Contribuyentes son blanco de los cibercriminales

El 20 de marzo el periódico La Gaceta, publicó la resolución Nº DGT-R-012-2018, l a cuál establecía por parte de la Dirección General de Tributación la obligatoriedad para migrar definitivamente al sistema de facturación electrónica. Esta resolución en conjunto con la publicada anteriormente el 20 de setiembre de 2017 Nº DGT-R-51-2016 ponían en firme un cambio en la forma en que empresas e individuos debían reportar sus ingresos a la máxima autoridad recaudadora del estado.

Para muchos el término "factura electrónica" no era particularmente reconocible ni tampoco se tenía una clara educación respecto al proceso de migración ni mucho menos de cómo se crea, procesa o recibe este tipo de documentos electrónicos. En poco tiempo empezamos a descubrir los primeros intentos de fraude, que aprovechando el desconocimiento de la población contribuyente, empezaron a crecer de manera rápida y sofisticada donde el 2018 fue de gran prosperidad para los cibercriminales.

A continuación un recuento rápido de artículos relacionados al tema:

• 12 Febrero 2018 - ¡Mucho cuidado! Tributación no hace llamadas por factura digital

• 21 Febrero 2018 - Alertan intentos de estafa con factura electrónica

• 22 Mayo 2018 - Estafa millonaria afecta a emprendedores por factura digital

• 21 Julio 2018 - 6 claves para detectar la estafa del falso funcionario de Hacienda

• 17 Agosto 2018 - MEIC alerta a pobladores sobre posibles estafas con servicio de factura electrónica

• 22 Agosto 2018 - Conozca el timo de la factura electrónica usado para robar

• 21 Setiembre 2018 - Hacienda alerta sobre nuevos intentos de estafas con facturas electrónicas

Se pueden identificar dos formas básicas de operación para llevar a cabo el timo contra los contribuyentes:

Estafa telefónica

¡Si no me da la información lo multamos!

El "vishing" es una técnica de ingeniería social, en la cuál, por medio del uso de llamadas telefónicas se engaña a la víctima para que entregue sus datos privados y sensibles

Múltiples contribuyentes empezaron a recibir llamadas de supuestos funcionarios del Ministerio de Hacienda. Durante estas llamadas el supuesto funcionario solicitaba dependiendo el perfil del individuo una de tres acciones:

• Solicitan datos personales y bancarios para ayudar al contribuyente a ingresar a sus cuentas bancarias y verificar el estado de "conexión" con el sistema del Ministerio de Hacienda y se puede consultar los montos de pago de impuestos y otros. En varias oportunidades se detectó que el estafador indicaba a la víctima que antes de poder migrar a la facturación electrónica se debía de realizar el pago de impuestos, y que se podía hacer vía telefónica con tarjeta de crédito/débito, lo cual claramente era falso.

• El estafador solicita a la víctima que debe instalar un software (programa informático) como requisito para que el sistema de hacienda funcione apropiadamente y pueda a partir de ahí emitir las facturas, luego lo dirige al proceso legítimo de facturación, sin embargo el computador ah sido infectado por el atacante en ese punto y comienza a robar sus datos y contraseñas.

• Se ofrece asesoría para poder configurar la factura electrónica adecuadamente, el atacante solicita un pago por dicha asesoría la cual en la realidad es ofrecida por el Ministerio de Hacienda de manera GRATUITA,

Estafa por Correo Electrónico

¡Gracias por su pago aunque no me conozca!

El "phising" es una técnica de ingeniería social, en la cuál, por medio del uso de correos electrónicos se engaña a la vícitma par que entregue sus datos privados y sensibles.

El primer tipo de correo electrónico fraudulento que detectamos del cuál se enviaron múltiples variantes, solicitaban completar los datos personales del usuario para poder completar la facturas, datos que posteriormente eran utilizados para generar facturas falsas a otros recipientes. Los criminales entonces tenían información suficiente para enviar a otros negocios facturas que parecían oficiales y empezaron a falsificar remitentes legítimos para así lograr un timo más creíble y expandir su base de contactos.

Posteriormente en una segunda oleada más agresiva, los criminales lograron obtener una base de datos importante de contribuyentes, empezaron a enviar oleadas de correos electrónicos cargados con Ransomware (software criminal que secuestra los datos de la víctima y solicita un pago de recompensa a cambio de liberarlos). Especialmente a funcionarios empleados en departamentos financieros de empresas e instituciones (trabajo organizado, demuestra operación criminal local bien financiada), quienes al en primer lugar no tener la suficiente educación sobre como identificar facturas electrónicas legítimas únicamente validaban la línea de "asunto:" del correo electrónico donde decía "Recibo de pago" y pues naturalmente al tratarse de un empleado del área financiera (o recursos humanos) su curiosidad por haber recibido una factura no esperada le hacía de inmediato abrir el archivo adjunto. Esta acción represento probablemente la causa del pico más alto de infecciones por Ransomware entre los meses de Setiembre y Diciembre que el país ha tenido en su historia.

Programas maliciosos: Se define como un programa que deliberadamente modifica las funciones del computador sin que el usuario lo sepa para robar, secuestrar o destruir la información del usuario víctima.

¿Qué originó esta campaña de ciberataques contra los contribuyentes?

Conforme Costa Rica se dirige hacia una transformación digital, más y más servicios del gobierno y otros sectores serán transformados para eliminar el trámite personal físico y cambiar a sistemas informáticos digitales que permitan desde la comodidad de nuestro "SmartPhone" o computador gestionar la mayor cantidad de trámites a distancia. Aunque esto es algo extremadamente bueno para nuestro desarrollo como sociedad, también significa que todos los costarricenses estarán expuestos a los mismos escenarios de cibercrimen a los que países más desarrollados están expuestos también hoy día.

En Estados Unidos los "tax scammers" o "estafadores de impuestos" han representado por años pérdidas multimillonarias para el estado y los ciudadanos. desde la implementación de los mismos mecanismos que el día de hoy para el costarricense parecen novedosos, por lo que las autoridades han tenido que evolucionar de manera radical en otras latitudes para asegurar el control apropiado de los tributos y así debemos hacerlo nosotros también. Claramente la célula que opera en Costa Rica ha tenido acceso a datos internos del Ministerio de Hacienda que les permitieron elaborar una base de datos detallada de contribuyentes para posteriormente estafarles. Esto debe de ser de gran preocupación para las autoridades nacionales pues podría indicar un "gato casero". Se llega a esta conclusión debido al refinamiento del contenido de los mensajes estudiados y los recipientes de estas llamadas/emails cuyas víctimas fueron claramente bien seleccionadas.

Los funcionarios del Ministerio de Haciendo NO van a pedirle información personal vía telefónica, ni mucho menos pagos de impuestos a través del teléfono. Tampoco van a llamar a la policía ni van a multarlo por negarse a dar información personal. Se debe mejorar el proceso de autenticación de la factura electrónica utilizando herramientas como por ejemplo la Firma Digital y así evitar la suplantación de identidades, generar una lista pública de proveedores de factura digital aprobados y oficiales entre otros.

Jalón de orejas a comercios

La factura electrónica NO es un mecanismo de mercadeo

Durante esta investigación detectamos que muchos comercios están utilizando de excusa la emisión de la factura electrónica, para aprovechar y obtener datos extra del ciudadano con fines de llenar sus bases de datos de mercadeo. La ley de protección de la persona frente al tratamiento de sus datos personales Nº8968 en su Artículo 5 - Principio de consentimiento informado, es clara al indicar que el comercio debe de solicitar al cliente únicamente los datos necesarios para la emisión de la factura electrónica cuya base es número de cédula, nombre del cliente y dirección de correo electrónico. Esta información NO debe utilizarse con otros fines fuera de aquellos que le son anunciados al cliente y de requerirse información adicional el cliente tiene por ley el derecho de saber la razón y puede negarse a dar información extra que considere está en violación de sus derechos. El comercio NO debe almacenar esta información sin el consentimiento informado del cliente, de lo contrario se incurre en un delito de violación de los datos personales del habitante. Hacemos así mismo un llamado al Ministerio de Hacienda, MEIC y Prodhab a hacer un llamado a los comercios para detener esta actividad que atenta contra la privacidad del ciudadano y de en el corto plazo lograr que el ciudadano no tenga que dar sus datos personales en cada comercio que visita, sino que sea el Ministerio de Hacienda quien tenga estos datos ya almacenados y el cliente únicamente entregue su número de cédula para recibir la factura correspondiente.

Diferencia entre Factura Electrónica y Factura Digital

Una va para Hacienda otra me la dejo yo

Si usted recibe un documento en formato MS-Excel, MS-Word, imagen o PDF esto corresponde a una factura digital. Una factura electrónica es un archivo tipo XML, validado y firmado digitalmente que se envía a la Dirección General de Tributación establecido en la resolución DGT-R-48-2016. Sin embargo nosotros recomendamos que las facturas digitales sean tambien firmadas digitalmente mediante el uso de herramientas como la firma digital, para evitar que los cibercriminales se hagan pasar por emisores legítimos y envíen estos documentos infectados de software malicioso. Cada factura digital debe ser también firmada de manera digital y es algo que entonces momentos no ocurre así que deben de ser cuidadosos y no abrir archivos adjuntos de emisores desconocidos.

Recomendaciones

1. Los funcionarios del Ministerio de Haciendo NO van a pedirle información personal vía telefónica, ni mucho menos pagos de impuestos a través del teléfono. Tampoco van a llamar a la policía ni van a multarlo por negarse a dar información personal.

2. El Ministerio de Hacienda NO va a solicitarle información personal vía correo electrónico, no le va a solicitar llenar ningún formulario en línea ni tampoco va a solicitarle que descargue software de ningún tipo vía email.

3. Haga sus trámites a tiempo y siguiendo las instrucciones oficiales disponibles en su sitio web https://www.hacienda.go.cr/contenido/14350-factura-electronica

4. Siempre procure mantener su software antivirus y cortafuegos (firewall) al día y activo cuando en caso de recibir un correo electrónico sospechoso. En todo caso se debe primero contactar con el Ministerio de Hacienda y/o el remitente para aclarar cualquier duda. NUNCA se debe abrir un archivo adjunto sospechoso.

5. Proteja SIEMPRE su información personal, si la pierde, otros podrían hacerse pasar por usted para cometer delitos.

6. Si sabe de individuos que estén cometiendo estos delitos, ¡DENUNCIE! Policía de Control Fiscal Teléfono: 2256-2542 / 2539-6800 Correo electrónico: pcfdenuncias@hacienda.go.cr