A menos que seas un ludita tecnológico que evita cualquier tipo de dispositivo en línea, las crecientes preocupaciones sobre la ciberseguridad son imposibles de evitar. Y como todavía falta un mes para el final de la temporada alta, ¿qué mejor momento que ahora para explorar cómo le va a los 13 proveedores de impuestos electrónicos gratuitos del IRS en el departamento de seguridad?
La Online Trust Alliance hizo precisamente eso, encargando una auditoría en febrero de los 13 sitios de archivos electrónicos, comparándolos con los sitios de los candidatos presidenciales de 2016, los 100 principales bancos asegurados por la FDIC y los 500 principales sitios de comercio electrónico. La auditoría también comprobó el cumplimiento de las medidas de seguridad de los archivos electrónicos del IRS.
Los contratos del IRS con los 13 desarrolladores de software les exigen que proporcionen gratuitamente la preparación de impuestos y la presentación electrónica a los contribuyentes con un ingreso bruto ajustado no superior a 62.000 dólares. De acuerdo con la Online Trust Alliance, el IRS estableció requisitos mínimos de seguridad en 2009 para los sitios de presentación electrónica.
El estudio, 2016 IRS Free e-File Audit & Honor Roll , reveló que siete de los 13 sitios se desempeñaron bien (con una puntuación del 80 por ciento o más) mientras que seis no lo hicieron.
Los siete que lo hicieron incluyen: eSmart Tax, ezTaxReturn.com, FreeTaxUSA, H&R Block Free File, TaxAct, TaxSlayer, y TurboTax Free File. Los seis que no incluyeron: 1040.com, 1040Now.net, FileYourTaxes.com, Free1040TaxReturn.com, Jackson Hewitt Online, y Online Taxes at OLT.com.
Pero si bien los 13 sitios tuvieron buenos resultados en cuestiones de privacidad, el estudio indica que tuvieron tasas de fallo superiores a la media en lo que respecta a la protección de los consumidores (falta de autenticación del correo electrónico que podría dejar a los contribuyentes vulnerables a los correos electrónicos falsos supuestamente procedentes de los sitios gratuitos) y a la seguridad del sitio (datos expuestos mediante cifrados o protocolos débiles).
Y aunque los índices de privacidad fueron buenos en general, el estudio indica que los sitios compartieron más de lo esperado con terceros. La alianza declaró que estaba «sorprendida de observar que se compartían datos de usuarios con terceros para fines de reorientación y comercialización de afiliados, que parecían centrarse en servicios de impuestos, software de impuestos, informes de crédito, consultoría de crédito y servicios de vigilancia del robo de identidad». Esto sugiere que los sitios gratuitos pueden estar financiados, al menos en parte, por los datos de terceros y «las conclusiones sugieren la necesidad de una mayor supervisión», afirma el estudio.
Si bien la tasa de fracaso del 46% de los 13 sitios de archivos electrónicos gratuitos es promedio cuando se compara con los otros sitios mencionados, es «decepcionante dada la naturaleza del negocio de los sitios de archivos electrónicos y debería ser preocupante para los clientes potenciales», afirma el estudio.
El estudio ofrece estas ocho pistas para las prácticas fiscales:
1. La seguridad y la privacidad deben evolucionar. 2. Revisar cómo se almacenan y gestionan los datos. La encriptación es un requisito básico; el incumplimiento de este requisito se cita con frecuencia en las acciones reglamentarias y legales. 2. Probar mensualmente la configuración de la capa de sockets seguros (SSL) de los servidores.
2. Hacer cumplir la administración efectiva de la contraseña. Los ataques contra las credenciales de los usuarios, incluyendo el spear phishing, la fuerza bruta, el sniffing, el acceso basado en el host y el robo de bases de datos de contraseñas, siguen siendo métodos de ataque muy fuertes. Utilizan la autenticación multifactorial para acceder a las cuentas.
3. Requiere la autentificación del correo electrónico. Esto ayudará a frustrar el correo electrónico malicioso, el spear phishing y el correo electrónico falso. 4. Autentica el correo electrónico saliente y entrante.
4. Autoriza qué dispositivos inalámbricos se conectan a tu red. 5. Cifrar el tráfico de las comunicaciones y dispositivos inalámbricos, tales como enrutadores, impresoras, terminales de punto de venta y lectores de tarjetas de crédito. Mantenga el acceso a la red de «invitados» en servidores separados. Utilizar una fuerte encriptación en los dispositivos de acceso, incluidos los dispositivos personales y los teléfonos utilizados por los empleados.
5. Use Always-On SSL (AOSSL) para todos los servidores que requieran autenticación de inicio de sesión y recolección de datos. AOSSL ayuda a prevenir el «sniffing» de datos enviados entre los dispositivos cliente, puntos de acceso inalámbrico e intermediarios.
6. Conoce tus dominios. Asegura los registros WHOIS y revisa los certificados de los servidores para determinar el riesgo de que tus dominios sean secuestrados. «Los atacantes han apuntado a los certificados SSL ‘Validados por el dominio’ para hacerse pasar por sitios web y estafar a los consumidores», afirma el estudio. «Actualizar a certificados SSL ‘Validados por la organización’ o ‘Validación extendida’ (EVSSL). Los certificados EVSSL ofrecen el más alto nivel de autenticación, proporcionando la seguridad de que el propietario del sitio es quien dice ser, presentando al usuario un indicador verde de confianza».
7. Evaluar los proveedores y los servicios en la nube. Las prácticas deben completar la evaluación de riesgos de sus proveedores de manera continua. Las evaluaciones deben revisar las prácticas de seguridad y privacidad de datos de los proveedores electrónicos, confirmando la alineación con los estándares, los requisitos reglamentarios y las políticas de la práctica.
8. Prepárate y mantente listo. Realiza pruebas de rutina y respuestas de brecha. A medida que los datos o la tecnología cambien, cambien el plan de ruptura.
La alianza indica que compartió sus hallazgos con el IRS y ofreció asistencia pero no había recibido respuesta hasta el 21 de febrero. El IRS tampoco respondió a la petición de AccountingWEB de comentar el estudio.