Resultados 1 al 1 de 1






Agujero de seguridad en la Declaración de la Renta


Estás en el tema Agujero de seguridad en la Declaración de la Renta dentro del subforo General (Off-Topic) en LonasDigital. Ayer presenté la declaración de hacienda por internet, hasta ahora me bastaba con aceptar el borrador, pero este año no me vale, así que la he hecho con el programa PADRE y me he quedado alucinado con lo que he visto. Se trata de la presentación telemática, cuando presentas la declaración, la subes por internet y la sede electrónica te da un código de cifras y letras que le llaman CSV (Codigo Seguro de Verificación) para que posteriormente puedas bajarte el PDF una y otra vez. El primer...



Este tema tuvo 603 Visitas y 0 Respuestas

Actualmente hay 1 usuarios viendo este tema. (0 miembros y 1 visitantes)

  1. #1
    Avatar de bonel

    bonel ha iniciado este hilo.
    bonel está desconectado
    Título:  Usuario Experto Rango:  Usuario Experto
    Fecha de ingreso
    Nov-2006
    Nacionalidad
    Espana
    Temas
    3393
    Mensajes
    8,335


    Ayer presenté la declaración de hacienda por internet, hasta ahora me bastaba con aceptar el borrador, pero este año no me vale, así que la he hecho con el programa PADRE y me he quedado alucinado con lo que he visto.

    Se trata de la presentación telemática, cuando presentas la declaración, la subes por internet y la sede electrónica te da un código de cifras y letras que le llaman CSV (Codigo Seguro de Verificación) para que posteriormente puedas bajarte el PDF una y otra vez.

    El primer detalle es que el CSV debería llamarse "Codigo Secreto de Verificación" porque en sí no es seguro, pero si debe ser secreto, ya que UNICAMENTE con este código, sin necesidad de DNI ni apellido ni nada, puedes descargarte el PDF de la declaración de cualquiera.

    El segundo detalle, y este si que es grave, en mi opinión, es que la URL para ver tu declaración desde cualquier navegador del mundo, es un GET con los parámetros en la misma URL, es decir:



    https://www2.agenciatributaria.gob.es/L/inwinvoc/es.aeat.dit.adu.eeca.catalogo.VisualizaSc?COMPLETA =NO&ORIGEN=D&CSV=<CODIGO CSV>



    Aunque la que aparece por primera vez tiene el DNI como parámetro, no es necesario realmente, con el CSV ya te enseña la declaración completa (si pones COMPLETA=SI te descargas el PDF sin frame de alrededor)

    ¿Y porque es una barbaridad?

    Por las siguientes razones:
    La URL se queda en el historial. Un virus puede buscar las URLs de la agencia tributaria y enviarlas a un servidor, o a quien le dejes el PC, claro, y ver tu declaración.
    Si la guardas como favoritos, se queda en favoritos, y luego se comparte al mundo entero, por ejemplo con el Chrome.
    Si le das sin querer a compartir en twitter o Facebook, todo el mundo tiene tu declaración SIEMPRE, porque no hay opción de anular el CSV y generar otro.
    Si acortas la URL, ya la tiene el servicio de acortar URL, igual luego sale tu declaración cuando busquen tu nombre en Google, bueno, por ahora no suelen indexar https, pero tiempo al tiempo.

    Y es que las URLs no son secretas, no están pensadas para serlo, cuando guardas el enlace de youtube de la ultima gracia de la semana no la proteges como protegerías tu PDF de la declaración, verdad?, pues la agencia tributaria la ha puesto al mismo nivel que un video de Youtube.

    ¿Y que pasa si me cogen la declaración?

    Tanta historia con los cookies, la privacidad y todo eso, y zas!, los datos financieros completos, personales y fiables que tenemos va el estado y facilita que se queden esparcidos por internet

    Uno de los peligros, además de saber todo de tí, es que para los trámites con la sede electrónica basta saber el DNI, primer apellido y el valor de una casilla de la declaración … ea!, todo esto está en el PDF, de modo, que el año que viene un listo puede presentar el borrador por tí y decirle a Hacienda que lo ingrese en su cuenta.

    … Ahhh … haber tenido cuidado!

    ¿Como lo deberían haber hecho?

    Ojo, no estoy diciendo que Hacienda ponga las declaraciones publicas, pueden decir que hay que conocer la URL, lo que estoy denunciando es que este es un mecanismo muy débil del que la mayoría de los declarantes no han sido advertidos y han guardado la URL en favoritos, en un enlace de escritorio o en un servicio de bookmarks.

    Bastaría con hacer es que la URL únicamente te presentase un formulario, ignorase los parámetros en el "query string" y hubiese que meter el numero en una casilla, junto a tu DNI.

    Los datos no estarían en la URL sino codificados en el "body" de la petición, y estos datos ya no se guardarían solos en los favoritos ni se transmitirían a facebook, ni nada.

    Tanto certificado, DNIe, y tanto applet de java para luego …

    Claro que si el CSV es "Código Seguro de Verificación" … será porque es seguro, no? … pfff! … me parece que el gobierno también han recortado en informáticos.



    Citar Citar  

  2. Los siguientes usuarios agradecieron a bonel por su mensaje :

    DrSiest@ (22-06-12)


  3. QoinPro.com: Free Bitcoins every 24 hours


Subir