Una investigación de El Financiero reveló que el Servicio de Administración Tributaria (SAT) presenta una vulnerabilidad que ha permitido a ciberdelincuentes usar un correo oficial de la autoridad fiscal para distribuir un virus informático y robar información. Expertos en ciberseguridad confirmaron que el problema radica en una falla de configuración en los servidores del SAT, lo que permite la suplantación de identidad mediante el envío de correos falsos desde el dominio oficial.
El problema de ciberseguridad en el SAT
El correo obligaciones.fiscales@sat.gob.mx, verificado por el propio SAT y utilizado para enviar avisos a los contribuyentes, ha sido empleado por hackers para distribuir malware. La investigación de El Financiero muestra que, al hacer clic en los enlaces del mensaje, se descarga un archivo aparentemente en formato PDF, pero en realidad se trata de un programa malicioso que puede ejecutar comandos, modificar archivos y conectarse a internet para descargar más software dañino.
Según David González, investigador de seguridad en ESET Latinoamérica, el virus distribuido es un troyano bancario similar a Grandoreiro, un tipo de malware que afecta principalmente a usuarios en América Latina. Este software malicioso puede comprometer datos sensibles, incluyendo credenciales bancarias.
Vulnerabilidad detectada desde hace años
Especialistas en ciberseguridad advierten que esta falla no es nueva. Verónica Becerra, cofundadora de la firma Offhack, explicó que el problema radica en la falta de configuración del protocolo de autenticación de correos DMARC (Domain-based Message Authentication, Reporting & Conformance). Esta omisión permite que terceros suplanten la identidad del SAT y envíen mensajes desde su dominio legítimo.
“El SAT no tiene configurada la parte de DMARC, lo que permite suplantar el dominio y enviar correos fraudulentos. A esto se le llama mail spoofing”, señaló Becerra.
A pesar de que el uso de correos falsificados del SAT para distribuir malware ha sido documentado previamente, esta es la primera vez que se confirma el uso de un correo real autorizado por la autoridad fiscal.
Posible acceso no autorizado a servidores del SAT
Víctor García, especialista en ciberseguridad, advirtió que este tipo de ataques podrían deberse a un acceso no autorizado a servidores gubernamentales.
“Es probable que se haya comprometido la cuenta verificada del gobierno de México o un servidor oficial, lo que hace que el ataque sea más peligroso”, explicó.
Para mitigar el riesgo, García recomienda:
- No hacer clic en enlaces sospechosos dentro de correos electrónicos.
- Verificar la autenticidad de los mensajes antes de ingresar credenciales.
- Restablecer contraseñas y credenciales si se sospecha de actividad fraudulenta.
- Revisar registros de actividad en cuentas fiscales y bancarias.
- Implementar protocolos de seguridad como SPF, DKIM y DMARC en los servidores del SAT.
El SAT no ha respondido ante la vulnerabilidad
A pesar de la gravedad del incidente, el SAT no ha emitido una postura oficial sobre el problema. El Financiero intentó contactar a la autoridad fiscal para obtener información sobre las acciones que tomará para corregir esta vulnerabilidad, pero hasta el cierre de la edición, no se recibió respuesta.
Becerra asegura que corregir la falla en los servidores del SAT no es complicado y podría solucionarse en un máximo de 48 horas. Sin embargo, la omisión de esta medida ha permitido que los ciberdelincuentes operen sin restricciones durante al menos cuatro años.
