CDMX.- Un nuevo ciberataque ha puesto en alerta al Servicio de Administración Tributaria (SAT) a tan solo unos días de que dé inicio la campaña para que las personas físicas realicen su declaración anual de impuestos. El hacker conocido como ‘Lord Peña’, perteneciente al grupo ‘Mexican Mafia’, ha descubierto una vulnerabilidad en el portal del SAT que pone en riesgo la seguridad de millones de contribuyentes.

Según información de la Secretaría de Hacienda y Crédito Público (SHCP), a partir del próximo lunes 1 de abril de 2024, los contribuyentes que no representan a una persona moral tendrán un mes para presentar su declaración del 2023. Sin embargo, antes de que comience el periodo para informar a las autoridades sobre ingresos, gastos y deducciones, ‘Lord Peña’ demostró que el portal del SAT no es tan seguro como se pensaba.

El atacante ha revelado que el sitio del SAT presenta una vulnerabilidad conocida como «reflected XSS», la cual le permite ejecutar código JavaScript en el navegador de los usuarios que visitan el portal. Aunque esta vulnerabilidad no afecta directamente al servidor del SAT, representa un riesgo para la integridad de los contribuyentes que ingresan al sitio.

El SAT en la mira de hackers

‘Lord Peña’ afirmó haber encontrado esta falla que le permite manipular el comportamiento del sitio desde el lado del usuario, lo que podría abrir la puerta a campañas de phishing avanzadas. En este sentido, los contribuyentes podrían ser engañados para compartir contraseñas o datos financieros, creyendo que están interactuando con una entidad de confianza.

El XSS reflejado utilizado por el hacker es una técnica que le permite ejecutar scripts en el navegador de los usuarios, lo que significa que podría crear páginas web falsas para engañar a los contribuyentes y obtener información confidencial. A pesar de que no accedió directamente al servidor del SAT, la vulnerabilidad descubierta por ‘Lord Peña’ representa un riesgo para la seguridad de los contribuyentes en plena temporada de declaración anual.

Podría interesarte:

• Bandas deberán tramitar permiso para poder tocar en playas de Mazatlán
• Cofepris identifica seis playas no aptas para uso recreativo en Semana Santa