Plataforma de facturación del SAT, ¿Opción insegura?

Desde la llegada de la facturacion en linea en 2005, el Servicio de Administración Tributaria estableció su propia plataforma de atención para que los contribuyentes pudieran efectuar la emisión de sus facturas, una herramienta gratuita a la que se puede acceder desde cualquier lugar. Hace unos días, el investigador Francisco Rodríguez Henríquez, adscrito al Laboratorio de Criptografía del Departamento de Computación del Centro de Investigación y Estudios Avanzados (Cinestav), dio a conocer que los algoritmos criptográficos que utiliza esta plataforma son obsoletos, por lo que ponen en riesgo la seguridad informática del contribuyente. 

Además de crear la facturación, la plataforma del SAT permite enviar las declaraciones de impuestos, descargar XML SAT, descargar sus certificados digitales, corregir sus datos, entre otros servicios necesarios para el área contable y fiscal de una empresa, por lo que se requiere de la más alta seguridad y confidencialidad de la información.

El mencionado experto y su equipo de colaboradores -en el que participaron expertos del Centro de Investigación en Computación del IPN y de la Universidad Autónoma de Puebla- llevaron a cabo un análisis de los códigos criptográficos que utiliza el SAT para su plataforma, la cual se basa en un paradigma de criptografía de llave pública que asigna al contribuyente un par de llaves único, sin embargo una de ellas es pública y puede ser divulgada por Internet u otro medio; esta llave se vincula criptográficamente junto con la información del contribuyente en un certificado digital, generado y firmado por el SAT. El algoritmo utilizado para registrar la firma del contribuyente se denomina RSA-1024, sin embargo el grupo de expertos advierte que está clasificado como obsoleto por organismos de seguridad como el Instituto Nacional de Estándares y Tecnología (NIST en inglés) de Estados Unidos desde el año 2010. Aunque el SAT se encuentra en proceso de migración hacia una versión más segura, conocida como RSA-2048, los certificados digitales vulnerables seguirán en circulación hasta el 2020.

Por otro lado, la Clave Electrónica de Identificación Confidencial (CIEC), a pesar de haber sido fortalecida, sigue siendo un riesgo para el ataque cibernético, ya que muchos contribuyentes utilizan solo 8 caracteres, cuando se recomienda una longitud de al menos 12 para que sea una contraseña segura. Una contraseña corta es más fácil de hackear y los resultados suelen ser devastadores para la víctima, ya que el fraude cibernético suele relacionarse con la usurpación de identidad.

Según las declaraciones de funcionarios del SAT, entre el 2007 y 2009 se registraron pérdidas por 3,400 millones de pesos, que en su mayor parte consistieron en la emisión apócrifa de facturas.  Ante los riesgos cibernéticos, el experto recomienda al SAT la aceleración de la migración hacia un algoritmo con mayor seguridad para sus usuarios como el de Criptografía de Curvas Elípticas, así como mayor seguridad en la clave de seguridad, generando consciencia en los contribuyentes de la importancia de contar con una contraseña de más de 10 caracteres y la prevención de ataques cibernéticos.

Facturador Electrónico es una plataforma de alta seguridad y confidencialidad en la información de nuestros clientes, conoce las soluciones que tenemos para ti.