Por el personal de AccountingWEB
La información personal enviada a Hacienda es vulnerable a los hackers, según un informe de auditoría publicado el jueves.
Entre los hallazgos del organismo de control del IRS, el Inspector General del Tesoro para la Administración de Impuestos (TIGTA):
- 2.200 bases de datos utilizadas por el IRS para gestionar y procesar la información de los contribuyentes no son seguras, se ejecutan con software anticuado y no reciben parches de seguridad.
- El IRS no implementó completamente una herramienta de exploración de la vulnerabilidad de la base de datos y de evaluación del cumplimiento de la normativa por valor de 1,1 millones de dólares.
«Cualquier fallo en el mantenimiento de las bases de datos del IRS con el grado adecuado de diligencia en materia de seguridad puede permitir que personas internas descontentas o personas externas malintencionadas exploten las deficiencias en materia de seguridad para obtener un acceso no autorizado a los datos de los contribuyentes, lo que puede dar lugar a robos de identidad, fraudes u otros tipos de actividades ilegales», dijo en un comunicado J. Russell George, el inspector general a cargo de la auditoría.
El Servicio de Impuestos Internos emitió su propia declaración en respuesta al informe, que se reproduce a continuación.
El informe de auditoría decía que, cada vez más, las bases de datos son blanco de los atacantes, y citaba un informe de 2009 en el que se constataba que el 30 por ciento de todas las violaciones de seguridad conocidas eran contra bases de datos. «Esta tendencia fue particularmente preocupante porque cuando una base de datos fue violada, el 75 por ciento de los registros se vieron comprometidos», dice el informe.
Los auditores probaron las bases de datos primarias de 13 aplicaciones que apoyan los procesos comerciales de la administración tributaria. Todas las bases de datos tenían vulnerabilidades de alto y medio riesgo, según el informe. En el informe se señalaba que ninguna oficina se encarga por sí sola de asegurar que las bases de datos estén configuradas adecuadamente; se trata más bien de una «responsabilidad vagamente compartida» entre varias oficinas.
En el informe se decía también que las «exploraciones de la vulnerabilidad» de las bases de datos eran incompletas y no se realizaban con suficiente frecuencia. La herramienta de escaneo nunca se utilizó completamente, según el informe. El IRS citó importantes dificultades técnicas debido a las múltiples implementaciones del software de la base de datos en toda la agencia.
El informe incluía siete recomendaciones para mejorar la seguridad de las bases de datos. El IRS estuvo de acuerdo con las recomendaciones, y emitió la siguiente declaración:
«El IRS se toma muy en serio la seguridad de nuestras bases de datos. Queremos dejar muy claro que, si bien este informe señala una serie de cuestiones técnicas, muchas de las cuales han sido resueltas, no hay ninguna afirmación directa de que los datos de los contribuyentes estén en peligro. De hecho, cabe señalar que muchas de las bases de datos a las que se hace referencia en este informe no almacenan ningún dato de los contribuyentes.
«El IRS hace hincapié en que estas bases de datos se utilizan internamente y no son de acceso directo para el público.
«La mejora de la seguridad es una inversión continua a medida que el mundo exterior cambia. Seguimos haciendo inversiones sustanciales, y probando nuestras capacidades de forma continua.
«También es importante señalar que no ha habido violaciones de datos reales en relación con estas bases de datos».
Lea el informe completo, La seguridad sobre las bases de datos podría mejorarse para asegurar que los datos de los contribuyentes estén protegidos .
Artículos relacionados:
- Informe: El IRS debe mejorar las técnicas de verificación para prevenir el robo de identidad
- Informe:Los datos de los contribuyentes podrían estar en peligro