NEGOCIOS

Empresa mexicana expone datos de turistas extranjeros que pidieron reembolsos de IVA

Moneyback es una de las empresas concesionadas por el SAT para la devolución de impuestos a extranjeros.

14/09/2017 11:17 AM CDT | Actualizado 14/09/2017 12:55 PM CDT
Kromtech

Casi medio millón de datos personales de extranjeros que viajaron a México estuvieron disponibles, sin protección, por varias semanas para cualquiera que tuviera conexión a internet en el mundo. Era información sensible que nadie querría que terminara en las manos equivocadas: pasaportes, identificaciones oficiales y números de tarjetas de crédito.

La compañía global desarrolladora de software Kromtech halló en internet una base de datos mal configurada, con miles de archivos de turistas que visitaron México el año pasado y solicitaron el reembolso del IVA por productos comprados en el país; este programa de devolución funciona desde 2008.

La firma, que se especializa en detectar fugas y en la protección de datos, informó que la base podría estar relacionada con la empresa mexicana MoneyBack, una de las dos concesionadas por el SAT para la devolución de impuestos a extranjeros.

Kromtech Security Research Center
Copias de tarjetas de crédito encontradas en la base de datos.

"El aspecto más peligroso de este descubrimiento es la gran cantidad de datos, que suman más de 400 GB", informó Kromtech. Esto es poco menos de la mitad de un terabyte de información privada que cualquiera podía descargar en internet.

Aunque no hay un dato preciso sobre las nacionalidades de los extranjeros que estaban en esta base de datos, Bob Diachenko, jefe de Comunicaciones de Seguridad de la empresa dijo al HuffPost México que la mayor parte de la información provenía de ciudadanos estadounidenses.

La base de datos contenía 455 mil 038 documentos escaneados (identificaciones oficiales, tarjetas de crédito y tickets), de los cuales 88 mil 623 son números de pasaportes escritos o escaneados. Una parte también corresponde a comprobantes de compras, que para entrar en el programa de devolución de IVA en México debían ser mayores a mil 200 pesos.

En 2011, el gasto promedio por turista estadounidenses que aplicó al programa de devolución fue 19 mil pesos, según datos del Centro de Estudios Superiores en Turismo (Cestur).

Datos no protegidos

Kromtech
Base de datos.

Los especialistas de Kromtech, que es el desarrollador del famoso software para dispositvos Apple MacKeeper, buscan y detectan fugas de datos o archivos, para comunicar a las empresas afectadas y ofrecerles garantías para la protección de estos archivos.

En una de sus búsquedas, los especialistas encontraron la base con datos de los turistas extranjeros en un formato CouchDB mal configurado, lo que significa que no contaba con filtros como contraseña o inicio de sesión para acceder a su contenido.

Esto ocurre cuando los administradores de la base de datos omiten o inhabilitan la configuración de seguridad para facilitar el acceso de forma remota o interna, ya que de forma predeterminada esos archivos están protegidos, informó Diachenko.

Y lo encontraron porque aunque MoneyBack dice estar ubicada en México, el alojamiento y la dirección IP de la empresa se encuentra en Estados Unidos. "Por supuesto, no hay uso indebido de los datos", dijo Diachenko. "Seguimos las prácticas de divulgación responsable e informamos a la empresa antes de publicar algo".

Poco tiempo después de que avisaron a la empresa mexicana sobre la base de datos, la información se blindó. "Comprobamos que la base de datos está correctamente protegida, por lo que ahora nadie puede acceder a ella", dijo el jefe de Comunicaciones de la empresa.

¿Cómo funcionan los reembolsos a turistas?

Tomada de la página oficial de MoneyBack

La devolución del IVA a turistas es un programa que empezó a funcionar en México en 2008, para incentivar el turismo y las compras de extranjeros en productos dentro del país. Ese año había siete empresas con el título de concesión, pero hoy solo hay dos: MoneyBack, a través de la empresa Adamant Corporation, y Tax Free, con Yvesam Retornos Mundiales.

"Ellas son las responsables de realizar la devolución directamente a los turistas en un plazo de 40 días hábiles y es el concesionario el único responsable de autorizar o rechazar las devoluciones, pues el SAT sólo verifica la procedencia de los reintegros solicitados", según información proporcionada por la dependencia.

El concesionario devuelve al turista el 65% del total del IVA autorizado que se puede regresar y el 35% restante se lo queda como comisión por su servicio. Luego de 40 días hábiles de iniciado el trámite, el turista debería recibir el depósito, según el SAT.

Pero de acuerdo con la práctica, esto no es tan sencillo como suena: el reembolso de impuestos a turistas extranjeros que llegan a México se encuentra entre uno de los trámites más tardados, engorrosos y caros, según consigna El Financiero.

Quejas que circulan por Internet y redes sociales, aluden a que pueden pasar más de 6 meses antes de poder recibir dicho reembolso, por parte de ambas empresas... y en muchos casos, éste nunca se recibe.

De acuerdo con el SAT, tanto MoneyBack como Tax Free son los responsables ante terceros de cualquier situación anómala por el mal manejo de la información del turista.

El Sistema de Administración Tributaria aclaró que es el concesionario el único responsable de autorizar o rechazar las devoluciones a los turistas extranjero.

"El SAT sólo verifica la procedencia de los reintegros solicitados por las concesionarias cuando se detecta que no cumplen con las reglas y disposiciones establecidas para tal efecto, es decir, de cara al concesionario no al turista", informó.

MoneyBack no respondió a Kromtech sobre la bases de datos ni tampoco a una solicitud del HuffPost México sobre el tema.