Por: Zack Martin

El IRS anunció que estaba añadiendo un proceso de autenticación electrónica más riguroso para los contribuyentes, que ha de incrementar significativamente la protección contra los ladrones de identidad que se hacen pasar por contribuyentes para acceder a la información de declaración de impuestos a través del servicio en línea Get Transcript de IRS.

En el 2015 los hackers comprometieron los registros de impuestos de 700,000 ciudadanos. Esto fue un tipo de ataque de fuerza bruta contra una red, fue sofisticado y los hackers obtuvieron mucha información sobre los contribuyentes.

Los estafadores despejaron un proceso de autenticación de varios pasos que requería conocimiento personal previo, incluyendo información de seguridad social, fecha de nacimiento, clasificación impositiva y dirección de residencia, antes de acceder a los sistemas del IRS. El proceso también requería un paso adicional en que los solicitantes debían responder de forma correcta varias preguntas de autenticación basadas en conocimiento, que normalmente solo son conocidas por el contribuyente.

Con los nuevos sistemas, los contribuyentes deben poseer una dirección de correo electrónico, un teléfono móvil habilitado con texto y una información específica de cuenta financiera, tal como un número de tarjeta de crédito o determinados números de préstamos. Los contribuyentes que se registraron utilizando el proceso anterior, tienen que volver a registrarse y reforzar su autenticación para poder acceder al sitio.

Como parte del nuevo proceso multifactor, el IRS enviará códigos de verificación, activación o seguridad vía e-mail y texto. Los textos y correos del IRS solo contendrán códigos de un solo uso.

¡Hurra! Autenticación multifactor, eso debe mantener a raya a los hackers ¿es así?

Bueno, en parte, pero no completamente, aunque los puede frenar en alguna medida. Cada vez más los hackers han encontrado formas de burlar los códigos de seguridad de mensaje de texto por aire. Están aumentando los casos en que se apoderan de las cuentas en los teléfonos y dispositivos móviles a través de ataques “man in the middle”. Se han hecho tan vulnerables que el Instituto Nacional de Estándares y Tecnología está sugiriendo que no se apruebe su uso como segundo factor en cuentas en línea.

Entiendo los problemas de seguridad con los códigos basados en texto, pero las alternativas son problemáticas desde la perspectiva del usuario. Los códigos de seguridad basados en aplicaciones son más seguros, pero si uno no es un usuario frecuente de los mismos, no resultan tan buenos. Yo utilizo el autenticador Google Authenticator casi a diario, pero si no tuviera múltiples aplicaciones que lo requieren, tendrían mis dudas en descargarlo solamente para el IRS, algo que hago solamente una o dos veces al año. Es mucho más fácil obtener el código de seguridad enviado como mensaje de texto.

No hay una solución que sea fácil. Se estimó que los hackers robaron en la violación del 2015 al IRS tanto como $50 millones. Con tanto en juego, los estafadores harán todo lo posible para encontrar la manera de entrar a esos sistemas.

La usabilidad de esos sistemas de autenticación tiene que recibir tanta consideración como la seguridad, ya que si no son fáciles de usar, la gente no utilizará los servicios o encontrarán otras soluciones, y entonces volvemos al punto de partida.