Algunos certificados digitales del SAT presentan criptografía no recomendable, señala investigador

 

Un problema adicional son las contraseñas, debido a que no son debidamente creadas ni usadas para evitar ataques de bots que intenten adivinarlas

En 2018 el Sistema de Administración Tributaria (SAT) reportó que de enero a septiembre de ese año se habían emitido en el país 4 mil 976.5 millones de Comprobantes Federales Digitales por Internet (CFDI) o facturas digitales, con un promedio de 211 facturas generadas por segundo, lo que implica un reto de seguridad informática para cualquier estructura gubernamental.

Dada la importancia de los sistemas informáticos del SAT, los cuales son declarados como de seguridad nacional por su relevancia y magnitud, han sido un objeto natural de estudio para un grupo de investigadores del Departamento de Computación del Cinvestav, en lo que se refiere a diversos aspectos de seguridad informática y criptográfica, principal defensa que tienen esos mecanismos para proteger datos confidenciales de todos los ciudadanos.

Desde 2006, el grupo de investigación encabezado por Francisco Rodríguez Henríquez realiza esos análisis y a lo largo de los años se han encontrado fortalezas, aunque también algunas debilidades en los sistemas informáticos del SAT. “En los primeros años señalamos una vulnerabilidad muy fuerte en la selección de su ‘suite criptografía’, que usaba algunos algoritmos añejos y/o obsoletos, no recomendables”, explicó el científico.

Ante el señalamiento, el SAT reaccionó positivamente, pero como es habitual en un sistema con un enorme volumen, el cambio se realizó de manera gradual, incluso todavía se pueden ver algunos certificados digitales con criptografía no recomendada, particularmente los que usan el mecanismo SHA-1 (Secure Hash Algorithm), aunque ciertamente está en proceso de desuso por parte de la dependencia federal.

Un problema adicional son las contraseñas que solicita el SAT, porque no son lo suficientemente poderosas para evitar los ataques llamados de diccionario; en éstos un hacker utilizando un “bot”, que hace de manera automática muchos intentos por segundo, trata de adivinar la contraseña de su víctima de una manera “inteligente”, usando palabras comunes; los usuarios suelen colocar contraseñas muy fáciles de predecir; además, no se tiene la paciencia para cambiarlas con frecuencia, esa puede ser una vulnerabilidad para los ataques mencionados.

A eso se agrega otra práctica común entre los contribuyentes, que es delegar su llave pública y privada, un concepto de seguridad informática utilizado ampliamente en los sistemas del SAT, al contador designado por ellos, y cuando se presenta un problema en la declaración de impuestos no se responsabiliza al contador, pues el responsable final es el titular.

Para ese problema específico, los investigadores del Cinvestav propusieron desarrollar una tecnología llamada delegación de llaves, donde el titular proporciona estos instrumentos a su contador, pero muy acotados en sus privilegios. Ese concepto se presentó al SAT pero tras el cambio de administración no se concretó el proyecto, y hasta el momento no se han reestablecido los canales de comunicación adecuados para concretar el diseño de esta tecnología.

La firma digital solo la puede instrumentar el poseedor de la llave privada y mientras ésta no ser revele o no se recupere por una tercera persona, es única, en este aspecto es parecida a la firma autógrafa, pero la firma digital tiene una característica extra de seguridad: protege el documento de cualquier cambio, aunque sea una coma en el documento digital.

En el análisis hecho por los investigadores a los sistemas del SAT, se identificó que la mayor fortaleza de ésta institución es que tuvo mucho éxito al lanzar, en 2005, su sistema para emitir facturas digitales y eliminar las de papel, lo cual significa que la población aceptó la estrategia; ahora son muy comunes, prácticamente ubicuas, las facturas conocidas como CFDI generadas en formato PDF y XTML como comprobante válido y seguro.

“Es importante señalar que las tres leyes básicas de la seguridad informática indican que: los sistemas absolutamente fiables no existen; si se quiere disminuir la vulnerabilidad de un sistema se debe invertir el doble; y la criptografía que protege los sistemas normalmente no se rompe, se ‘brinca’, y las contraseñas son el punto más débil”, por lo tanto para tener sistemas informáticos más seguros se requiere de revisión constante, inversión y un sistema criptográfico actualizado”, sostuvo Francisco Rodríguez Henríquez. (CINVESTAV)

Autor

Agencias