Un nuevo ciberataque descubrió una vulnerabilidad en el portal del Servicio de Administración Tributaria (SAT) justo a unos días de que inicie la campaña para que las personas físicas realicen su declaración anual de impuestos.
De acuerdo con la dependencia de la Secretaría de Hacienda y Crédito Público (SHCP), a partir del próximo lunes 1 de abril de 2024, los contribuyentes —que no representan a una persona moral— tienen un mes para presentar su declaración del 2023.
Sin embargo, previo a que millones de mexicanos utilicen este sistema para informar a las autoridades hacendarias sobre sus ingresos, gastos y deducciones, un hacker del grupo ‘Mexican Mafia’, conocido como ‘Lord Peña’, demostró que el portal no es del todo seguro.
De acuerdo con el atacante, el sitio web del SAT presenta una vulnerabilidad que se llama “reflected XSS”, la cual permite al hacker ejecutar código JavaScript en el navegador web de los usuarios que visitan el sitio del SAT.
“Encontré una vulnerabilidad de tipo ‘reflected XSS’ que me permite ejecutar código JavaScript del lado del cliente sin afectar directamente al servidor del SAT”, confirmó a Publimetro México ‘Lord Peña’, quien recientemente también hackeó a la UNAM y puso a la venta 2.3 millones de archivos del Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS).
.
¿Qué tan grave es la vulneración?
El XSS (Cross-Site Scripting) reflejado que utilizó Lord Peña es una técnica que permite a un atacante ejecutar scripts en el navegador web de un usuario final. En este caso, el atacante encontró una forma de inyectar código JavaScript en el sitio del SAT, lo que significa que cuando un usuario visite esa página, el código malicioso se ejecuta en su navegador.
Es decir, aunque el hacker no accedió directamente al servidor, halló una falla que le permite manipular el comportamiento del sitio desde el lado del usuario, lo que no representa un riesgo directo para la integridad del servidor, pero sí para los contribuyentes que ingresan al portal.
“Esto podría ser utilizado para campañas de phishing avanzadas”: Lord Peña
Al respecto, Lord Peña explicó que este tipo de ataques podría desencadenar en campañas de phishing avanzadas, es decir, podrían engañar a los contribuyentes, en plena temporada en la que realizan su declaración anual, para hacer que compartan contraseñas o datos financieros, haciéndoles creer que están interactuando con una entidad de confianza.
En este caso, el hacker podría aprovechar la vulnerabilidad XSS para crear páginas web falsas que se parezcan al sitio legítimo del SAT y así engañar a los usuarios para que revelen información confidencial.
News Related-
Jugadoras muestran su amor previo a enfrentarse en Final de Liga MX Femenil
-
“Quiere ser blanca”: critican a Beyoncé por su aspecto durante estreno de “Renaissance’
-
Vicente Fox cierra su cuenta de Twitter tras acusaciones de misoginia
-
Nicola Porcella causa polémica par dar un “ride” al Metrobús a sus fans
-
Rayados: Héctor Moreno 'enciende' a la afición tras renovar con Monterrey
-
X es "un arma de destrucción masiva de nuestras democracias", alcaldesa de París
-
Abejas de León pierde ante Fuerza Regia que suma su tercer juego ganado
-
Javier Milei se reúne en Nueva York con el expresidente Bill Clinton y un asesor de Biden
-
Entre acusaciones, dirigentes nacionales de PAN, PRD y MC se confrontaron en debate en la FIL
-
¿Por qué NO todos los trabajadores tendrían 2 DÍAS de DESCANSO con la Reforma Laboral? LFT
-
Los personajes más odiados de todos los tiempos en las series: 'Game of Thrones' aparece tres veces entre los 10 más votados
-
Gobierno de AMLO pagará 2 mil millones de pesos a Liverpool por la bodega para la "superfarmacia"
-
¿Qué usó Anika Rodríguez en la cara durante la final femenil?
-
“Riesgo de una catástrofe nuclear es real y va en aumento”, alerta Juan Ramón de la Fuente en la ONU