de datos a Liverpool”, 28 de diciembre de
2014, https://www.fayerwayer.com/2014/12/el-grupo-sickillers-se-adjudica-el-robo-de-datos-a-liverpool/.
• El Economista, “AT&T, Google y Liverpool ponen a prueba al IFAI”, 21 de abril de
2015, http://eleconomista.com.mx/tecnociencia/2015/04/21/att-google-liverpool-ponen-prueba-ifai.

ESCRITO POR: Valentín Fuentes.

AUTORES DE LA INVESTIGACIÓN: Valentín Fuentes, Cédric Laurant, Daniel Villegas.

TAGS: BOLSA MEXICANA DE VALORES, DATOS PERSONALES, DISTRIBUIDORA LIVERPOOL, EL PUERTO
DE LIVERPOOL S.A.B. DE C.V., EVENTOS RELEVANTES, EXTORSIÓN, FILTRACIÓN DE
INFORMACIÓN, HACKEO, HACKERS, INAI, INFORMACIÓN CONFIDENCIAL, INFORMACIÓN
RESERVADA, INSTITUTO NACIONAL DE TRANSPARENCIA ACCESO A INFORMACIÓN Y PROTECCIÓN DE
DATOS, JUICIO CONTENCIOSO ADMINISTRATIVO, LEY DEL MERCADO DE VALORES, LEY FEDERAL DE
PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS
PARTICULARES, LFPDPPP, LIVERPOOL, PROCEDIMIENTO DE IMPOSICIÓN DE
SANCIONES, PROCEDIMIENTO DE VERIFICACIÓN, PROTECCIÓN DE DATOS PERSONALES, ROBO DE
INFORMACIÓN, S.A. DE C.V., SOLICITUD DE ACCESO A INFORMACIÓN, TARJETAHABIENTES, TARJETAS DE
CRÉDITO, TRIBUNAL FEDERAL DE JUSTICIA FISCAL Y ADMINISTRATIVA, VULNERACIONES DE DATOS
PERSONALES, VULNERACIONES DE SEGURIDAD

BY VALENTÍN FUENTES
Valentín Fuentes fue Investigador Técnico del Programa de protección de datos “SonTusDatos” de la Asociación
Civil “Artículo 12” entre agosto y diciembre del año 2016. Más información sobre Valentín:
https://sontusdatos.org/staff/valentin-fuentes/.
COMENTARIOS (3)
1. LUISReply2018/03/16 at 09:09

Una empresa de crédito filtró toda mi información personal y está al alcance de todos de internet, necesito asesoría
o SONTUSDATOSReply2018/03/16 at 20:58
Hola Luis,
Gracias por ponser en contacto con nosotros vía nuestro email de contacto: contacto [arroba] sontusdatos
[punto] org.