Un reciente ciberataque ha revelado una vulnerabilidad en el portal del Servicio de Administración Tributaria (SAT), justo antes del inicio de la campaña para que las personas físicas realicen su declaración anual de impuestos.
La Secretaría de Hacienda y Crédito Público (SHCP) ha anunciado que a partir del próximo lunes 1 de abril de 2024, los contribuyentes individuales tienen un mes para presentar su declaración del año fiscal 2023.
Sin embargo, antes de que millones de mexicanos utilicen este sistema para informar a las autoridades hacendarias sobre sus ingresos, gastos y deducciones, un hacker del grupo ‘Mexican Mafia’, conocido como ‘Lord Peña’, ha demostrado que el portal no es completamente seguro.
Según el atacante, el sitio web del SAT presenta una vulnerabilidad conocida como "reflected XSS", que permite al hacker ejecutar código JavaScript en el navegador web de los usuarios que visitan el sitio del SAT.
“Encontré una vulnerabilidad de tipo ‘reflected XSS’ que me permite ejecutar código JavaScript del lado del cliente sin afectar directamente al servidor del SAT”, confirmó ‘Lord Peña’ a Publimetro México. Recientemente también hackeó a la UNAM y puso a la venta 2.3 millones de archivos del Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS).
¿Qué tan grave es la vulneración?
El XSS (Cross-Site Scripting) reflejado utilizado por Lord Peña es una técnica que permite a un atacante ejecutar scripts en el navegador web de un usuario final. En este caso, el atacante encontró una forma de inyectar código JavaScript en el sitio del SAT, lo que significa que cuando un usuario visite esa página, el código malicioso se ejecuta en su navegador.
Aunque el hacker no accedió directamente al servidor, ha encontrado una falla que le permite manipular el comportamiento del sitio desde el lado del usuario, representando un riesgo potencial para los contribuyentes que ingresan al portal.
Por Amanda Pérez