Dos bases de datos con 2.1 millones de registros de clientes de Librería Porrúa estuvieron expuestas en línea sin ninguna protección en julio de este año, reveló una investigación de la firma Comparitech, publicada el jueves 1 de agosto.

Según los analistas, la base de datos fue indexada sin contraseña por el motor de búsqueda Shodan.io el 14 de julio. El investigador Bob Diachenko descubrió el fallo al día siguiente y notificó de inmediato a Porrúa. Tres días después, el 18 de julio, el contenido de la base de datos había sido eliminado y sustituido por un mensaje de advertencia, en el que ciberdelincuentes solicitaban un pago en bitcoin. El 19 de julio, el acceso público a las bases de datos fue inhabilitado. Comparitech intentó contactar a Porrúa, sin éxito.

De acuerdo con El Economista, estas bases contenían registros de compra, información de contacto de usuarios –como número de teléfono o correo electrónico– información de tarjetas bancarias, domicilios de envío, entre otros.

La editorial aceptó que hubo una exposición de datos de su registro; sin embargo, negó que hubiera información bancaria vinculada a usuarios y que la base de datos estuviera actualizada. Édgar Gobea, gerente de Tecnología de Porrúa, mencionó que sospechan que se trató de una base de datos antigua, ya que Comparitech “menciona que son alrededor de 200 mil registros de clientes; nosotros actualmente traemos 1.2 millones”.

Porrúa también rechazó la versión de se les hubiera pedido alguna suma monetaria para liberar las bases de datos y aseguró que ya se está notificando a usuarios a través de correo electrónico y se les está invitando a cambiar la contraseña de su registro.

Por su parte, Comparitech menciona que la información expuesta en la base de datos hace que los clientes de la librería sean susceptibles de recibir spam, ataques de phishing e intentos de fraude. “Por ejemplo, los usuarios afectados podrían recibir correos que aseguren ser de Librería Porrúa, con un enlace a un sitio falso [de la librería]. Los usuarios podrían introducir sus credenciales de acceso en el sitio apócrifo y otorgar sus contraseñas”, alerta la firma.

Aunque las bases de datos estuvieran desactualizadas, existe un descuido en el resguardo de la información y una vulneración de datos personales de un número indeterminado de clientes de la librería, por lo que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) debería actuar de oficio e investigar el incidente por posibles violaciones a la ley.


Imagen de Ellen Forsyth (CC BY-SA 2.0)