¿Es el sitio del SII realmente seguro?
De pequeño me encantaban las caricaturas de la Pantera Rosa. Sin decir una palabra, siempre se las ingeniaba para sacarme una sonrisa con sus chistes visuales. Recuerdo especialmente un corto donde la (o el… nunca me quedó claro) protagonista, encontraba una pequeña hebra que sobresalía de su pelaje. Curiosa, comenzó a tirar de ella, sacando cada vez más metros y metros de hilo… hasta quedar en pelotas y con las manos en una tremenda maraña rosa.
Creo que anoche me sentí de la misma forma.
(Claro, salvo por lo rosa).
La jornada comenzó con un ultimátum de mi editor para que le enviara mi boleta de este mes. Como hacen miles de chilenos – y a última hora – me dirigí al sitio del Servicio de Impuestos Internos (SII) para emitir una electrónica, sistema que era realmente una bendición para quienes no somos a fines a las labores contables… hasta que comenzó a ser imposible acceder a ella.
Y de hecho no sólo a las boletas. Toda la Web del SII se niega a funcionar desde que actualicé a Firefox 2.0 en octubre pasado, advirtiéndome que:
“Firefox no puede conectar de forma segura a loa.sii.cl (o zeus.sii.cl) porque el sitio usa un protocolo de seguridad que no está activado”
No era el único en esta situación. Una breve búsqueda arrojó varios resultados de usuarios quejándose por no poder acceder usando la última edición de Firefox, mientras Internet Explorer se desliza por sus páginas como una seda. Y la verdad, luego de que un informante me contara que a la administración del SII ni siquiera le importa compatibilizar sus servicios con el navegador de código abierto por considerarlo “fruto de un grupo minoritario de activistas furibundos y revoltosos”… no era algo que me extrañara.
Por fortuna, la solución al problema resultó bastante expedita: basta tipear about:config en la barra de direcciones y luego buscar la clave security.ssl3.rsa_rc2_40_md5. Se pulsa sobre ella para cambiar su condición de false a true y ya está. El zorrito nuevamente es bienvenido en las tierras de Papá Fisco.
Pero, ¿por qué los chicos de Mozilla obviarían algo tan nimio? ¿Se trataba de un bug? ¿Era otra consecuencia del apuro en salirle al paso a Internet Explorer 7? ¿Y por qué ocurría sólo en el sitio del SII? La verdad resultó mucho más interesante.
Buscando otros casos donde ocurriera lo mismo, di con este foro de usuarios de la compañía de telecomunicaciones británica Vodafone, quienes no sólo acusan un error similar al querer revisar su correo con Firefox 2.0… sino porque denuncian que ese protocolo de seguridad está obsoleto.
Sucede que la clave security.ssl3.rsa_rc2_40_md5 pertenece a un sistema de encriptación de datos de 40-bits, las cuales fueron incorporadas en las versiones 3.0 de Netscape e Internet Explorer, lanzadas en 1996. Puede que para la fecha fuera un sistema de seguridad bastante fuerte, sin embargo y tal como dice la Wikipedia, hoy en día se le considera “seriamente desactualizado“, incluso con servidores que se niegan a atender programas que no acepten protocolos de al menos 128-bits.
Pero la enciclopedia electrónica va más allá. Según ella, una encriptación de 40-bits “es posible de vulnerar usando una cantidad moderada de poder de cómputo en un ataque por fuerza bruta” (aquellos donde se prueban todas las claves posibles).
Además, menciona que mientras a un solo computador le puede llevar semanas descifrar una clave de 40-bits, el esfuerzo de una red corporativa o de un ataque coordinado mediante los infames gusanos informáticos, pueden reducir drásticamente este tiempo. Debido a esto, “es difícil recomendar el uso de encriptación de 40-bits para cualquier fin criptográfico serio, dada la capacidad de los computadores actuales para vulnerarlas”.
¿Era posible que el sitio del Servicio de Impuestos Internos estuviera poniendo en riesgo la información de sus usuarios?
Para asegurarme que no se tratara de líneas escritas por algún paranoico trasnochado, decidí seguir indagando… y la evidencia comenzó a abrumarme. Comencé con este artículo del experto en redes de Cisco Press, Bradley Mitchell, quien además de explicar las diferencias entre un sistema de 40-bits y uno de 128-bits, señala que “Por desgracia, en la práctica las claves de 40-bits han demostrado ser muy sencillas de descifrar o vulnerar [...] (por ello) los fabricantes de navegadores comprendieron la necesidad de aumentar el estándar a 128-bits hace ya varios años”.
Luego, di con este documento académico de Jari Antilla, miembro de la Universidad Tecnológica de Helsinski, quien en un seminario sobre seguridad de redes en 2001, afirmaba que “la versión de 40-bits de SSL no puede ser reconocida como segura, mientras la de 128-bits todavía se puede considerar segura para el uso común”.
Y si bien algunos textos como este de la FAFSA o este otro de la Administración Marítima Estadounidense señalan escuetamente que “las claves de 40-bits no son tan seguras como las de 128-bits, pero aún así requiere un tiempo considerable descifrarlas“, la confirmación final me la dio este documento de la Agencia de Seguridad Nacional de EEUU, que ya en 2002 recomendaba desactivar este protocolo desde Netscape Navigator por considerarlo inseguro.
Al parecer los chicos de Mozilla no estaban tan perdidos.
Con el fin de hacer una última prueba, examiné cuidadosamente las conexiones seguras desde el SII usando los tres navegadores a mi disposición. Y he aquí los resultados más impresionantes:
Tras aplicar el “parche”, Firefox me informó que la mayoría de las páginas del SII usaban un protocolo de 40-bits, calificado como “cifrado de bajo nivel“. Sólo ciertas secciones, como la correspondiente al formulario 29, tenían una clave de seguridad más fuerte de 256-bits. Irónicamente, páginas cruciales como las que permiten identificar a un usuario o cambiar su contraseña, sólo poseen un resguardo de 40-bits.
Por su parte, la reacción de Opera fue increíble… ¡simplemente se negó a seguir los enlaces hacia protocolos de 40-bits! Sólo después de editar mis preferencias para el sitio del SII e indicarle expresamente que quería conectarme usando “un sistema de encriptación antiguo y considerado hoy como poco seguro”, me permitió continuar, marcando insistentemente de esta forma la mayoría de las secciones del SII:
Y finalmente, la joya del año: Internet Explorer 7 no sólo navegó despreocupadamente por todas las secciones del SII, sino que cuando le consulté por el grado de encriptación de sus páginas, no me dio indicio alguno de que estaba usando un protocolo de seguridad obsoleto. Lindas mejoras de seguridad, ¿eh?
Aún pasmado por el hallazgo – y todavía pensando que podía tratarse de un error – quise comparar con la seguridad de otros sitios chilenos, sin embargo las tiendas virtuales de Falabella, Almacenes París o Ripley, usan estándares que oscilan entre los 128-bits y 256-bits de encriptación… muy superiores a los 40-bits del SII.
¿Hasta qué punto son seguras las comunicaciones con el Servicio de Impuestos Internos? ¿Habrá alguna posibilidad de que el SII no actualice sus protocolos por una cuestión de economía? ¿Por qué la última versión de Internet Explorer no sólo continúa usando un protocolo de seguridad obsoleto – bloqueado en los otros navegadores – sino que además omite advertirnos sobre su inseguridad?
Ahora ustedes tienen la palabra.
Publicado el 14.12.2006 @ 07:04 | 
Categorías: 
ZOrba
14.12.2006 @ 07:45
nada más que decir que wooooooooooooooooooow da que pensar bastante esto sobre todo si sitios como los de las tiendas ya aplican mejor seguridad a sus sistemas. mmmmmmmm
James P. Wack
14.12.2006 @ 07:51
Notable trabajo de investigación y una terrible verdad.
¿donde hacemos una lista para que pasen el sitio a RSA-1024 (como meebo.com)?
saludos
J.J.
14.12.2006 @ 08:25
Ya ni una boleta te pueden pedir sin que destapes una olla.
Todavía no sé si eres admirable o eres terrible.
Manuel
14.12.2006 @ 08:42
Manda la boleta, mejor será.
chaval
14.12.2006 @ 09:10
¿Va a tener que ocurrir una desgracia para que esto cambie? No quiero ni ponerme a pensar la de “tonteras” que se puede hacer si te cambian la clave y empiezan a tirar facturas electrónicas a destajo.
Notable trabajo investigativo señor Holmes.
RaFah
14.12.2006 @ 09:47
Me pasó lo mismo pagando con tarjeta de crédito el PPM en el SII. Eso quiere decir que el nivel de seguridad para usar un medio de pago electrónico está obsoleto. Es como para pensarlo dos veces.
Daniel
14.12.2006 @ 10:16
Uff..
espero que alguien de SII tome en cuenta tus líneas ya que no es algo menor.
A todo esto creo que cada día estas mas “vikingo” al usar Opera xD.. ahora que demostraste la seguridad de éste deberías usarlo mas seguido que FF xD
Saludos
hyoga
14.12.2006 @ 11:10
A lo mejor, no quieren pagar el certificado de seguridad.
Parece que nadie les ha hablado de OpenSSL (implementación libre de SSL).
El problema pasa por un asunto de pereza mental. Mientras nadie les enrostre la falla, nadie se tomará la molestia de investigarla.
Ojalá que lean esto y se dediquen a actualizar el sistema.
RoQ
14.12.2006 @ 11:11
Vaya, y si mal no recuerdo, en tu articulo de Mouse declaraste un empate técnico entre el FF2 y el IE7
No siempre lo que se ve es lo que cuenta.
Valericio
14.12.2006 @ 14:25
shuuuuuuuu de mal en peor creo q sale mejor ir a timbrar boletas al SII en ves de hacerlas por internet….
Felk
14.12.2006 @ 20:18
La verdad no me sorprende que un sitio como este use protocolos de encriptación tan bajos, si al fin y al cabo muchas veces se preocupan má del diseño que de los niveles de seguridad…. Cosa MUY mala para los usuarios…
Claro que el 98% de los que hacen sus boletas por el medio electrónico, no tiene idea de estos fallos y de alguna manera…no les importan. Porque la idea es hacer el trámite de forma rápida y fácil…no confiable.
Lo que sí encontré insólito fue el que “a la administración del SII ni siquiera le importa compatibilizar sus servicios con el navegador de código abierto por considerarlo “fruto de un grupo minoritario de activistas furibundos y revoltososâ€â€¦
Ok. Entiendo que al parecer el SII está manejado por un montón de burócratas capitalistas…pero llegar a decir eso….no será mucho???
Quizás….Bill Gates algo tenga que ver en el asunto…
guido_cc
14.12.2006 @ 21:33
mdgrkb
14.12.2006 @ 23:05
EXCELENTE post. a ver qué si cambia la opinión de los señores del SII sobre el “grupo minoritario de activistas furibundos y revoltosos”. supongo que la respuesta del SII sería mucho más rápida si te animaras a vulnerar el sitio, pero claramente no te queremos tras las rejas, jejeje
A propósito, yo siempre que compro o pago cuentas por Internet uso el IE, más que nada por compatibilidad. he tenido problemas pagando con tarjeta de crédito con firefox. por otra parte, dada la amplia difusión de IE, es muy difícil que un sitio no se compatible con éste. sin embargo, es abismante la baja seguridad que admite…
consulta: ¿le reportaste formalmente esto a alguien en el SII?
sobre reportarlo a Microsoft, ya es más trabajoso, por cierto. es un monstruo demasiado grande y temo que a veces le cueste escuchar a los “microorganismos” (jejeje).
finalmente, excelente el comment de guido_cc… imposible más oportuno! jajaja
Saludos
Oldfox
15.12.2006 @ 08:02
Buen articulo, que pena que ocupen un nivel de suguridad tan bajo, es verdad que hace bastante tiempo, los 128 bites es lo minimo, encuentro jocoso, que yo ocupando pgp encripte con mayor seguridad que paginas de mi querido gobierno.
Punto a favor a nuestro querido firefox
Sin mas que decir
Saludos
ochovio
15.12.2006 @ 08:49
shuuuuuuuuu ….
Yapo, cortala, que con la partida del tata y el partido del Colo ya no quiero mas malas noticias……
(Por lo menos esta si que es noticia …….)
Cheshire
15.12.2006 @ 18:33
Yo creo que la razón por la cual es SII no actualiza su sistema de seguridad es simplemente para evitar que se ocupen otros navegadores que no sean el de la Microsoft…. nada de raro considerando los “donativos” que ha hecho bill por estos lados, no?… paranoia… mmmh… en una de esas, pero es sólo cosa de recordad iniciativas de gobierno en el tema computacional ya pasadas…. en fin, buen articulo…
Saludos!!:D
JCM
Jano
16.12.2006 @ 15:27
Excelente, Christian!
Diego
16.12.2006 @ 21:01
Y que pensaba que la aula virtual de mi universidad estaba obsoleta, veo que no es la unica.
G.
16.12.2006 @ 22:39
Basta que un grupito de hackers haga una visita al SII para que se pongan las pilas. Como siempre, curando más que previniendo.
gonzalovalenzuela
18.12.2006 @ 14:58
Pésimo, nada que decir, muy buena recopilacion…
me recorde algo que me paso en el trabajo…
ahi se utiliza mucho los sitios B2B de las importantes cadenas farmacéuticas, todos sabemos cuales son, pues bien, resulta que ese servicio cuesta dinero mensualmente , y por la alta seguridad que nos exigen a nivel corporativo (la matriz es Suiza) , resulta que los famosillos sitios no andaban ni a palos…”es que es problema de uds” me dijo el tipo encargado, sin conocer NADA de nuestras politicas “es que no estan aceptando el certificado, tienen que sacar las restricciones del internet explorer”, cosa que aca NO SE HACE, cual fue mi sorpresa cuando revise el famoso sitio, y mientras hablaba con “el experto” de una de las cadenas,y le explicaba que no autorizábamos cualquier sitio como seguro y salta el error, SSL, mm, y le digo “oye, quien les emite el certificado? puede ser que esta expirado, revisemos” pues no creia cuando veo la entidad emisora, y resultaron ser simples certificados CREADOS Y VALIDADOS POR ELLOS MISMOS!!! y ni siquiera eran OpenSSL, pagandoles mucho dinero mensualmente, no tienen dinero para comprar un certificado emitido por una entidad valida? me parece un chiste , asi es la seguridad en nuestro país.
RG
20.12.2006 @ 10:01
Ahhh ahora entiendo leal…
Muy buen golpe! te felicito… ojalá la prensa “tradicional” te cite cuando se destape el tema…
Firefox da que hablar….. at Cactus Digital
20.12.2006 @ 11:42
[...] El SII (Servicio de Impuestos Internos Chileno), se encarga de recaudar nuestros dineros…… pero al parecer no se encarga de velar por que nuestras transacciones on-line sean lo seguro que deben ser [El Francotirador], es por esto que Ff pega el grito y no nos deja entrar al sitio avisandonos que hay un “protocolo de seguridad que no está activado†(por ser demasiado débil), en Fayer Wayer nos explican cómo por lo menos eliminar la advertencia que se desplega cada vez que tratábamos de ingresar. acidez [...]
Patricio
20.12.2006 @ 11:50
Excelente articulo, me pasa lo mismo con SAFARI, lamentablemente no se como activarlo.
¿que tal si todo nos gastamos unos minutos y registramos nuestro reclamo en el sitio: https://zeus.sii.cl/dii_doc/calidad/calidad_antec.htm ?
veamos como nos va!
samuel
20.12.2006 @ 14:52
hola a todos
quedé como muchos aquí recordando a Condorito…plop! y exijo más de una explicación que justifique al SII a mantener esos niveles de seguridad
no tenía idea que usaban una encriptación tan débil…si la wifi de mi casa usa 128 bits por qué el SII usa 40???
y tanto que se ha “manoseado” la mdoernización del estado?? será solo “hojarasca” como diji el Sr. Lagos?
saludos…
PD: y a cruzar los dedos que nadie tenga 1 hora de ocio para entrar en nuestras cuentas de “papi Fisco”!
Duncan Mac-Vicar P. » Blog Archive » Servicio de impuestos internos y Firefox.
22.12.2006 @ 10:01
[...] Interesante artículo que explica por que el sitio del servicio de impuestos internos no es compatible con Firefox. [...]
Jorge Barahona
22.12.2006 @ 10:50
Que buen artículo!
Te felicito y agradezco mucho ya que tengo los mismos problemas con el SII y decidí hacerle pruebas de Usabilidad y me faltaba la seguridad que tan bien explicas y pruebas con tanto detalle.
Pronto también demostraremos que el famoso y laureado SII online no sólo es inseguro como queda demostrado si no que es un sitio despreocupado de la Experiencia de los Usuarios, carente de Arquitectura de la Información, una Usabilidad cuestionable (no cumple ni con la Guia Web), y de una Interfaz incapaz de construir comunicación entre el sistema (que sin duda es poderoso) y el Usuario.
Me revienta que se siga poniendo este sitio como ejemplo.
Mi respuesta siempre es “con la pistola en la boca” cualquiera aprende rapidito a usar este sitio y hasta se hace el huevón con la seguridad…
Ya que no cumplir con el SII si que es lío, no?
Imogen
22.12.2006 @ 11:26
Demasiado impactante el artículo…
aún siendo asi, no entiendo como es que si tiene una vulnerabilidad relativamente baja aún no ha quedado ninguna embarrada… y no puedo aceptar que una entidad tan importante como lo es el SII use una encriptación considerada obsoleta.
El Francotirador | Blog Archive | ¿Ahora SII que SII?
26.12.2006 @ 13:23
[...] ¿Habremos tenido algo que ver en esto?… [...]
Blog de Andres Lopez Gomez » SII, Firefox 2, y seguridad de 40-bits
27.12.2006 @ 21:00
[...] Actualización: SargentoPimienta nos apunta hacia un muy buen articulo en El Francotirador donde habla en detalle sobre la seguridad (o falta de ella) del sitio del SII. [...]
daniels
27.12.2006 @ 23:31
excelente investigacion , te felicito por tu dedicacion, ya les envie un mail a los del sii.cl , pero ahun no se han dignado a responderme.
Saludos
suribe
02.01.2007 @ 08:11
muy buen artículo, ojalá que este problema se arregle antes de abril, el mes clave para el SII
scifue
12.01.2007 @ 11:13
Alguien podría ayudarme con lo siguiente, darme alguna sugerencia?
Tengo una aplicación que esta formada con iframes. 2 de estos iframes cargan pagina de otras aplicaciones de la misma institución, pero que se encuentran en dominios distintos. De ellos debo obtener el alto, ancho a través de DOM. En internet explorer no tengo problemas, pero cuando intento acceder desde Firefox, me arroja el siguiente error:
Error: uncaught exception: Permiso para obtener la propiedad
HTMLDocument.getElementById denegado
Según he visto en internet, existen problemas cuando se trata de acceder al DOM del parent document en el iframe, por un tema de seguridad.
Existe alguna forma de hacerlo? o definitivamente Firefox restringe a nivel de seguridad este acceso?
Gracias!
El Francotirador | Blog Archive | Caso SII: La noticia… que no fue
15.01.2007 @ 16:43
[...] Como recordarán, casi un mes atrás hicimos público a través de esta bitácora una insólita vulnerabilidad en el sitio del SII, donde el uso de un sistema de seguridad relativamente bajo – y considerado obsoleto en la actualidad – como es el cifrado de 40-bits, seguía siendo usado en secciones críticas, como la identificación de usuarios o la emisión de boletas electrónicas. [...]
Toda esa parafernalia , pa no pagar impuestos
28.02.2007 @ 17:35
Compadrito te cacharon en el Sii , y te van a reventar cuando presenti la declaracion AT-2007. En serio
FISCALIZADOR
06.03.2007 @ 12:24
PARA QUE CUIDAR A MIS USUARIOS DEL S.I.I. SUS CLAVES , SUS TARJETAS AL PAGAR, SI SOMOS JUEZ Y PARTE EN LAS DETERMINACIONES FISCALES DE IMPUESTOS.- SOMOS SEMIDIOSES EN ESTE INFIERNO FISCAL, TU CASA TU AUTO Y HASTA TU MUJER SON UNA PARTE DEL GOBIERNO, ACASO NO PAGAS CONTRIBUCIONES, (CASA), PATENTES (AUTO), E IMPUESTOS (MUJER) EN TODO LO QUE COMPRA.-
OTRA VEZ : HAY QUE DECIR VIVA, SI, VIVA CHILE MIERDA.-
POSDATA, TIENEN RAZON, ESPERO SUS DECLARACIONES DE RENTA.-
Poniendo a prueba Soapbox, la respuesta de Microsoft a YouTube / Que Pitia!
09.06.2007 @ 16:51
[...] de Windows, sus programas basados en el FUD para cagarse a palos sacar a Linux del mercado, obligaciones forzozas a Internet Explorer y condoros en la XBOX, existe otra Microsoft que hace bien las cosas, que crea [...]