Una filtración masiva de datos personales ha sacudido a México.
La empresa mexicana Kapital, que ofrece servicios financieros a pequeñas y medianas empresas, se encuentra en el centro de un gran escándalo de filtración de datos. Investigadores de Cybernews descubrieron una base de datos expuesta con 1,6 millones de fotografías de credenciales de elector, así como selfies destinadas a la verificación de identidad.
La base de datos, ubicada en un almacenamiento en la nube de Google Cloud Storage, ha estado accesible públicamente durante más de tres meses. A pesar de numerosos intentos de notificación a Kapital y de alertas a la CERT mexicana, el acceso a los datos no había sido restringido incluso en el momento de la publicación de la noticia.
Los expertos destacan que documentos como las credenciales de elector se utilizan ampliamente para la identificación, acceso a servicios y realización de operaciones financieras. Su filtración pone en riesgo la seguridad y privacidad de los usuarios, abriendo posibilidades para fraudes y robos de identidad.
Kapital, con sede en Ciudad de México, atiende a unas 80 mil pequeñas empresas y ofrece diversos servicios, incluyendo la emisión de créditos y tarjetas bancarias. La aplicación de la empresa ha sido descargada más de 100 mil veces, y el año pasado la startup recaudó $165 millones en inversiones de Tribe Capital. Sin embargo, la compañía aún no ha comentado sobre la filtración.
La filtración de datos podría acarrear graves consecuencias. Los delincuentes pueden utilizar las credenciales de identidad para abrir cuentas falsas, solicitar créditos o realizar otras acciones fraudulentas. Las pérdidas financieras y el deterioro del historial crediticio serían solo una parte de los problemas para las víctimas.
Según la legislación mexicana, las violaciones a los requisitos de protección de datos pueden ser sancionadas con multas de hasta $1,5 millones. Los expertos de Cybernews recomiendan que Kapital cierre de inmediato el acceso a la base de datos vulnerable, la transfiera a un almacenamiento seguro y notifique a todos los clientes afectados.
Por el momento, se desconoce quién pudo haber accedido a los datos, pero la falta de medidas de protección durante varios meses plantea serias dudas sobre el enfoque de Kapital hacia la seguridad de la información.