Fuga de datos sensibles en portal tributario.

La Autoridad Fiscal de India ha corregido una grave vulnerabilidad en su portal de presentación de declaraciones de impuestos que expuso datos sensibles de los contribuyentes, según informes confirmados por autoridades.

Esta falla, detectada en septiembre por los investigadores de seguridad Akshay CS y “Viral”, permitía a cualquier usuario que hubiera iniciado sesión en el portal de e-Filing del departamento de impuestos acceder a datos personales y financieros actualizados de otras personas.

Los datos expuestos incluían nombres completos, direcciones, correos electrónicos, fechas de nacimiento, números de teléfono y detalles de cuentas bancarias de los contribuyentes en India. También se filtró el número de Aadhaar, un identificador único del gobierno utilizado para verificar la identidad y acceder a servicios gubernamentales.

Para verificar la información, se otorgó permiso a los investigadores para revisar los registros de este reportero en el portal.

Los investigadores confirmaron a los medios que la vulnerabilidad fue solucionada el 2 de octubre. Dada la gravedad del riesgo para el público, la publicación del hallazgo se pospuso hasta que se asegurara que la falla ya no era explotable.

Representantes del Departamento de Impuestos sobre la Renta de India reconocieron nuestra consulta, aunque no respondieron a nuestras preguntas antes de la fecha límite. Asimismo, no presentaron objeciones a la publicación de esta noticia.

Vulnerabilidad de fácil acceso permite el acceso a datos sensibles

Los investigadores mencionaron que la vulnerabilidad fue descubierta mientras presentaban su declaración de impuestos en el sitio web del gobierno. Todos los residentes de India deben enviar sus ingresos anuales para calcular los impuestos que deben pagar.

El problema se presentó cuando, al iniciar sesión en el portal usando su Número de Cuenta Permanente (PAN), un documento oficial del departamento de impuestos, lograron ver datos sensibles de otras personas simplemente reemplazando su PAN por otro en la solicitud de red.

Esto podía realizarse usando herramientas de acceso público como Postman o Burp Suite, o incluso con las herramientas de desarrollo integradas en navegadores, y con el conocimiento del PAN de otra persona.

La falta de comprobaciones adecuadas en los servidores del departamento de impuestos permitió esta clase de vulnerabilidad conocida como referencia de objeto directo insegura (IDOR), un error común que puede resultar en violaciones de datos a gran escala.

“Esto es algo extremadamente simple, pero con consecuencias severas”, indicaron los investigadores.

Además de los datos de individuos, también se expuso información relacionada con empresas registradas en el portal de e-Filing.

Se verificó que la falla afectó a personas que aún no habían presentado su declaración de impuestos este año.

CERT-In confirma la vulnerabilidad

Los investigadores alertaron al equipo de respuesta a emergencias informáticas de India, CERT-In, sobre la falla poco después de descubrirla, aunque no recibieron un cronograma para la solución.

Un representante de CERT-In confirmó el 30 de septiembre que el Departamento de Impuestos estaba trabajando en la corrección de la vulnerabilidad.

El Ministerio de Finanzas no respondió a la consulta sobre este asunto. A pesar de que el director general de sistemas del Departamento de Impuestos reconoció la recepción del correo, no proporcionó más comentarios.

No está claro cuánto tiempo ha existido la vulnerabilidad ni si actores malintencionados han accedido a los datos expuestos. CERT-In no respondieron a estas preguntas planteadas.

La cantidad exacta de usuarios afectados por la exposición de datos también permanece en la ignorancia, dado que el portal de impuestos de la India cuenta con más de 135 millones de usuarios registrados, y más de 76 millones de usuarios presentaron sus declaraciones durante el año fiscal 2024-25, según datos públicos disponibles en el propio portal.