Noticias

Mientras SAT niega hackeo, el hacker ‘Lord Peña’ insiste en vulnerabilidades

De acuerdo con la autoridad hacendaría, el sistema funciona de forma óptima para realizar la declaración anual 2023

La vulnerabilidad del SAT se registra a unos días de que inicie el periodo para que las personas físicas presenten su declaración anual de impuestos.
SAT afirma que cuenta con la capacidad y seguridad en el portal de internet para garantizar que las personas físicas y morales realicen su declaración anual. (Cuartoscuro)
Por Ignacio Gómez Villaseñor

El Servicio de Administración Tributaria (SAT) aseguró que cuenta con la capacidad y seguridad en el portal de internet para garantizar que las personas físicas y morales realicen su declaración anual. Esto, después de que en Publimetro México fue publicada información sobre un posible hackeo.

Para evitar que sean víctimas de actos de phishing (es decir que sean engañados para entregar información), el SAT resaltó que los contribuyentes deben ingresar únicamente al sitio del SAT y http://omawww.sat.gob.mx/DeclaracionAnual2023/Paginas/index.html, que son los sitios oficiales de la dependencia gubernamental.

La e.firma es un certificado digital cada vez más necesario para diferentes trámites. (Dreamstime)
SAT. La e.firma es un certificado digital cada vez más necesario para diferentes trámites. (Dreamstime)

En una breve tarjeta informativa, la autoridad tributaria afirmó que no existe ninguna vulnerabilidad en sus sistemas que ponga en riesgo la información de los contribuyentes.

Durante estos días el servicio para la declaración anual de personas morales, que concluye el 1 de abril, funciona de manera óptima para que los contribuyentes cumplan con esta obligación fiscal”, informó el SAT.

Hacker insiste en vulnerabilidades

Lord Peña’, hacker del grupo Mexican Mafia que recientemente puso a la venta una base de datos de 2.3 millones de archivos del IIMAS de la UNAM y quien señaló la vulnerabilidad ‘reflected XXS’ de la que informó Publimetro México el pasado 28 de marzo, reiteró que el sistema no es seguro.

Encontré dos vulnerabilidades críticas, un Log4Shell y una vulnerabilidad crítica en su servidor GitLab, que es una vulnerabilidad pública (CVE-2021-22205) que afecta a todas las versiones a partir de la 11.9. GitLab no estaba validando correctamente los archivos de imagen que se pasaron a un analizador de archivos que resultó en una ejecución remota de comandos”, alertó el hacker.

Así es la modalidad de ‘estafa’ de delincuentes tras robar tu celular.
grupo ‘Mexican Mafia’ ha perpetrado un ciberataque. (Milan_Jovic/Getty Images)

En este caso, básicamente, GitLab no verificaría correctamente los archivos de imagen, lo que, en dado caso, permitiría a un atacante ejecutar comandos maliciosos en el servidor GitLab del SAT desde cualquier lugar. En el caso del Log4Shell, en general, es una falla que permite a un hacker ejecutar comandos en los sistemas de forma remota, sin necesidad de estar autenticado.

Cabe destacar que, de acuerdo con el SAT, no hay vulnerabilidades. Pese a ello, Publimetro México informó a las autoridades hacendarias de los señalamientos del hacker para que se encuentren enterados de dicha información.

Recomendados:

DV Player placeholder

Tags

Lo Último