Uno esperaría que el IRS asegurara su presencia en la web al menos tan bien como un banco, pero un reciente ataque automatizado en el sitio web del IRS muestra qué tan vulnerable es el PIN de presentación electrónica del IRS (número de identificación personal) el sistema puede ser. El 9 de febrero de 2016, el IRS reportó un ataque automatizado en el cual se usaron aproximadamente 101,000 números de Seguridad Social (SSN) para acceder exitosamente a los PIN de archivos electrónicos. Se realizaron intentos no autorizados en aproximadamente 464, 000 SSN únicos.

El IRS notifica a las personas afectadas por el incumplimiento y pone protecciones adicionales a las cuentas afectadas para proteger contra el robo de identidad. (Para obtener más información sobre el tema, consulte Cómo proteger sus declaraciones de impuestos contra el robo de identidad y Robo de identidad del impuesto sobre la renta: cómo combatirlo .)

El problema no es nuevo el IRS. De hecho, en 2013, el IRS nombró el robo de identidad como la estafa número uno que debe combatir. Sabiendo que esto es un problema, es sorprendente que el IRS no haya hecho más para proteger su sitio web de archivos electrónicos.

El problema

El 18 de febrero, Joseph Henchman, vicepresidente de proyectos legales y estatales para Tax Foundation, escribió al Comisionado del IRS John Koskinen para señalarle problemas con "Get My Electronic". Solicitud de PIN "en el sitio web del IRS. Esta página, "que permite a los contribuyentes obtener un número de proveedor de IRS para presentar sus impuestos en línea", escribió, "requiere una información mínima que cualquier ladrón de datos que valga la pena ya tendría. En la actualidad, cualquier persona que tenga el número de seguridad social, la dirección y la fecha de nacimiento de alguien puede robar la identidad de alguien usando esta página del IRS. "

Henchman señaló que las características que harían la página más segura incluyen:

• Una función "CAPTCHA" que requiere que uno demuestre que es humano.
• Información requerida a la que un hacker o ladrón de datos no tendría fácil acceso, como los detalles de la declaración de impuestos del año anterior para verificar la identidad.

Además, cuando Henchman intentó obtener un PIN del IRS, el navegador web Chrome que utilizó emitió una advertencia de que la página del IRS "usa una configuración de seguridad débil" y que "la conexión está encriptada usando un conjunto de claves obsoleto" . "

Henchman escribió:" El objetivo de solicitar un PIN para presentarlo electrónicamente es minimizar el robo de identidad, por lo que es tristemente irónico que el proceso para obtener un PIN electrónico sea tan fácil que se convierta en el objetivo de obtener uno sin sentido. en el mejor de los casos, y facilitando el robo de identidad en el peor de los casos. "

Respuesta del IRS

En respuesta a la carta de Tax Foundation, el IRS emitió una declaración de que" no discutimos nuestros protocolos o sistemas subyacentes. "Específicamente con respecto al uso de las características de CAPTCHA, el IRS agregó," No siempre hay soluciones simples a los problemas en esta área de rápida evolución que involucra seguridad cibernética.Por ejemplo, muchas técnicas de 'CAPTCHA' tienen debilidades que los atacantes inteligentes pueden superar. "A pesar de esto, el IRS aseguró a los contribuyentes que" sigue monitoreando de cerca la aplicación de PIN de archivos electrónicos, así como nuestros otros sistemas, y tomaremos las medidas necesarias para proteger a los contribuyentes. "

The Tax Foundation se enteró por primera vez sobre el problema de Luca Gattoni-Celli de Tax Analysts, quien publicó la alerta el 18 de febrero. Un ex agente de ingresos del IRS, Kevin Johnson, contactó a los analistas de impuestos. desconcertante porque es muy fácil obtener los PIN. "

The Bottom Line

Se supone que el PIN de presentación electrónica le brinda a los ciudadanos de los EE. UU. La seguridad de que sus registros con el IRS son seguros. Claramente, esta brecha plantea preguntas sobre el nivel de seguridad actualmente en vigencia. Mire su correo en busca de una carta del IRS, en caso de que tenga uno de los números de Seguridad Social que podría haber sido pirateado.

El IRS emitió una declaración que indica que conoce el problema y que ha implementado protecciones adicionales. El IRS también señaló que los sistemas de procesamiento son diferentes: "Los sistemas de procesamiento son independientes y distintos de la aplicación de PIN de e-file, y la información del contribuyente no se ha visto comprometida en esta plataforma crítica. "

Obtenga más información sobre cómo protegerse en Cómo protegerse contra el robo de identidad .