You Are Reading

.

Compartelo:
2

Vulnerabilidad con FIEL (SAT) ¿Error o Descuido?

SIEH 10 de mayo de 2011 , ,
Actualmente muchas personas ya estan utilizando la tecnologia de firma electronica y si no conoces el proceso para llenar la solicitud de la FIEL en este video se muestra como.



Todo parece estar a la banguardia pero ultimamente se han encontrado ciertas contramedidas.
  
El Servicio de Administración Tributaria aplica de forma incorrecta la tecnología para generar Firmas Electrónicas Avanzadas (FEA), además de que obtiene sin autorización de los contribuyentes, información a la que sólo estos deben tener acceso.

Cada vez que como contribuyente emite un reporte al Servicio de Administración Tributaria (SAT) por medio de la aplicación SICOFI, la autenticación tiene que ser mediante la Firma Electrónica Avanzada (FEA). Al realizar este proceso, el organismo está teniendo acceso -sin su consentimiento-, a su password, (y posiblemente a su clave privada encriptada) y se lo está enviando.

Esta delicada historia nació por accidente. Un buen día un amigo con amplios conocimientos técnicos decidió utilizar el sistema SICOFI del SAT a través del navegador Firefox. Después de proporcionar sus datos confidenciales a la aplicación (password, archivos de clave privada y certificado) y teclear enter, el sistema se trabó. Curioso, el contribuyente observó el texto escrito en la barra superior del navegador - donde se escribe la dirección del sitio que quiere uno navegar- y entre los datos, descubrió su password junto con un texto cifrado. 

Observó más de cerca el texto y encontró que el SAT se estaba enviando su password y vio con mucha sospecha el resto del texto especulando si no serían su clave privada cifrada. Lo anterior nos lo informó con la solicitud de proteger su identidad por razones obvias.

Decidimos replicar el proceso ante notario público utilizando nuestra información de causante con la versión 3.6.13 de Firefox, y el resultado fue el mismo: Después de proporcionar los datos y archivos confidenciales de firma electrónica avanzada, el sistema se trabó, y en la barra apareció la instrucción de envío de información confidencial:


HTTP//www.consulta.sat.gob.mx/SICOFI_WEB/moduloECFD_Plus/Redirect.asp?cadenaO=(RFC del contribuyente)/006245/&firma=Azl/biljk3P/45/ H8A2e18wopE5BFE=&PAGINA=fRAMEpRINCIPAL. ASP&CcLAVE= (Clave privada del contribuyente) &rutClave=&rutCert= 
 
Dudas y razones


Expertos en firma electrónica avanzada consultados por Infochannel corroboraron lo delicado del asunto ya que la firma digital es un mecanismo que ofrece un reemplazo funcional a la firma autógrafa en el sentido de que es un método que, al igual que la firma autógrafa, depende exclusivamente del firmante. Además la firma digital garantiza detección de la integridad del documento.


La firma no es únicamente un recurso técnico es también legal. Varias leyes en nuestro país incluyen el concepto de firma electrónica avanzada y su equivalencia legal con la firma autógrafa.


Lo que las leyes definen como firma electrónica avanzada son aquellos métodos que precisamente garantizan el control exclusivo del firmante y la detección de la integridad. Para efectos prácticos, se puede considerar que sólo las firmas digitales satisfacen la definición de firma electrónica avanzada.

A diferencia de la firma autógrafa que no se puede robar, la CLAVE PRIVADA, si puede, potencialmente, ser hurtada. Si alguien tiene información sobre el password de acceso, y además obtiene los archivos encriptados asociados con la Clave Privada de cualquier persona, entonces puede firmar a su nombre lo que desee, y el afectado no lo podrá repudiar legalmente. 

¿Por qué y para qué se lleva el SAT indebidamente información confidencial de los contribuyentes, sabiendo que está violando sus derechos? Podemos ser ingenuos y decir que utilizan estos datos para comprobar que es usted, y no otra persona, la que está realizando el proceso y darle acceso al sistema; en caso de que así sea, el organismo estaría incurriendo en un error técnico ya que todo el sistema de seguridad, desde el punto de vista técnico, se colapsa, lo mismo ocurre con el concepto legal de firma electrónica avanzada.

  Esto es grave en dos aspectos:

* Las Firmas Electrónicas generadas a partir de los certificados emitidos por el SAT no pueden ser consideradas como Firmas Electrónicas Avanzadas, sino como simples firmas electrónicas (FIEL), con menores requisitos de seguridad. 
 
* El SAT está obteniendo el password del contribuyente y se lo está enviando sin su consentimiento.

Si somos un poco mal pensados, podría darse el caso que la información que recopila el organismo mediante este proceso, está llegando a manos no autorizadas del SAT y, posiblemente a los servidores de una mafia electrónica. Imagine usted el peor escenario en que puedan ser utilizados los datos que - periódica y voluntariamente-, le proporciona al SAT, o a alguien del SAT, con los cuales está expuesto a que le usurpen su identidad.

Nada de lo que le relatamos lo puede reconocer el Servicio de Administración Tributaria. Primero tratará de esconder el error y esperamos que inmediatamente después se dedique a corregirlo, poniendo a salvo nuestra información como contribuyentes. Aunque el daño está hecho.  






2 comentarios:

Chema dijo...

Muy buenas. He tweeteado el víde de cómo obtener la FIEL, me parece juy instructivo.

Por otro lado, ayer publicamos cómo transformar los ficheros de certificado y de clave provada en un único fichero de formato estándar para usar en otras aplicaciones. Se encuentra en nuestro blog mexico.isigmaglobal.com (http://bit.ly/jMgs9G)

Quizá os pueda ser de utilidad.

SIEH dijo...

Muchas gracias por comentarnos Chema es de gran ayuda esta información ^^

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT