Fraude descarado en el SAT: dominio oficial usado para robar datos

El Servicio de Administración Tributaria (SAT) está en el ojo del huracán: una vulnerabilidad en su sistema de correo electrónico permite que ciberdelincuentes usen una dirección oficial para distribuir malware y robar información sensible de los contribuyentes. Una indagatoria de El Financiero reveló que el correo obligaciones.fiscales@sat.gob.mx, dado de alta por la propia autoridad tributaria, ha sido aprovechado por defraudadores para infectar equipos de cómputo con virus y troyanos bancarios.

Tres especialistas en ciberseguridad –incluyendo un analista de la firma ESET– confirmaron que el enlace enviado desde este correo supuestamente legítimo contiene malware capaz de manipular archivos, descargar otras amenazas y robar credenciales bancarias. Aun así, el SAT, consultado sobre esta grave situación, no respondió hasta la publicación de esta denuncia.

Principales hallazgos:

• Suplantación de dominio (mail spoofing)
  La autoridad fiscal no tiene configurado el protocolo de seguridad DMAR, lo que facilita la creación de un “espejo” de correo desde el dominio oficial.
• Uso de un correo “verídico”
  A diferencia de casos anteriores, donde se utilizaban direcciones parecidas a las del SAT, hoy la cuenta real ha sido comprometida, elevando el riesgo de que la gente confíe en ella.
• Peligro de troyanos bancarios
  Se detectó la presencia de Grandoreiro, virus que afecta principalmente a países de Latinoamérica, orientado al robo de datos y manipulación de cuentas bancarias.
• Negligencia prolongada
  Expertos aseguran que esta vulnerabilidad lleva al menos cuatro años activa en los servidores del SAT, y que arreglarla podría tomar menos de 48 horas si se aplicaran protocolos de seguridad adecuados.

De acuerdo con Verónica Becerra, cofundadora de Offhack, la solución requiere implementar SPF, DKIM y DMAR en el servidor de correo, pero el SAT no ha hecho cambios. El problema radica en que la cuenta oficial sigue enviando notificaciones legítimas y correos maliciosos al mismo tiempo, aumentando la confusión entre los usuarios.

Recomendaciones para los contribuyentes:

1. No abrir enlaces en correos que parezcan venir del SAT.
2. Confirmar la autenticidad de los avisos directamente en el portal oficial o en el Buzón Tributario.
3. Mantener actualizado el software antivirus y el sistema operativo.
4. Verificar los remitentes y la ortografía de la dirección de correo. Ante cualquier duda, no hacer clic.

Asimismo, David González, investigador de ESET Latinoamérica, explica que estos troyanos pueden ejecutar comandos para robar datos o incluso hacer que la computadora afectada descargue más archivos maliciosos. Víctor García, otro especialista consultado, advierte que la cuenta oficial o un servidor gubernamental han sido comprometidos, por lo que el ataque es mucho más peligroso de lo habitual.

El propio SAT ha recomendado ignorar correos con enlaces, pues normalmente no solicita acciones de este tipo. Sin embargo, el hecho de que correos reales y falsos estén saliendo de la misma dirección vuelve todo más complicado para los contribuyentes.

Ante la falta de respuesta del SAT, la duda principal es: ¿por qué no se corrige de inmediato esta falla tan evidente y tan crítica? Los expertos califican esta omisión como una negligencia que coloca en riesgo la seguridad financiera de millones de mexicanos.

Si quieres conocer más detalles y confirmaciones técnicas, te invito a investigar en Internet. Ahí encontrarás informes, foros de ciberseguridad y testimonios de usuarios que han sido víctimas de este grave desperfecto en la infraestructura del SAT. Comparte esta información y alza la voz. Entre más personas estén alertas y protejan sus datos, más difícil será que estos fraudes tengan éxito.