Po:  Zack Whittaker

Si viajaste a México el año pasado y solicitaste un reembolso de impuestos sobre los bienes adquiridos ahí durante tu visita, hay una buena probabilidad de que tus datos personales hayan sido expuestos.

Más de 455,000 documentos escaneados, incluyendo pasaportes, tarjetas de identificación, tarjetas de crédito, billetes de viaje y tarjetas de embarque, fueron almacenados en una base de datos no segura propiedad de MoneyBack, un servicio de reembolsos de impuestos con sede en la Ciudad de México.

La base de datos contenía cientos de gigabytes de registros sobre lo que se cree que es "cada cliente" que utilizó el servicio en el último año, según investigadores de seguridad del Kromtech Security Research Center, quienes descubrieron la base de datos expuesta como parte de una auditoría de seguridad rutinaria.

Los datos fueron almacenados en una base de datos CouchDB mal configurada, que podía ser accesible por cualquier persona con un navegador Web -- sin necesidad de usar una contraseña -- hasta el martes de esta semana, cuando los datos fueron asegurados.

Según Kromtech, la mayoría de los 88,623 pasaportes únicos encontrados en la base de datos eran de ciudadanos de Estados Unidos, Canadá, Argentina, Colombia y varios países europeos.

Muchos de los documentos hallados también incluían fotos escaneadas de la parte delantera y trasera de las tarjetas de crédito que se usaron para verificar compras y que, de ser vistas, pudieron ser utilizadas por ladrones para hacer compras no autorizadas.

La brecha de seguridad plantea un riesgo para cualquier persona cuya información está atrapada en una base de datos, ya sea que sean víctimas de fraude de identidad y/o del robo de sus tarjetas de crédito.

MoneyBack es una de las pocas compañías que gestionan establecimientos de reembolso de impuestos para turistas que visitan México. La empresa permite a visitantes y turistas a México que gasten $1,200 pesos o más (unos US$65) reclamar el reembolso por los impuestos pagados en compras de artículos de lujo y bienes en más de 6,000 tiendas afiliadas en ese país. Para obtener su reembolso de impuestos, el comprador tiene que presentar información personal, incluyendo su pasaporte y su tarjeta de crédito, para su verificación. A cambio del servicio, MoneyBack se lleva una comisión de ese reembolso.

Alex Kernishniuk, de Kromtech, dijo que no se sabía si alguien más allá de los investigadores de seguridad de la compañía tuvieron acceso a los datos de MoneyBack. Los investigadores señalaron que la base de datos no había sido bloqueada por ransomware, a diferencia de miles de otras bases de datos igualmente desprotegidas que han sido víctimas de los hackers.

"Esto es, una vez más, una advertencia a las empresas u organizaciones que recolectan datos confidenciales para que tomen todas las precauciones y medidas posibles para garantizar que se utilizan las medidas de seguridad de datos adecuadas", dijo Kernishniuk.

MoneyBack no respondió a una solicitud de comentarios.

Este artículo fue publicado originalmente en ZdNET, una la publicación hermana de CNET y CNET en Español.