En colaboración con Genaro Delgado, Perito Digital Federal (gdelgado@cyberwag.com)
La noticia de que el SAT sufrió un hackeo ha sido desmentida por la misma autoridad fiscal luego de que varios contribuyentes reportaran haber recibido un correo aparentemente del mismo sistema tributario comunicándoles una devolución fiscal rechazada del año 2013. Esto, como un intento de phishing: un tipo de ataque cibernético basado en engaños para revelar información confidencial o instalar un malware como ransomware.
Pese a la aclaración de la institución, lo cierto es que el sistema tributario es tan vulnerable a sufrir un hackeo como cualquier otra plataforma con acceso a información sensible. Así lo argumenta Genaro Delgado Montalvo, especialista en ciberseguridad y perito digital, quien remarca la importancia de ser conscientes como usuarios de tecnología de que ningún sistema es 100% seguro, ni el SAT, ni el ejército, ni las grandes empresas como Google, Facebook, entre otras.
«Al adquirir una identidad digital, dígase en el SAT o en cualquier otra plataforma, aceptamos como usuarios el riesgo a sufrir algún ataque. Si el SAT llegara a sufrir un hackeo, al momento tendría que informar a sus contribuyentes, para que estos puedan, por su parte hacer lo que les corresponde para asegurar que su identidad no sea usada por otras personas».
menciona el también cofundador de </cyberwag> Cybersecurity Intelligence.
¿Qué información sensible tiene el SAT en caso de un hackeo?
Anteriormente el SAT ya ha tenido intentos de hackeo, como el de 2020. En este año los sistemas informáticos de la institución fueron sujetos a presiones externas, supuestamente debido a que el usuario Anonymus México intentó hacer un reclamo público frente a la falta de transparencia del Gobierno Federal.
Pese a esto, Delgado considera que el término «hacking» está desvirtuado, pues asegurar un hackeo al SAT implica que sus servidores «fueron violentados con la finalidad de cometer algún delito«, cosa que no puede asegurarse hasta que haya una investigación de por medio.
Sin embargo, si esto pasara la información que los contribuyentes tienen registrada ante el SAT es sumamente sensible: desde las identificaciones oficiales de los contribuyentes hasta sus firmas electrónicas y sellos digitales para facturar.
Para mantener la calma de los contribuyentes, el SAT aseguró en su comunicado que el mensaje que originó esta noticia no se emitió a través del buzón tributario y descartó cualquier hackeo. No obstante, Delgado señala que el tratamiento de este tipo de situaciones debe tratarse de manera muy delicada y con análisis previo:
«Los organismos no deben responder de manera inmediata a estas acusaciones a menos de que tengan los elementos que les den certeza de lo que pasó»
Comenta Genaro Delgado Montalvo
Añade que con base en todos los identificadores técnicos, se podría prácticamente asegurar que esos correos sí salieron de los servidores del SAT, aunque no descarta que se hayan producido por un error en alguna prueba de notificaciones o algo parecido.
¿Qué usos se pueden dar a esta información en caso de un fraude cibernético?
La plataforma digital del SAT le otorga a sus contribuyentes la posibilidad de validar su identidad digital por medio de la FIEL (e.firma), los sellos digitales y otras identificaciones que se registran en su página oficial. Las cuales pueden utilizarse para ejecutar contratos, abrir cuentas bancarias e incluso crear empresas, pues muchos servicios digitales avalan la FIEL como una firma del contribuyente con validez jurídica.
Por este motivo, en caso de que ocurriera un hackeo real al SAT, las personas que sean víctimas del fraude cibernético estarían expuestas a que cualquiera de las actividades antes mencionadas se realice en su nombre, pues se obtendrían sus datos de autentificación legal. Además, una vulneración a la plataforma digital de esta institución implica que toda la información de los contribuyentes corre el riesgo de que se exponga o filtre al público en general.
Ante esta situación Delgado afirma que en caso de un hackeo a la plataforma del SAT, las personas afectadas deben cambiar de manera inmediata su FIEL y denunciar la vulneración de su identidad a Hacienda y el resto de las autoridades pertinentes, esto con el fin de invalidar cualquier acción realizada por terceros.
¿Qué hacer en caso de ser víctima de un hacker?
Frente a este tipo de amenazas el experto en ciberseguridad informa que para evitar sufrir de fraude cibernético recomienda a la población seguir estos pasos en caso de recibir un mensaje de alerta de una institución de gobierno o privada:
- Verificar el medio por el que llega el comunicado, principalmente si se te pide que otorgues información personal.
- Mantente en calma y busca cualquier error de ortografía en el mensaje
- Si ya fuiste víctima del engaño, denuncia que tu información fue comprometida para deslindarte de cualquier acción tomada por ti
- En caso de ser necesario busca ayuda jurídica para poder deslindarte de cualquier acto que haya sido realizada en tu nombre
También puedes leer: