Computers > Security">
Caso Liverpool
Caso Liverpool
Caso Liverpool
LIVERPOOL
VIOLÓ LEY DE
PROTECCIÓN
DE DATOS POR
NO TENER
MEDIDAS DE
SEGURIDAD
ADECUADAS
La cadena de tiendas departamentales impugnó
una resolución del INAI para evitar
temporalmente enfrentar sanciones por
presuntas violaciones de la Ley de protección de
datos.
SEP13
BY VALENTÍN FUENTESIN CÉDRIC LAURANT, DANIEL VILLEGAS, ENTRADAS
DESTACADAS, INVESTIGACIONES, SOLICITUDES DE ACCESO A INFORMACIÓN, VALENTÍN
FUENTES, VULNERACIONES DE DATOS PERSONALESCOMMENTS: 3
Liverpool (formalmente “El Puerto de Liverpool S.A.B. de C.V.”) es considerado uno de los emisores de crédito al
consumo más grande de México. En 2014, se posicionó como la tercera entidad con mayor número de tarjetas de
crédito emitidas, con 3.4 millones de tarjetas, y la cuarta entidad con mayor saldo de crédito otorgado, con 28 billones
de pesos.
La posición de la compañía fue ambigua, pues no se aclaró si el riesgo “bajo” se refería a las acciones bursátiles de
la empresa o riesgo para sus clientes, ni explicaron los alcances de la intrusión. Si bien la notificación hecha a la BMV
se centró en información para los inversionistas, tampoco se emitió alguna declaración pública o boletín de prensa
posterior que informara si la vulnerabilidad había sido resuelta, si los clientes tenían que realizar alguna comprobación
de seguridad, o si sus datos habían sido comprometidos. En su comunicado dirigido a la BMV, Liverpool admitió que
los hackers habían obtenido la información “de algunos clientes”, pero no aclaró en algún momento posterior qué tipo
de datos eran o si eso suponía un riesgo para la comisión de otros delitos, como clonación de tarjetas o suplantación
de identidad.
El portal de noticias Sin Embargo entrevistó a algunos clientes de Liverpool que declararon no haber recibido ninguna
notificación sobre el robo de datos personales. Leticia Carranza, una de las clientes entrevistadas, mostró su
preocupación ante posibles llamadas de extorsión que se pudieran desencadenar y señaló que ni en el momento de
suscribirse con Liverpool, ni posteriormente, recibió información sobre la protección que la empresa da a los datos
personales de sus clientes.
“Cuando recién saqué mi tarjeta de Liverpool, empecé a recibir llamadas de números con ladas de
diferentes partes del país; cuando contestaba nadie hablaba […] busqué esos teléfonos en Internet y
encontré que ya habían sido registrados como de fraude. Se me hizo muy raro que saqué la tarjeta y
de inmediato comenzaron las llamadas”.
Otra clienta, Elsa García indicó que los datos que la cadena le solicitó para sacar su tarjeta fueron comprobantes de
domicilio, teléfonos personales y de sus referencias, copias de la credencial de elector y el talón de pago de su actual
empleo De acuerdo a estimaciones de Juan Pablo Castro, director de Innovación de Trend Micro en México, el hackeo
que sufrió la cadena departamental Liverpool podría costarle al menos 88.5 millones de pesos, considerando los
ingresos de la compañía y contemplando una eventual compensación del daño a sus clientes así como multas
impuestas por parte de la autoridad.
EL HACKEO
El grupo Sickillers concedió vía correo electrónico una entrevista al sitio FayerWayer y aseguró que tenía en su poder
millones de registros de clientes de Liverpool, así como datos personales y números de tarjetas de crédito. Esas
declaraciones fueron acompañadas de la filtración de más datos con información confidencial de la empresa, lo que
ponía en entre dicho la clasificación de “bajo riesgo” con la que Liverpool calificó el ataque, pues expuso planes de
estrategias comerciales, correos electrónicos de empleados y detalles de la infraestructura de sus sistemas
informáticos. Sickillers declaró:
“La principal razón entre todas es: porque podemos y disfrutamos hacerlo. El alcance de este hack es
un acceso total a su infraestructura, por seis años hemos estado accediendo y documentado cada
mínima parte de sus sistemas; contamos con todas sus bases de datos, códigos fuentes, correos, datos
e información de sus directivos y de los clientes.”
El grupo también declaró que enviarían a los usuarios afectados correos electrónicos con sus datos personales con
una invitación para denunciar a la empresa por sus fallas de seguridad, sin que se pueda confirmar hasta el momento
que esto realmente haya sucedido.
“[También] en Facebook y por correo electrónico estamos liberando información poco a poco. Así mismo
estamos haciendo llegar a clientes afectados su información sugiriendo tomar acciones legales contra la
empresa “
Datos de transacciones bancarias e información de tarjetas de crédito filtrados por el grupo Sickillers.
Después del comunicado del 24 de diciembre de 2014, Liverpool no se pronunció nuevamente sobre el caso, a
pesar de diversas solicitudes de comentarios por parte de clientes para saber cuál era el alcance del ataque y el
número real o estimado de los usuarios afectados.
Gonzalo Cruz@project_gonzo
Oye @liverpoolmexico ¿qué datos fueron los que perdieron con el hackeo y en qué riesgo estamos?
Igualmente, ¿qué acciones tomarán?
Papi Hugo@hugolmx
@liverpoolmexico deberia comunicarnos a los clientes sobre la información expuesta por el hackeo a
sus BDs, por seguridad personal.
@liverpoolmexico ¿Algún comentario del gran HACKEO que recibierón?, ¿los datos de sus clientes
están a salvo?
Al respecto, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece
en su artículo 39 que dentro de las atribuciones del INAI se encuentra:
“Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su
competencia, con las excepciones previstas por la legislación”.
Así mismo, el artículo 59 de la misma Ley señala que es responsabilidad del INAI verificar el cumplimiento de la
LFPDPPP y la normatividad que de ésta derive. El mecanismo con el que cuenta para llevar a cabo dicha facultad es
la verificación, y ésta puede iniciarse de oficio cuando se presuma fundada y motivadamente la existencia de
violaciones a la Ley.
Bajo ese fundamento, el INAI inició el 16 de enero del 2015 un proceso de investigación a Liverpool. “Es un tema que
lleva cuatro meses de investigación, ha habido varias comunicaciones con la empresa, las cuales son confidenciales”,
dijo Jonathan Mendoza, Director General de Verificación del INAI en una entrevista publicada el 21 de abril del 2015
en El Economista.
En este caso, fue la empresa la que proporcionó la información para el arranque de este proceso de investigación al
informar del hackeo a las autoridades bursátiles. En el mismo reportaje de El Economista, el Comisionado del INAI
Francisco Javier Acuña declaró:
“Está por concluir la investigación. Si de ese procedimiento inicia una verificación, hay elementos
clarísimos de que el asunto promete, tras la verificación, llegar a otro estadio pero tampoco puede
garantizarse que de la verificación se llegue a la sanción”.
Dada la gravedad del caso y el potencial riesgo para millones de tarjetahabientes, el INAI (en ese entonces IFAI), inició
un procedimiento de verificación que concluyó el 11 de noviembre de 2015 con la resolución ACT-
PRIV/11/11/2015.03.01.01, la cual es por el momento reservada en su integralidad.
LA SOLICITUD DE ACCESO
Atendiendo al principio de máxima publicidad, mediante solicitud número 0673800083116, SonTusDatos requirió, a
través del Sistema Infomex el 20 de abril de 2016, acceso a la siguiente información:
“1. El estado en que se encuentra el procedimiento de investigación preliminar; procedimiento cautelar;
procedimiento de verificación; procedimiento de imposición de sanciones cualquier otro procedimiento
o acción […] a la persona moral EL PUERTO DE LIVERPOOL, S.A.B. DE C.V.; especificando en su
respuesta:
a. Tipo de procedimiento(s);
b. Número de expediente;
c. Fecha de inicio de los procedimientos;
d. Razones o motivos por el cual se iniciaron los procedimientos;
2. Actuaciones del INAI (ex IFAI) dentro de los procedimientos, en versión pública, a que hago referencia
en el Punto 1 [y la] resolución de los procedimientos en versión pública”.
El 4 de mayo de 2016, en sesión extraordinaria, el Comité de Información del INAI determinó por unanimidad la
clasificación de información del caso Liverpool como “reservada”, a propuesta de la Dirección General de Protección
de Derechos y Sanción. El 2 de junio de 2016, la Dirección General de Investigación y Verificación sometió al Comité
de Transparencia confirmar la clasificación de la información correspondiente al caso como “confidencial”. El 7 de
junio, dicho comité resolvió por unanimidad clasificar la información con ese estatus.
El INAI consideró que dentro de los procedimientos del caso se encontraba diversa información de particulares con
carácter de confidencial, reservada y comercial reservada, así como sobre medidas de seguridad con el carácter de
confidencial y comercial reservada, por lo tanto resolvió que no es posible entregar toda la información que obra en el
expediente da forma íntegra. Además, el INAI informó que Liverpool impugnó el procedimiento de verificación y con
ello el procedimiento de imposición de sanciones quedó suspendido.
Concisamente, el INAI aceptó que realizó una investigación a Liverpool. Ésta se inició debido a que la cadena de
tiendas no implementó las medidas de seguridad adecuadas para proteger los datos personales de sus clientes,
además de fallar en dar aviso a los afectados sobre la vulneración a sus datos personales, hechos que constituyen
violaciones a la LFPDPPP. De acuerdo a la respuesta del INAI a la solicitud de información de SonTusDatos, ese
proceso concluyó con una resolución de verificación, y debido a esa resolución se inició un procedimiento de
imposición de sanciones. Por lo anterior se infiere que si se inició ese procedimiento es porque se encontraron
elementos suficientes para sancionar a la empresa.
En la etapa de imposición de sanciones, el INAI debe definir las multas económicas para la empresa. Sin embargo,
Liverpool impugnó el proceso de verificación, por lo tanto el procedimiento de imposición de sanciones quedó
suspendido.
Los detalles del caso fueron clasificados como reservados por el INAI debido a que el procedimiento sancionatorio
aún se encuentra en trámite y porque consideró que el expediente contiene información confidencial de la empresa
que no puede hacerse pública.
Ante la incertidumbre sobre la cantidad de registros y datos personales y financieros que el grupo Sickillers podría
tener en su poder, el caso sigue estando vigente y el riesgo para los usuarios permanece latente. Los artículos 19 y
20 de la LFPDPPP son claros al respecto:
Artículo 19.- “Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y
mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos
personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el
manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias
para los titulares, la sensibilidad de los datos y el desarrollo tecnológico”.
Artículo 20.- “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten
de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma
inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas
correspondientes a la defensa de sus derechos”.
Al no proporcionar información alguna, ni dar aviso a los clientes sobre la vulneración de sus datos, tanto Liverpool
como el INAI han dejado sin resolver las preguntas que a casi dos años del ataque, siguen en el aire:
• ¿Existió realmente un hackeo a los sistemas de Liverpool, o se trató de un robo interno de información?
• ¿La información filtrada es la única que obtuvo Sickillers, o tienen acceso a más información que no ha sido publicada?
• ¿Cuántos registros obtuvieron de clientes, empleados o directivos de Liverpool y qué datos personales y financieros
tienen en su poder?
• ¿Por qué Liverpool no notificó a sus clientes sobre la vulneración de sus datos personales?
Documentos de referencia:
• El Financiero, “Liverpool alcanza tercer lugar como emisor de tarjetas de crédito”, 23 de junio de
2014, http://www.elfinanciero.com.mx/empresas/liverpool-supera-a-bancos-en-emision-de-tarjetas-de-credito.html.
• Ley Federal de Protección de Datos Personales en Posesión de los
Particulares, http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf.
• Ley del Mercado de Valores, http://www.diputados.gob.mx/LeyesBiblio/pdf/LMV.pdf.
• Reglamento Interno de la Bolsa Mexicana de Valores, https://www.bmv.com.mx/docs-
pub/STC_MANUAL_REGLAMENTO/REGLAMENTO_INTERIORjgd5mp0mvc2q8yf1ph658i7qe86v3u.PDF.
• El Puerto de Liverpool, “Eventos relevantes”, 24 de diciembre de 2014, http://elpuertodeliverpool.mx/docs/eventos-
relevantes/2014/EVENTO-RELEVANTE-2014-12-24.pdf.
• Sin Embargo, “Base de datos de Liverpool fue robada desde el 24, pero los clientes no fueron avisados”, 1 de enero
de 2015, http://www.sinembargo.mx/01-01-2015/1204966.
• El Financiero, “Hackeo a Liverpool podría costarle más de 100 mdp, estiman”, 13 de enero de
2015, http://www.elfinanciero.com.mx/empresas/hackeo-a-liverpool-podria-costarle-mas-de-100-mdp-estiman.html.
• FayerWayer, “El grupo SicKillers se adjudica el robo de datos a Liverpool”, 28 de diciembre de
2014, https://www.fayerwayer.com/2014/12/el-grupo-sickillers-se-adjudica-el-robo-de-datos-a-liverpool/.
• El Economista, “AT&T, Google y Liverpool ponen a prueba al IFAI”, 21 de abril de
2015, http://eleconomista.com.mx/tecnociencia/2015/04/21/att-google-liverpool-ponen-prueba-ifai.
BY VALENTÍN FUENTES
Valentín Fuentes fue Investigador Técnico del Programa de protección de datos “SonTusDatos” de la Asociación
Civil “Artículo 12” entre agosto y diciembre del año 2016. Más información sobre Valentín:
https://sontusdatos.org/staff/valentin-fuentes/.
COMENTARIOS (3)
1. LUISReply2018/03/16 at 09:09
Una empresa de crédito filtró toda mi información personal y está al alcance de todos de internet, necesito asesoría
o SONTUSDATOSReply2018/03/16 at 20:58
Hola Luis,
Gracias por ponser en contacto con nosotros vía nuestro email de contacto: contacto [arroba] sontusdatos
[punto] org.