El IRS necesita aumentar la seguridad de su proceso de eAutenticación para evitar infracciones, como el ataque a la aplicación «Get Transcript» de la agencia el año pasado cuando los ciberdelincuentes obtuvieron acceso a más de 700.000 cuentas de contribuyentes, según un nuevo informe del Inspector General del Tesoro para la Administración Tributaria (TIGTA).
De lo contrario, los ya conocidos problemas del IRS con el robo de identidad sólo aumentarán y, a su vez, retrasarán el procesamiento de las declaraciones de impuestos.
No es la primera vez que el TIGTA encuentra problemas de supervisión o de software en los sistemas electrónicos del IRS que conducen a violaciones de seguridad. La esencia de todo ello es que la agencia se esfuerza por conseguir que gran parte de su servicio esté en línea y sea accesible electrónicamente, pero carece de personal adecuado y de personal debidamente capacitado para controlarlo todo. Y el presupuesto de la agencia ha sido recortado, algo que los funcionarios del IRS suelen mencionar al responder a los hallazgos del TIGTA.
La auditoría del TIGTA se inició con el descubrimiento, en mayo de 2015, de que los ladrones cibernéticos habían utilizado información personal robada a terceros para acceder a la herramienta Get Transcript a través del proceso de autenticación electrónica.
La pésima comunicación entre el IRS y su contratista llevó a la agencia a no conocer completamente qué información se estaba revisando en el «Portal de la Empresa Integrada». Eso significa que el IRS no sabía nada sobre las debilidades en la detección de ataques automatizados o las herramientas necesarias para manejarlos, según el informe. Además, el IRS no especificó qué personas, incluyendo sus divisiones y contratistas, se suponía que debían detectar y prevenir los ataques automatizados.
Cuando el incidente de Get Transcript ocurrió el año pasado, los informes de registro de auditoría no fueron monitoreados adecuadamente, dice el informe. Aproximadamente un año antes del ataque descubierto, un usuario intentó acceder a través de la eAutenticación 902 veces en un día, y eso fue mucho más que el desencadenante de la «actividad inusual».
El IRS carecía de «una forma rutinaria» de correlacionar la información del registro de auditoría a través de diferentes repositorios, según el informe. Durante la auditoría del TIGTA, el IRS proporcionó los informes requeridos, pero sólo enumeraron las transacciones en lugar de los resúmenes que podían identificar las tendencias. Los auditores también descubrieron que cierta información útil sobre las transacciones no se capturaba en los registros de autenticación electrónica.
El IRS tampoco le dio a los responsables las herramientas y el entrenamiento que necesitaban para monitorear y analizar grandes cantidades de información de registro de auditoría, dice el informe.
El TIGTA quiere que el jefe de información del IRS (CIO) lo haga:
- Aclarar las responsabilidades de la agencia y sus contratistas para prevenir los ciberataques.
- Vigilar los controles establecidos para detectar y prevenir los ataques.
- Asegurar que los gerentes implementen las políticas del IRS para monitorear los rastros de auditoría.
- Proporcionar a los especialistas en seguridad las herramientas y la formación adecuadas.
- Mejorar el análisis del registro de auditoría.
- Proporcionar resúmenes periódicos del volumen de autenticación electrónica y de los acontecimientos desencadenantes de actividades inusuales.
- Asegurarse de que los rastros de auditoría indiquen a qué aplicación querían acceder los delincuentes después de usar la eAutenticación.
En respuesta al informe del TIGTA, la CIO del IRS, S. Gina Garza, dijo que muchas de las recomendaciones se han completado o están en proceso de completarse. Además, los especialistas en seguridad ahora tienen herramientas para monitorear los planes de auditoría. El entrenamiento adicional ha comenzado y se completará para el 31 de marzo de 2017, escribió.
Garza también señaló que el personal de seguridad cibernética de la agencia proporcionará informes mensuales que incluirán los desencadenantes de las transacciones de actividad inusual. Eso se espera que esté en marcha para el 15 de diciembre de 2017.
Al determinar cuál era la aplicación objetivo de los delincuentes después de usar la eAutenticación, Garza dijo que el software determinará la prueba de identidad, los códigos de seguridad y la información de la aplicación objetivo. Se espera que este proceso esté en marcha para el 15 de febrero de 2017.
El pasado junio, el IRS dijo que había adoptado la autenticación de doble factor para Get Transcript, después de que la agencia relanzara la herramienta online un año después de la infracción. Una vez que los usuarios se registren y cada vez que vuelvan a Get Transcript, tendrán que introducir su nombre de usuario y contraseña, además de un código de seguridad que se enviará como mensaje de texto a su teléfono móvil. Los nombres de usuario y las contraseñas por sí solos ya no son suficientes para entrar en el sistema.
Artículo relacionado:
El IRS añade protecciones extra a la herramienta online ‘Get Transcript’