EscucharEl Sistema Integrado de Gestión Tributaria (Tribu-CR), implementado por el Ministerio de Hacienda, empezará a funcionar oficialmente el próximo 6 de octubre.
Además de prepararse para utilizar la nueva plataforma, los contribuyentes deberán tener precauciones y estar alertas a cualquier intento de fraude de ciberdelincuentes.
La migración implica una serie de acciones que se realizarán de manera previa: la migración de datos y la deshabilitación de las plataformas actuales (ATV, TRAVI, DeclaraWeb, EDDI-7, entre otras) desde este 25 de setiembre.
Seguirán activas varias herramientas, como el facturador gratuito del Ministerio de Hacienda, la gestión y renovación de obtención de usuario de comprobantes electrónicos y de claves relacionadas con comprobantes electrónicos y la llave criptográfica y la consulta de verificación de comprobantes electrónicos.
Una vez esté en marcha Tribu-CR, todas estas gestiones deberán realizarse en la nueva plataforma. Por ejemplo, el facturador gratuito mediante el módulo de Tico-Factura.
El Colegio de Contadores Públicos de Costa Rica destacó que el cambio es un paso fundamental hacia la modernización y simplificación de los procesos tributarios en el país y realizó las recomendaciones claves para los contribuyentes. No es lo único ante lo que deben estar alertas.
La seguridad de la información también debe ser parte del plan de ruta para utilizar el nuevo sistema tributario.
“Aunque las autoridades han incrementado controles para prevenir y detectar ataques, los criminales pueden encontrar la forma de evadir estos controles”, advirtió Pablo Vásquez, socio de la firma Brakk y experto en ciberseguridad.
Riesgos
Los contribuyentes deben estar alertas ante el peligro de que los ciberdelincuentes les engañen mediante la suplantación de identidad.
Mediante este procedimiento, pueden obtener los datos y claves del usuario para tomar control de sus cuentas bancarias.
O pueden hacerse pasar por el Ministerio u otra entidad que ofrece ayudarle a utilizar el nuevo sistema y obtiene su información bancaria, el acceso no autorizado a sistemas y datos.
Un riesgo adicional es con los sistemas que gestionan archivos en formato XML. Se debe estar protegido para evitar este tipo de ataques, que abarcan archivos infectados que se expanden para ralentizar la operación de sus sistemas (expansión de XML).
También hay archivos de este tipo que incorporan datos falsos para engañar la operación del sistema (inyección de XML) o que ocultan instrucciones de código para que sean ejecutadas por el sistema (deserealización de XML) sin que usted o su equipo de informática se dé cuenta.
Seguridad básica
Las empresas deben estar en la capacidad de protegerse, detectar intentos de ataque y responder ante ellos, abarcando los sistemas de tecnología, los procesos y el personal.
A nivel de personal, las empresas están obligadas a enseñar a las personas de la organización sobre ataques de ingeniería social mediante phishing y otros procedimientos de engaño.
Las medidas específicas varían en función del tipo de sistema que se utiliza.
No obstante, hay varios elementos esenciales que las personas y empresas pueden realizar para mejorar la seguridad:
—Análisis de amenazas: identificar quién podría atacar, cómo lo haría y qué activos están en riesgo para decidir qué proteger primero.
—Pruebas de seguridad: simular ataques controlados para encontrar fallos y corregirlos antes de que los exploten.
—Monitoreo de eventos de seguridad: contar con la capacidad de recopilar los distintos eventos que están ocurriendo en el sistema, registrarlos en una bitácora de eventos y correlacionarlos para determinar comportamientos anómalos.
—Simulaciones de respuesta a incidentes: ejercicios prácticos para entrenar detección, contención y recuperación cuando pase un incidente.
Para asegurarse de que las integraciones y uso de servicios en línea de Tribu-CR se realicen de forma segura, Vásquez recomendó:
—Acceso seguro: guarde el enlace oficial de Tribu CR en su navegador como favorito o marcador (bookmark).
—Identifique y evite engaños: el Ministerio de Hacienda aún no ha publicado el enlace oficial definitivo, por lo que debe evitar acceder a páginas que puedan ser fraudulentas o desde los motores de búsqueda como Google.
—Validación de llamadas: si recibe una llamada (mediante suplantación de identidad y a nombre supuestamente del Ministerio de Hacienda) rechace la comunicación. Si tiene dudas, solicite el nombre completo y la extensión de la persona que lo llamó y verifique de inmediato al número oficial del Ministerio.
—Cuidado con mensajes urgentes: desconfíe de correos o llamadas con carácter urgente que le pidan ingresar al sistema o completar trámites de inmediato.
—No instale programas remotos y no confíe en soporte de desconocidos: los atacantes pueden hacerse pasar por personal de soporte y solicitarle instalar programas como AnyDesk o TeamViewer. No instale este tipo de aplicaciones de acceso remoto, ya que podrían facilitar el robo de su información.
—Consulte siempre: ante cualquier duda, busque apoyo en personas de confianza o en canales oficiales antes de realizar cualquier acción. El costo de corregir una declaración es probablemente mejor que un incidente de seguridad que comprometa su patrimonio.
Seguridad de sistemas contables
La seguridad también abarca medidas de protección que deben solicitar las empresas a sus proveedores de sistemas de gestión, facturación, contabilidad y finanzas.
Se recomienda que usted solicite o realice las siguientes acciones de protección:
—Evaluaciones periódicas de posibles vulnerabilidades (mensuales), junto a pruebas de intrusión y simulaciones de incidentes (anuales).
—Acuerdos de nivel de servicio que incluya términos de seguridad, específicamente de confidencialidad, integridad y disponibilidad.
—Acuerdos contractuales que indiquen que el proveedor de factura debe mantener controles de seguridad actualizados y proporcionales al entorno de amenazas, la obligatoriedad de notificar si identifican un incidente de seguridad y responsabilidad de ambas partes en torno a la seguridad del sistema.
“Se recomienda que cada organización realice un breve análisis de riesgo”, dijo Vásquez. “Depende de cada uno. Determine si cuenta con sistemas críticos en los cuales deba enfocar recursos (tiempo y dinero) para minimizar un impacto negativo de un incidente”.
