Alerta en el Servicio de Administración Tributaria (SAT), luego de ponerse al descubierto un nuevo ciberataque que pone en entredicho una vulnerabilidad en el portal, justo a unos días de que inicie la campaña para que las personas físicas realicen su declaración anual de impuestos.
De acuerdo con la dependencia de la Secretaría de Hacienda y Crédito Público (SHCP), a partir del próximo lunes 1 de abril de 2024, los contribuyentes -que no representan a una persona moral- tienen un mes para presentar su declaración de 2023.
Sin embargo, previo a que millones de mexicanos utilicen este sistema para informar a las autoridades hacendarias sobre sus ingresos, gastos y deducciones, un hacker del grupo “Mexican Mafia”, conocido como ‘Lord Peña’, demostró que el portal no es del todo seguro.
De acuerdo con el atacante, el sitio web del SAT presenta una vulnerabilidad que se llama “reflected XSS”, la cual permite al hacker ejecutar código JavaScript en el navegador web de los usuarios que visitan el sitio del SAT.
El XSS (Cross-Site Scripting) reflejado que utilizó “Lord Peña” es una técnica que permite a un atacante ejecutar scripts en el navegador web de un usuario final. En este caso, el atacante encontró una forma de inyectar código JavaScript en el sitio del SAT, lo que significa que cuando un usuario visite esa página, el código malicioso se ejecuta en su navegador.
Es decir, aunque el hacker no accedió directamente al servidor, halló una falla que le permite manipular el comportamiento del sitio desde el lado del usuario, lo que no representa un riesgo directo para la integridad del servidor, pero sí para los contribuyentes que ingresan al portal.
Al respecto, ‘Lord Peña’ explicó que este tipo de ataques podría desencadenar en campañas de phishing avanzadas, es decir, podrían engañar a los contribuyentes, en plena temporada en la que realizan su declaración anual, para hacer que compartan contraseñas o datos financieros, haciéndoles creer que están interactuando con una entidad de confianza.
En este caso, el hacker podría aprovechar la vulnerabilidad XSS para crear páginas web falsas que se parezcan al sitio legítimo del SAT y así engañar a los usuarios para que revelen información confidencial.
El Informe Tributario y de Gestión del SAT, correspondiente al cuarto trimestre de 2023, reportó que existen 11 millones 542 mil 31 personas físicas, que deben presentar su declaración anual de impuestos a más tardar el próximo 30 de abril, de acuerdo con la legislación vigente.
Este grupo de contribuyentes -integrado por trabajadores independientes, profesionistas, emprendedores y dueños de pequeños negocios- serían el blanco directo de las campañas de phishing y ataques de fraude que surjan a partir de la “vulnerabilidad” del sitio del SAT.
Sin embargo, la cantidad de personas en riesgo de ser engañadas por los hackers podría multiplicarse y crecer en varios millones, si se suman los asalariados que cada año presentan su declaración anual de forma voluntaria, en busca de obtener una devoción de impuestos.
El informe del SAT señaló que en el país hay 50 millones 24 mil 797 asalariados, que deben presentar su declaración anual de impuestos, si obtuvieron ingresos por más 400 mil pesos durante 2023; sin contar a quienes los hacen de forma voluntaria.
De igual manera, están obligados quienes tuvieron más de dos patrones, terminaron su relación laboral antes de diciembre, obtuvieron ingresos a través de algún negocio o cobraron por la renta de inmuebles.
También se contemplan a las personas que percibieron ingresos por liquidación, indemnización laboral, pensión o jubilación, o bien, quienes hayan recibido alguna herencia o premio como la Lotería.
Todos ellos podrían estar en riesgo de caer en las trampas de los hackers, si se concretan las campañas de phishing, que surjan a partir de la “vulnerabilidad” digital ubicada en el sitio web del SAT.
