El Servicio de Administración Tributaria (SAT) debe actualizar y mejorar sus procesos de ciberseguridad, debido a que carece de mecanismos de control, capacitación de personal, antivirus y combate a suplantación de identidad, entre otros.

Además, adolece de respaldos de información de usuarios, por lo que existe la posibilidad de pérdida de datos críticos en caso de contingencias, alertó la Auditoría Superior de la Federación (ASF).

Al cierre de septiembre de 2019 el SAT contaba con los datos de 76 millones 279 mil 471 contribuyentes, de los cuales 30 millones 392 mil 33 son personas físicas, 2 millones 112 mil 709 morales y 43 millones 725 mil 675 asalariados.

Hay, también, 39 millones 914 mil grandes contribuyentes clasificados como personas físicas y 9 mil 140 como morales.

En los hallazgos de la ASF en su revisión de la cuenta pública de 2018 al SAT se planteó que dichas vulnerabilidades podrían impactar en la seguridad de la información.

Es importante señalar que el único objetivo del SAT es que las personas físicas y morales contribuyan al gasto público.

Entre sus funciones está fiscalizar a los contribuyentes para que cumplan con las prácticas tributarias y aduaneras, facilitar e incentivar el cumplimiento voluntario y generar y proporcionar la información necesaria para el diseño y evaluación de la política tributaria.

Labores preponderantes

En ciberseguridad, agregó la ASF, es prioritaria la implementación de mecanismos de control para el uso controlado de privilegios administrativos, detección de necesidades de capacitación del personal de tecnologías de la información y comunicaciones (TIC), y configuraciones seguras para hardware y software en dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores.

Lo anterior, de acuerdo con las conclusiones de los trabajos de auditoría emitidas el 14 de octubre de 2019, con el objetivo de “fiscalizar la gestión financiera de las contrataciones relacionadas con las TIC; su adecuada gobernanza; administración de riesgos; seguridad de la información; continuidad de las operaciones; calidad de datos; desarrollo de aplicaciones y aprovechamiento de los recursos asignados en procesos y funciones.

Los trabajos de la ASF detectaron también que se carece de un procedimiento formalizado para la validación periódica de usuarios internos y externos; protección contra ataques de denegación de servicios; soluciones de filtrado para correo electrónico no deseado, antivirus y suplantación de identidad.

Adicionalmente, no se realiza un monitoreo de intentos de acceso a las cuentas desactivadas a través de registros de auditoría ni de informes para determinar el comportamiento usual de acceso, con la finalidad de evitar la explotación no permitida de cuentas de usuarios inactivas.

No se tiene un informe de aplicaciones de software no autorizadas, con la finalidad de evitar un programa malicioso dentro de las instalaciones.

No hay detección de necesidades de capacitación del personal de TIC que permita descubrir las áreas de oportunidad relacionadas con las habilidades y conocimiento del personal para desempeñar adecuadamente sus funciones.

“Se carece de listas blancas para la restricción e instalación de plugins o navegadores no autorizados en dispositivos de usuario final.”

Tampoco hay respaldos de información de los usuarios, por lo que existe la posibilidad de pérdida de datos críticos en caso de contingencias, alerta.