Saltar al contenido

El IRS no pudo desactivar el programa IP PIN después de la violación de datos

El IRS dejó caer la pelota en la administración de su Programa de Protección de la Identidad del Número de Identificación Personal (IP PIN), dejando vulnerables a millones de contribuyentes que fueron víctimas de robo de identidad y no fortaleciendo la aplicación a pesar de una brecha de seguridad en 2015, según un informe reciente del Inspector General del Tesoro para la Administración Tributaria (TIGTA).

El TIGTA hizo la auditoría para evaluar varios asuntos relacionados con el Programa de PIN de PI. El organismo de control del IRS recomendó repetidamente que el programa se cerrara después de que se identificara una brecha de seguridad el 17 de mayo de 2015. Aunque el IRS puso en marcha procesos de mitigación de riesgos, esos procesos no siempre funcionaron y el programa no fue desactivado a pesar de las debilidades de seguridad.

El IRS no pudo desactivar el programa IP PIN después de la violación de datos
El IRS no pudo desactivar el programa IP PIN después de la violación de datos

El IRS cerró temporalmente la herramienta en línea del IP PIN en marzo de 2016 después de que aparecieran informes de una brecha de datos. La agencia restauró el servicio de IP PIN cuatro meses después con protecciones más fuertes, incluyendo un proceso de autenticación de dos factores.

Durante su auditoría, el TIGTA revisó 32.623 declaraciones de impuestos presentadas entre el 19 de enero y el 24 de mayo de 2016, con un número de identificación personal (IP PIN) que fue visto en línea, e identificó 12.020 (37 por ciento) declaraciones que no fueron revisadas manualmente como se requería.

Además, el Servicio de Impuestos Internos (IRS) no generó números de identificación personal (IP PIN) para unos 2 millones de contribuyentes que fueron confirmados como víctimas de robo de identidad. Y la agencia envió por correo aproximadamente 2,7 millones de notificaciones de IP PIN a los contribuyentes para el año de procesamiento fiscal 2016 que les indicaban incorrectamente que no utilizaran su IP PIN si eran reclamados como dependientes en una declaración de impuestos.

El IRS lanzó el programa IP PIN en el año fiscal 2011. Un IP PIN es un número único de seis dígitos que el IRS asigna a las víctimas de robo de identidad o a los contribuyentes que pueden estar en alto riesgo de convertirse en víctimas para verificar sus identidades en el momento de la declaración de impuestos. Los contribuyentes que reciben un IP PIN tienen que utilizarlo en las declaraciones electrónicas o en papel para que las declaraciones sean aceptadas por el IRS.

Además, el Programa de Participación del IRS tenía como objetivo ayudar a los contribuyentes en los lugares donde se produce la mayor parte de los robos de identidad y ofrecerles un IP PIN para ayudar a prevenir el robo de identidad relacionado con los impuestos. Pero el IRS no se ha mantenido al día en el reconocimiento de los focos de robo de identidad, lo que significa que los contribuyentes de esos lugares pueden no conocer el Programa IP PIN.

Esto es lo que recomendó el TIGTA y cómo respondió el IRS:

1. Completar y documentar una evaluación de riesgo de autenticación después de cualquier violación de la seguridad. El IRS estuvo de acuerdo con esta recomendación y actualizó sus procedimientos de respuesta a incidentes el 20 de enero de 2017, requiriendo la validación de la evaluación de riesgos de la autenticación electrónica. La validación garantizará que la evaluación de riesgos refleje las circunstancias conocidas más recientes relativas a cualquier incidente futuro relacionado con la seguridad que afecte a las aplicaciones en línea.

2. Todas las funciones deben tener procedimientos consistentes para agregar marcadores de robo de identidad que creen números de identificación personal (IP PIN). El IRS estuvo de acuerdo y está revisando sus procesos e identificando inconsistencias con la guía de procedimientos para el robo de identidad.

El organismo también está elaborando una estrategia para responder a las cuestiones de seguridad que establece un proceso estándar para el tratamiento de las víctimas afectadas, ya sean autoidentificadas, identificadas por el Servicio de Impuestos Internos mediante actividades de procesamiento de declaraciones o identificadas posteriormente como resultado de un incidente de seguridad.

3. Las notificaciones del IRS deben contener información precisa para los contribuyentes. El IRS estuvo de acuerdo con esta recomendación. La agencia revisó la carta de notificación de IP PIN para el año de procesamiento fiscal 2017 para verificar su exactitud y la envió a aproximadamente 3.5 millones de contribuyentes a finales de diciembre de 2016.

4. Determinar cómo identificar a los contribuyentes en lugares con altas tasas de robo de identidad. El IRS no estuvo de acuerdo, diciendo que dadas las limitaciones y costos del Programa de PIN de IP, cumplir con esta recomendación de cambiar o aumentar el número de contribuyentes elegibles para el Programa de PIN no sería un uso efectivo de los recursos.

Aquí está la respuesta de TIGTA: “Los contribuyentes de Connecticut y Missouri enfrentan el mayor riesgo de robo de identidad en el año calendario 2015, según la Comisión Federal de Comercio. La decisión del IRS de no ofrecer a estos contribuyentes la oportunidad de obtener un PIN de IP a través del Programa Opt-In es contraria a la intención del programa, que es centrarse en los contribuyentes de los estados y lugares con la mayor tasa per cápita de robo de identidad”.

5. Desarrollar una táctica de divulgación para aumentar la conciencia de los contribuyentes sobre el Programa Opt-In. El IRS estuvo de acuerdo, diciendo que determinará si el Programa Opt-In continuará y, si es así, desarrollará una estrategia de divulgación para aumentar el conocimiento de los contribuyentes sobre el mismo.

Artículos relacionados:

El IRS cierra temporalmente la herramienta en línea del IP PIN.
El IRS añade nuevos protocolos de seguridad a la herramienta de PIN de IP revivido