Un reciente hallazgo de vulnerabilidad en el sistema informático del Servicio de Administración Tributaria (SAT) ha suscitado preocupación, justo en el umbral del inicio de la campaña para la declaración anual de impuestos por parte de personas físicas.
Según informó la Secretaría de Hacienda y Crédito Público (SHCP), a partir del próximo lunes 1 de abril de 2024, los contribuyentes individuales tendrán un mes para presentar su declaración correspondiente al ejercicio fiscal del año 2023.
No obstante, antes de que millones de ciudadanos utilicen este servicio en línea para cumplir con sus obligaciones fiscales, se ha revelado que el portal del SAT presenta una vulnerabilidad detectada por un hacker perteneciente al grupo conocido como ‘Mexican Mafia’, quien se hace llamar ‘Lord Peña’.
Este individuo ha identificado una vulnerabilidad denominada “reflected XSS” en el sitio web del SAT, la cual permite la ejecución de código JavaScript en los navegadores de los usuarios que acceden al portal. Aunque esta falla no afecta directamente al servidor del SAT, sí representa un riesgo para los contribuyentes al permitir la manipulación del comportamiento del sitio desde el lado del usuario.
El XSS reflejado, utilizado por ‘Lord Peña’, es una técnica que posibilita la ejecución de scripts en los navegadores de los usuarios, lo que podría conducir a campañas de phishing avanzadas. En este escenario, los contribuyentes podrían ser engañados para compartir contraseñas o datos financieros bajo la falsa creencia de interactuar con el sitio legítimo del SAT.
El hacker podría aprovechar esta vulnerabilidad para crear páginas web falsas que simulen ser el sitio oficial del SAT, con el fin de obtener información confidencial de los usuarios desprevenidos.
La revelación de esta vulnerabilidad plantea desafíos adicionales en términos de seguridad cibernética, especialmente en un momento crucial como lo es la temporada de declaración de impuestos.