Una investigación de El Financiero revela que el Servicio de Administración Tributaria (SAT) presenta una vulnerabilidad que le permite a ciberdelincuentes utilizar al menos un dominio autorizado por la autoridad fiscal para distribuir un virus informático y robar información.
Este diario realizó una indagatoria que muestra que el correo obligaciones.fiscales@sat.gob.mx, verificado por el SAT y dado de alta por esta autoridad para distribuir avisos a los contribuyentes, es usado por delincuentes cibernéticos para robar información de las computadoras de quienes acceden a un enlace enviado a través de correo electrónico.
El Financiero solicitó a tres especialistas en ciberseguridad, un par de ellos independientes y uno más que funge como analista en ESET, una empresa del ramo, analizar los enlaces distribuidos a contribuyentes a través del correo electrónico verificado: los tres coincidieron, por separado, que se trata de un malware usado para vulnerar información de los ordenadores de quienes lo activan.
Además, este tipo de vulnerabilidad está vigente en los servidores del SAT desde al menos 4 años, no obstante, antes se había documentado la distribución de virus a través de correos similares a los usados por la autoridad fiscal, mientras que esta vez se trata de un correo verídico.
“El SAT no tiene configurada la parte de DMAR, esta es una vulnerabilidad a nivel de configuración, lo que permite suplantar el dominio, por eso los correos pueden salir del dominio sat.gob.mx. A esto se le llama mail spoofing”, dijo a este diario Verónica Becerra, cofundadora de Offhack, una empresa de ciberseguridad.
La vulnerabilidad que presentan los servidores del SAT ya había sido advertida con el uso del dominio, pero los ciberdelincuentes refinaron su estrategia de robo de datos para usar correos institucionales aprobados.
En ese sentido, es posible que los defraudadores digitales estén usando una especie de espejo de correo para distribuir el malware, pues los contribuyentes también reciben información verídica y sin virus del mismo correo, pero sin enlaces para abrir.
El SAT recomienda a los contribuyentes omitir abrir enlaces enviados a través de correos electrónicos, pues esto no está conforme al protocolo de la oficina de recaudación de impuestos.
Por otra parte, el análisis de David González, investigador de seguridad de laboratorio de ESET Latinoamérica para El Financiero, detalla que el enlace contenido en el correo institucional verídico del SAT contiene información contenida en un servidor “asociada con troyanos bancarios como Grandoreiro, que afectan principalmente a países de Latinoamérica”.
El enlace que contiene el correo distribuido desde la dirección del SAT muestra la descarga de un archivo PDF, aunque en realidad se trata de un archivo que puede ejecutar comandos, modificar archivos, manipular registros y conectare a internet para descargar y ejecutar archivos maliciosos.
Víctor García, especialista en ciberseguridad, indicó que es probable que se haya comprometido la cuenta verificada del gobierno de México, o un servidor gubernamental, por lo que el ataque es más peligroso.
“Para mitigar el riesgo es crucial verificar la autenticidad de los mensajes, no hacer clic en los enlaces, restablecer credenciales comprometidas, revisar registros de actividad y reforzar la seguridad de correo con SPF, DKIM y DMAR”, dijo García.
Es precisamente el protocolo de seguridad DMAR que no está actualizado en el servidor de correo del SAT, lo que permite a los ciberdelincuentes, que usan un servidor ubicado en Alemania, para realizar la distribución del malware.
Becerra, que realizó un análisis del dominio para El Financiero, detalló que esta vulnerabilidad no es nueva, y que su resolución, que permitiría que no se usaran los correos verificados para enviar virus, es relativamente sencilla y no tardaría más de 48 horas.
“Se trata de una negligencia, su corrección es relativamente sencilla, y existen soluciones en internet que tardarían en hacer efecto en horas y hasta en un par de días”, comentó la experta.
El Financiero solicitó información al SAT sobre la vulneración y los alcances de esta, pero hasta el cierre de esta edición, la autoridad tributaria no realizó comentarios al respecto.
Cabe señalar que el mismo correo es usado por la autoridad para distribuir avisos de cumplimientos y otras obligaciones reales, pero los correos no contienen ningún tipo de enlace.
Adicionalmente, las notificaciones contienen los RFC de los contribuyentes, entre otros detalles, como los logos en alta calidad, e información referente a las obligaciones.
Los correos reales, además, piden al usuario ingresar con sus credenciales, como su e.firma, al portal oficial y el buzón tributario, en donde se puede verificar el requerimiento de la autoridad hacendaria.