El Ministerio de Hacienda comunicó a los contribuyentes una actualización de sus políticas de seguridad para la firma de comprobantes electrónicos.

Las actualizaciones son comunes en seguridad informática debido a la necesidad de protegerse contra posibles debilidades de sistemas que puedan ser descubiertas por los ciberdelincuentes.

No sobra recordar que en 2022 el Ministerio sufrió un ataque con secuestro de información (llamado ransomware) que mantuvo paralizados los sistemas de la institución, donde los ciberdelincuentes aprovecharon un problema con una herramienta que estaba en desarrollo pese a no tener autorización.

En Costa Rica, hasta diciembre del 2025, se contabilizaban más de 450.000 contribuyentes.

Las contraseñas o PIN para las llaves criptográficas de los comprobantes electrónicos (como las facturas y las notas) generadas por los contribuyentes deberán cumplir las nuevas condiciones o requisitos. (Mayela López)

¿A quién interesa?

Los contribuyentes que generan facturas y otros documentos electrónicos en sus ventas como comprobantes, para efectos tributarios, de los ingresos que obtiene por sus actividades económicas o de negocios deben utilizar un PIN o contraseña de seguridad.

Este PIN o contraseña corresponde a las llaves criptográficas (certificado), que es el archivo para firmar digitalmente las facturas y notas electrónicas, entre otras, y probar su integridad a la Dirección General de Tributación.

PIN actual

La llave criptográfica es ofrecida por el Ministerio de Hacienda a los contribuyentes.

Las actuales llaves criptográficas tienen un PIN de tan solo cuatro dígitos, que cualquier sistema informático calificaría como débil. Se podrán utilizar hasta su fecha de vencimiento o revocación (que cada usuario debe tener presente desde que los generó).

La entidad indicó que mantendrá habilitada la opción de generar la llave criptográfica utilizando este PIN de cuatro dígitos durante seis meses desde la comunicación del cambio.

Esto con el fin de que los proveedores de servicios de factura electrónica puedan ajustar sus plataformas.

Validez

El Ministerio explicó que los comprobantes electrónicos que se emitan y se firmen con las actuales llaves serán recibidos y validados sin inconvenientes.

“Todas las llaves criptográficas generadas con este tipo de PIN (de cuatro dígitos), que se encuentren vigentes antes y durante el periodo de transición, continuarán siendo válidas y no presentarán inconvenientes en el proceso de validación de los comprobantes electrónicos, hasta su vencimiento”, detalló la entidad.

¿Qué pasará después?

Una vez transcurridos los seis meses, todas las llaves criptográficas que se generen deberán cumplir con las nuevas condiciones y características.

Los nuevos requisitos

El Ministerio recalcó que el cambio se realiza con el fin de fortalecer la seguridad de la información.

Los nuevos requisitos que deberá tener el PIN para las nuevas llaves criptográficas incluyen:

—Longitud de 14 caracteres

—Al menos una letra mayúscula

—Al menos una letra minúscula

—Al menos un número

—Al menos un carácter especial (#$%&*[-_)

Mayor seguridad

Pablo Vásquez, socio de la firma de ciberseguridad Brakk, indicó que con el actual PIN de cuatro dígitos un ciberdelincuente únicamente necesitaría unos minutos para realizar combinaciones de caracteres y obtener la contraseña.

Con base en los nuevos requisitos, el tiempo para acceder al PIN es de años, aseguró el especialista.

Controles adicionales

Vásquez recomendó que los contribuyentes apliquen algunos controles adicionales para preservar las contraseñas:

—No reutilizar credenciales o claves: use una clave distinta para el certificado de firma de comprobantes electrónicos.

—No escribir la clave en bloc de notas o archivos de texto: utilice gestores de contraseña para guardar la clave.

—No comparta el PIN: no debe compartir con nadie sus contraseñas, menos con personas desconocidas o que se hacen pasar por funcionarios de alguna entidad; recuerde que ninguna entidad le pedirá sus claves.

—Esté alerta ante solicitudes del PIN: los nuevos métodos de autenticación hacen que el atacante busque comprometer a las personas por medio de engaños o trampas (ingeniería social) en lugar de realizar el ataque para identificar la contraseña mediante métodos llamados de fuerza bruta.

Asistencia

El Ministerio indicó que para mayor información se puede recurrir a tres canales de asistencia:

—Centro de Información Tributaria (T 2539-4000)

—Infoyasistencia (https://infoyasistencia.hacienda.go.cr/)

—Atención en ventanillas en todas las sedes tributarias.