El IRS y el Inspector General del Tesoro para la Administración Tributaria (TIGTA) están en desacuerdo sobre si la agencia tributaria debe raspar los códigos de datos y los modelos de software de su sitio web público para ayudar a disminuir el robo de identidad relacionado con los impuestos y el fraude en los reembolsos.
En un informe reciente, el TIGTA dijo que la razón de su auditoría era revisar cómo el IRS había actuado al establecer nuevos códigos relacionados con las declaraciones de impuestos (definidos como elementos de datos, «el elemento de datos con nombre más pequeño que transmite información significativa o condensa una descripción extensa en un código corto») basados en la Cumbre de Seguridad del año pasado, Protegiendo a los Contribuyentes del Fraude en el Reembolso de Impuestos por Robo de Identidad .
Esos elementos de datos ayudan a garantizar que los contribuyentes sean quienes dicen ser y a detectar el fraude en la devolución de impuestos en el momento de la presentación electrónica, afirma el informe.
El año pasado, el IRS añadió los 23 nuevos elementos de datos a sus filtros del sistema informático para atrapar sospechas de fraude en la devolución de impuestos, y de hecho, la agencia atrapó 4.100 millones de dólares de sospechas de fraude. De esa cantidad, 72 millones de dólares que involucran 21.000 devoluciones de impuestos fueron capturados por tres de los elementos de datos. Pero la agencia también publicó información sobre estos códigos secretos en su sitio web público antes de eliminarlos, según el informe.
Si bien el IRS y el TIGTA están de acuerdo en que los elementos de datos deben ser confidenciales, el TIGTA descubrió modelos de software (definidos como esquemas, o documentos de Lenguaje de Marcado Extensible, que especifican los elementos de datos, la estructura y las reglas para cada formulario, programa, documento y anexo) que incluían algunos de los nuevos elementos de datos. El IRS eliminó el software, pero el TIGTA encontró otros.
El IRS ha declarado que, antes de publicar los elementos de datos en su sitio web en septiembre de 2015, examinó la forma de poner los modelos o esquemas de software a disposición de los desarrolladores de software de impuestos.
«La división de Servicios de Expedientes Electrónicos de la División de Salarios e Inversiones del IRS publica en su sitio web público los esquemas necesarios para la presentación de declaraciones de impuestos porque los desarrolladores de software deben tener acceso a los esquemas para desarrollar su software de preparación de impuestos», afirma el informe. «Debido a que el IRS siempre ha proporcionado acceso público a todos sus esquemas y creyó que una solución viable para proporcionar acceso seguro no podría ser implementada a tiempo para la temporada de presentación de declaraciones de 2016, el IRS decidió aceptar el riesgo empresarial y hacer públicos los esquemas que incluían los elementos de datos».
Si bien el IRS reconoció que se pueden encontrar elementos de datos durante las búsquedas en Internet, la agencia cree que son confidenciales y difíciles de encontrar, afirma el informe. Pero los ciberladrones que saben que los códigos están ahí podrían hacer uso de ellos; sin embargo, el IRS no cree que los códigos en sí mismos aumenten el riesgo de fraude.
Es más, el IRS no tiene control sobre los esquemas después de que son compartidos fuera de su sistema.
«Proporcionar al público en general esquemas y publicaciones que contengan los elementos de datos utilizados por el IRS para detectar el fraude en la devolución de impuestos por robo de identidad es contrario a la intención declarada del IRS de que los elementos de datos sean confidenciales», afirma el informe. «La información de los elementos de datos se clasifica como información ‘sensible pero no clasificada’ diseñada para ayudar a prevenir el fraude en la devolución de impuestos. Hacer pública la información de los elementos de datos podría permitir a los criminales usar la información pública para frustrar el uso que el IRS pretende hacer de los elementos de datos y permitir a los ladrones de identidad eludir las salvaguardias implementadas».
¿El resultado? Esto es lo que el TIGTA quiere que haga Hacienda y lo que Hacienda piensa de ello.
Eliminar permanentemente los elementos de datos del acceso público. El IRS está parcialmente de acuerdo, diciendo que los esquemas que se relacionan con los elementos de datos ya están eliminados. La agencia está poniendo en marcha una nueva seguridad para autentificar la información de los elementos de datos para la temporada de presentación de solicitudes de 2017. Pero el IRS no cree que pueda mantener el control sobre los esquemas después de que sean compartidos externamente.
Realice una evaluación exhaustiva de los sitios web y las publicaciones públicas de los organismos para ver si hay otros elementos de datos a disposición del público y elimínelos. El IRS está parcialmente de acuerdo. Ya ha eliminado el esquema de archivo electrónico que contiene la definición de datos de los elementos diseñados para combatir el fraude y el robo de identidad. Pero la eliminación de todos los elementos de datos supone una carga para el organismo y sus socios del sector que necesitan acceder a la información que puede o no contener referencias a los elementos de datos.
Además, el IRS sostiene que los elementos no son la cuestión de la seguridad, sino más bien la información técnica detallada sobre cómo se utilizan los elementos para luchar contra el fraude. Por lo tanto, el IRS decidirá si los elementos de datos permanecen en su sitio web público basado en el riesgo.
La Oficina de Auditoría del TIGTA tenía esto que decir: «Mantenemos que la exposición de los elementos de datos en el sitio web público del IRS y en las publicaciones aumenta el riesgo de fraude. Creemos que las medidas correctivas para eliminar la información de los elementos de datos de la página web pública del IRS y las publicaciones deben ser tomadas para minimizar el posible mal uso».
Establecer un método seguro que permita a las «partes válidas», como los desarrolladores de programas informáticos, los transmisores y los usuarios del Estado, acceder a los elementos de datos. El IRS está de acuerdo. Los esquemas y otra información han estado disponibles desde agosto de 2016 para los proveedores de software a través de un portal designado.
Artículo relacionado:
El IRS aumenta las garantías para prevenir el fraude en los reembolsos