• Hola Invitado, nos gustaría recordarte que mantener este sitio en línea conlleva unos gastos mensuales y anuales.

    Sin vuestra ayuda mensual no es posible seguir en pie, no hay mucho más que contar.

    Si quieres colaborar para que sea posible por lo menos seguir en pie como comunidad, puedes hacerlo mediante alguno de los métodos disponibles en esta página: https://www.lonasdigital.com/donaciones/

    Recuerda que si necesitas invitación para acceder al foro, puedes solicitarla en nuestro Grupo de Telegram


Agujero de seguridad en la Declaración de la Renta

bonel

bonel

Usuario Mítico
Registrado
29 Nov 2006
Mensajes
8.335
Reacciones
0
Puntos
39
Ayer presenté la declaración de hacienda por internet, hasta ahora me bastaba con aceptar el borrador, pero este año no me vale, así que la he hecho con el programa PADRE y me he quedado alucinado con lo que he visto.

Se trata de la presentación telemática, cuando presentas la declaración, la subes por internet y la sede electrónica te da un código de cifras y letras que le llaman CSV (Codigo Seguro de Verificación) para que posteriormente puedas bajarte el PDF una y otra vez.

El primer detalle es que el CSV debería llamarse "Codigo Secreto de Verificación" porque en sí no es seguro, pero si debe ser secreto, ya que UNICAMENTE con este código, sin necesidad de DNI ni apellido ni nada, puedes descargarte el PDF de la declaración de cualquiera.

El segundo detalle, y este si que es grave, en mi opinión, es que la URL para ver tu declaración desde cualquier navegador del mundo, es un GET con los parámetros en la misma URL, es decir:



https://www2.agenciatributaria.gob.es/L/inwinvoc/es.aeat.dit.adu.eeca.catalogo.VisualizaSc?COMPLETA=NO&ORIGEN=D&CSV=<CODIGO CSV>



Aunque la que aparece por primera vez tiene el DNI como parámetro, no es necesario realmente, con el CSV ya te enseña la declaración completa (si pones COMPLETA=SI te descargas el PDF sin frame de alrededor)

¿Y porque es una barbaridad?

Por las siguientes razones:
La URL se queda en el historial. Un virus puede buscar las URLs de la agencia tributaria y enviarlas a un servidor, o a quien le dejes el PC, claro, y ver tu declaración.
Si la guardas como favoritos, se queda en favoritos, y luego se comparte al mundo entero, por ejemplo con el Chrome.
Si le das sin querer a compartir en twitter o Facebook, todo el mundo tiene tu declaración SIEMPRE, porque no hay opción de anular el CSV y generar otro.
Si acortas la URL, ya la tiene el servicio de acortar URL, igual luego sale tu declaración cuando busquen tu nombre en Google, bueno, por ahora no suelen indexar https, pero tiempo al tiempo.

Y es que las URLs no son secretas, no están pensadas para serlo, cuando guardas el enlace de youtube de la ultima gracia de la semana no la proteges como protegerías tu PDF de la declaración, verdad?, pues la agencia tributaria la ha puesto al mismo nivel que un video de Youtube.

¿Y que pasa si me cogen la declaración?

Tanta historia con los cookies, la privacidad y todo eso, y zas!, los datos financieros completos, personales y fiables que tenemos va el estado y facilita que se queden esparcidos por internet

Uno de los peligros, además de saber todo de tí, es que para los trámites con la sede electrónica basta saber el DNI, primer apellido y el valor de una casilla de la declaración … ea!, todo esto está en el PDF, de modo, que el año que viene un listo puede presentar el borrador por tí y decirle a Hacienda que lo ingrese en su cuenta.

… Ahhh … haber tenido cuidado!

¿Como lo deberían haber hecho?

Ojo, no estoy diciendo que Hacienda ponga las declaraciones publicas, pueden decir que hay que conocer la URL, lo que estoy denunciando es que este es un mecanismo muy débil del que la mayoría de los declarantes no han sido advertidos y han guardado la URL en favoritos, en un enlace de escritorio o en un servicio de bookmarks.

Bastaría con hacer es que la URL únicamente te presentase un formulario, ignorase los parámetros en el "query string" y hubiese que meter el numero en una casilla, junto a tu DNI.

Los datos no estarían en la URL sino codificados en el "body" de la petición, y estos datos ya no se guardarían solos en los favoritos ni se transmitirían a facebook, ni nada.

Tanto certificado, DNIe, y tanto applet de java para luego …

Claro que si el CSV es "Código Seguro de Verificación" … será porque es seguro, no? … pfff! … me parece que el gobierno también han recortado en informáticos.
 
Atrás
Arriba