En el post anterior ya vimos cómo el mismo sistema de servicios de impuestos internos (SII) violaba la seguridad de nuestras contraseñas; en este nuevo post comentaré las recomendaciones de seguridad que aparecen publicadas en el sitio web del SII y tambien analizaré el manual de configuracón para la utilización de ingreso mediante certificado digital o firma electrónica.

En este link, pueden ver las Recomendaciones de Seguridad, donde dan los siguientes consejos:

• Nuestro Servicio sólo envía correos de carácter informativo, no se adjunta ningún link o documento que deba descargar.
• El Servicio nunca solicitará respuesta a los correos electrónicos.
• Nunca se solicitará datos personales, rut ni su clave secreta.
• Si le solicitan este tipo de información puede estar siendo víctima de un fraude, provocado por un phishing, virus o troyano.
• Escriba la dirección completa www.sii.cl en su navegador de internet y asegúrese de hacerlo en lugares conocidos.
• Mantenga su computador actualizado con sus parches y antivirus al día para protegerlo de software malicioso.
• Si su navegador (Firefox, Explorer, Chrome u otro) le ofrece “volver a recordar clave”, no lo acepte nunca.
• No permita que otros vean su clave secreta.
• No ocupe la misma clave del SII para otros sitios en Internet.

Por otro lado, Servicio de Impuestos Internos nos entrega el siguiente manual para realizar la configuración óptima de nuestro certificado digital: Instalación del Certificado Digital y Configuración del Computador.

Un análisis paso por paso de este manual de configuración:

Paso 1

Lo primero que nos indica es que solo soporta sistemas operativos de Microsoft y navegadores de la familia Internet Explorer. Otro detalle, que aparece en los parentesis, es que para poder utilizar el sistema necesitamos tener privilegios de administrador en el sistema operativo. Claramente esto indica que “algo raro” hace el sistema en nuestro computador.

Paso 2 Este paso lo omitimos ya que hace referencia a la instalación del plugin para visualizar PDF.

Paso 3

En este punto nos indican que debemos verificar e insiten en que la aplicación (sistema web) no funciona si no somos administradores o no contamos con dichos privilegios. ¿Se imaginan que algun plugin de  chrome o firefox nos obligue a ser “root” para poder instalarse?

Paso 4

En este paso nos “recomiendan” deshabilitar los niveles de seguridad de Internet Explorer. Es decir, la seguridad del plugin o el funcionamiento de este sistema es tan baja, que debemos desactivar las configuraciones de seguridad de nuestro navegador. Aunque nos indican que previo a la configuración de la firma electrónica debemos restaurar los valores de seguridad, nos estan diciendo que para poder configurar e instalar este medio de autentificación debemos remover la seguridad, es decir algo “trucho” quiere hacer con nuestro computador. ¿Alguien sabe que cosa hace REALMENTE este bicho de la firma electrónica o todos simplemente han seguido las instrucciones y lo han instalado?

Paso 5

En este paso nos indican que descarguemos y ejecutemos un archivo, el cual realiza modificaciones en el registro de Windows. En ningún lugar nos advierten los cambios que se realizaran, simplemente nos dicen “Ejecutalo”. ¿Alguien se ha preguntado que opciones y que modificaciones hace este archivo .reg? Afortunadamente este archivo corresponde a un archivo Windows Registry Editor Version 5.00, el cual modifica el registro de windows para añadir sii.cl a dominios de confianza, tanto http como https.
Se han reportado vulnerabilidades XSS en el sistema del servicio de impuestos internos que, al tenerlo como sitio de confianza, sería mucho más fácil realizar fraudes.

Paso 6 y 7 omitidos, no tienen relevancia

Paso 8

Nos está solicitando  que desactivemos el bloqueo de “elementos emergentes” o popups, es decir, nos está solicitando que bajemos aún más el nivel de seguridad con el cual navegamos en internet. El bloqueo automático de popups o elementos emergentes se utiliza para bloquear popups con publicidad, prevenir la instalación de algun tipo de malware o plugin malicioso, entre otras cosas. Con esta instrucción el SII nos está exponiendo en la red.

Hasta el momento tenemos nuestro computador configurado de la siguiente manera:

• Navegador Web con Nivel bajo o nulo de Seguridad
• Sitio web HTTP y HTTPS de sii.cl agregado a sitios de confianza.
• Bloqueo de elementos emergentes o popups desactivado.

Es decir, desactivamos todas las medidas básicas de seguridad que un navegador nos entrega, todo esto para poder usar la famosa firma electrónica o certificado digital.

Paso 9

Nos recomiendan volver a las configuraciones previas al paso6, es decir, restaurar los niveles de seguridad pero aún asi continuamos con los elementos emergentes o popups desbloquedos y con el sitio web sii.cl en nuestra lista de sitios de confianza.

Según mi opinión, la única razón para tener que agregar un dominio a un sitio de confianza (algo asi como una whitelist) es porque se que no tiene la suficiente seguridad, por lo tanto cualquier bloqueo o protección mínima de seguridad no me permitiría utilizar el sitio como corresponde.

Tener la seguridad deshabilitada, bloqueo de popups desactivado y sii.cl agregado a sitios de confianza, nos expone a que nos hagan un ataque a nivel de dns spoofing o suplantación de dominio.

En resumen, para poder utilizar la firma electrónica necesitamos:

• Microsoft Windows
• Internet Explorer
• Usuario o privilegios Administrador
• Bajar la protección de seguridad del navegador
• Desactivar el bloqueo de popups
• Agregar un sitio web a nuesrtos sitios de confianza.

Algo anda mal …