- A raíz de un reciente y preocupante incidente en La Araucanía, donde empresas fueron víctimas de fraude tras el hackeo de sus claves del sistema tributario, se hace imperativo reforzar las medidas de ciberseguridad en la autenticación y el acceso a las cuentas del Servicio de Impuestos Internos (SII).
Se acerca abril y con ello la esperada “operación renta”, un proceso que se realiza cada año donde personas naturales y empresas declaran sus ingresos ante el Servicio de Impuestos Internos (SII). Y aunque por lo general no existen problemas, la vulnerabilidad digital está aumentando los riesgos del proceso.
Hace unas semanas, en la región de La Araucanía, un grupo de empresas denunció un fraude tras detectar la falsificación de facturas, advirtiendo que sus claves de la plataforma fueron vulneradas. Tras una revisión, comprobaron que se habían emitido 17 facturas por un monto que se acerca a los 200 millones de pesos.
André Goujon, CEO de Lockbits, advierte sobre una práctica común pero peligrosa en el ecosistema empresarial chileno: “En el país, muchas empresas caen en la práctica de compartir el usuario y contraseña con su contador. Por esa misma razón, se vuelve crítico implementar una gestión de accesos responsable y coordinada, además de fortalecer continuamente los sistemas y plataformas”.
Los ciberdelincuentes suelen utilizar la temática de la “Operación Renta” para lanzar campañas de malware (especialmente infostealers). El objetivo es robar credenciales de acceso al SII, lo que podría permitirles intervenir maliciosamente en la declaración de impuestos, emitir facturas falsas, o incluso cambiar los datos bancarios de transferencia y depósito asociados a las devoluciones.
Ante este panorama, se detallan a continuación tres consideraciones prácticas de ciberhigiene esenciales:
- Trazabilidad y gestión de accesos: No es necesario entregar la clave personal. La forma segura es hacerlo a través de un mandatario digital o representante electrónico. Respecto al primero, se trata de una herramienta del SII que permite autorizar a un tercero (un contador o asesor) para que realice trámites específicos en tu nombre usando su propia clave. De esta manera, se conoce exactamente qué movimientos hizo el mandatario y cuándo; no compartes la contraseña, evitando el acceso a información patrimonial completa, condonaciones y datos sensibles; y tiene la potestad de revocar inmediatamente el acceso con un solo clic.
En relación al representante electrónico, es la figura clásica que ha existido por años en el SII. Se usa principalmente para delegar trámites específicos dentro del sitio web que permite que una persona (como el contador) ingrese con su propio RUT y clave para declarar IVA (F29), renta (F22) o consultar datos.
- Zero Trust: La seguridad no debe basarse en la confianza interpersonal. El principio de «no confiar en nadie» debe ser el pilar inquebrantable de la política de seguridad tributaria. Actualmente, cada intento de acceso, desde cualquier ubicación o dispositivo, debe ser verificado rigurosamente. Y en caso de que un acceso sea vulnerado, Zero Trust asegura que el atacante no pueda moverse lateralmente dentro del sistema para acceder a otra información crítica (como la de otros clientes o datos sensibles de la empresa).
- Capacitaciones y seguimiento: Aunque las capacitaciones son comunes, es vital asegurar un seguimiento periódico y constante, especialmente en el uso de las nuevas implementaciones de seguridad, ya que hoy por hoy pueden impactar la usabilidad. Al asegurar el cumplimiento, se fortalece la principal línea de defensa contra la ingeniería social y los ataques de phishing dirigidos a robar credenciales del sistema tributario.
