Público
Público

Privacidad El 'agujero negro' de los datos personales afecta también a la Agencia Tributaria

Sólo con teclear en la web de la AEAT el Código Seguro de Verificación (CSV) que sale en las liquidaciones impresas de impuestos se puede acceder a la totalidad del documento, con los datos personales y fiscales del contribuyente.

Imagen de una delegación de la Agencia Tributaria - EFE

El uso del Código Seguro de Verificación (CSV) para cotejar documentos con sus versiones electrónicas originales está ampliamente extendido en las administraciones públicas, pero llama especialmente la atención el caso de la Agencia Tributaria (AEAT). Simplemente con el CSV que aparece en los impresos de las liquidaciones de impuestos se puede acceder a la totalidad del documento: los principales datos personales y económicos del contribuyente. Ni siquiera se pide un dato extra, una contraseña o un certificado digital: es todo un 'agujero negro' por el que casi cualquiera puede acceder a un sinfín de datos personales.

No sólo la administración de Justicia facilita en abierto herramientas telemáticas para cotejar documentos originales y sin anonimizar, ni mucho menos. De hecho, la lista de entidades públicas que ofrecen este servicio —ministerios, secretarías de Estado, direcciones y subdirecciones generales, comunidades autónomas— es larga y viene además detallada en el portal de la sede la Administración electrónica. Pero entre ellas destaca la Agencia Tributaria precisamente por el tipo de datos que maneja: la información fiscal.

El abogado especializado en nuevas tecnologías David Maeztu explica a este diario una situación comparable a la del polémico acceso a la sentencia íntegra de 'La Manada' en el sistema electrónico de la administración de Justicia de Navarra mediante el uso del CSV: "Pasa lo mismo con las declaraciones de impuestos en el sitio web de la Agencia Tributaria: si yo te paso el CSV de mi declaración de la renta presentada, te la puedes descargar hasta tú". Y la realidad es tal cual la cuenta, como ha podido comprobar este diario con varios códigos (eso sí, ninguno de dicho letrado).

"Si te paso el CSV de mi declaración de la renta presentada, te la puedes descargar hasta tú"

Fuentes de la Agencia Tributaria informan a Público de que ese código seguro de verificación se entrega exclusivamente al interesado en cada momento. Es decir, deja en manos del contribuyente el control sobre su uso y, según las mismas fuentes, es quien puede decidir a quién y para qué puede facilitar, en su caso, este código. La seguridad de un documento concreto está en que el interesado le facilite ese código, con lo que está autorizando el acceso al mismo a un tercero, afirma la Agencia.

“Me parece preocupante”, declara a este diario el abogado especializado en protección de datos Luis Gervas. "El Reglamento General de Protección de Datos (RGPD), de aplicación directa a partir del 25 de mayo, consagra entre otros el principio de privacidad desde el diseño, es decir, el sistema no debería entrar en funcionamiento si no garantiza adecuadamente los derechos" de los titulares de los datos  privados protegidos, recuerda este letrado, que añade: “Tal y como está concebido este sistema [de cotejo con CSV], desde mi punto de vista, no parece que se garantice la privacidad hasta el final, al existir una posibilidad real de fallo".

"Aquí lo que hay es una falta de diligencia, creo", explica a Público el abogado e ingeniero especializado en nuevas tecnologías Sergio Carrasco. "Puede que el uso de CSV esté muy implantado [en las administraciones públicas], pero es que antes habían otros procedimientos también implantados que han tenido que cambiar" por resultar inseguros, comenta.

Luis del Amo, secretario técnico del Registro de Economistas Asesores Fiscales (REAF), confirma a este diario un punto de vista que comparten muchos de sus compañeros de profesión, y que tiene que ver con la facilidad de uso de determinadas herramientas. "Poner muchas dificultades de entrada es un problema para trabajar y prestar un servicio adecuado al contribuyente", comenta. "Hay que conjugar dos aspectos que hay que proteger, que es la seguridad de los datos y la facilidad de uso de las herramientas" apunta Del Amo.

"De hecho, muchas veces los asesores se quejan de que no se les da acceso a determinados datos importantes para su trabajo, y la AEAT es consciente de ello pero no puede hacer nada", comenta, y añade: "A la Agencia Tributaria le preocupa mucho la seguridad de los datos, la protección de los datos del contribuyente”. Este experto pone en duda que sólo con los CSV se pueda dar un problema de 'fuga de datos'. "Seguro que la AEAT tiene mecanismos para impedirlo", afirma.

Un riesgo real

Es cierto que para entrar a 'cotillear' en las liquidaciones de impuestos es necesario obtener un CSV válido, y estos códigos —compuestos por una serie de 16 caracteres que mezcla números y letras— se generan mediante un algoritmo, que asigna uno diferente a cada liquidación de impuesto.

Según Sergio Carrasco, es posible encontrar CSV que sean válidos, “para lo cual tampoco hacer falta hacer más que ir probando diferentes combinaciones, lo que se llama un ataque de fuerza bruta”. Es decir, si uno sabe qué longitud tiene el CSV, qué tipo de caracteres usa —números, letras, signos, etc—, un bot podría ir probando combinaciones de manera sistematizada.

Fuentes de la AEAT puntualizan que el CSV tiene una complejidad basada en una asignación aleatoria de un código sobre 16 caracteres, por lo que para poder acceder a un documento concreto de un interesado habría que probar combinaciones sobre aproximadamente un cuatrillón de posibles valores.

Pantalla de la web de la Agencia Tributaria que muestra en dónde se pueden consultar los originales de las liquidaciones de impuestos con los CSV.

Pantalla de la web de la Agencia Tributaria que muestra en dónde se pueden consultar los originales de las liquidaciones de impuestos con los CSV.

“Hoy en día se podría probar millones de combinaciones en muy poco tiempo”, recuerda Carrasco. Para evitar esto, podría existir un sistema que bloquee temporalmente el acceso tras un número de intentos. O pidiendo un dato extra al interesado, como el DNI. O incluso exigiendo una identificación mediante certificado digital, como la firma electrónica que ya trae el DNI. Ninguna de estas medidas de seguridad está implementada, aparentemente, en la herramienta ‘online’ de cotejo mediante CSV de la Agencia Tributaria. No obstante, las fuentes de la AEAT consultadas aseguran a Público que tienen implementados controles para evitar intentos de obtener documentos utilizando pruebas de combinaciones.

Carrasco puntualiza que un atacante "no se podría dirigir a una persona o sector de población concreto mediante esta técnica". La explicación es sencilla: cada CSV se asigna a un documento de forma aleatoria así que, de obtener el acceso mediante este sistema, entraríamos a una liquidación de impuestos de alguien al azar. Pero ¿y si seguimos probando y probando, una y otra vez, y obtenemos muchas de ellas? "Es que por eso es tan importante que exista al menos una primera capa de seguridad", insiste este experto.

Para la empresa, multón; para la Administración, no

Ahora que quedan apenas dos semanas para que entre en funcionamiento el RGPD, temido por sus altísimas sanciones —de hasta 20 millones de euros, o el 4% de la facturación global de la compañía, en casos de violación grave de la protección de los datos personales—, es quizá necesario recordar que Protección de Datos no puede sancionar económicamente a la Administración Pública, sino tan solo emitir un apercibimiento público. Un controvertido doble rasero.

"Lo que tiene que quedar claro es que, pese a que muy pocos ciudadanos de a pie supieran hasta hace poco qué es el CSV, este mecanismo debería ser más seguro", comenta Sergio Carrasco, y apunta: "Si un mecanismo de este tipo lo implementase una empresa privada, le cae sanción sí o sí por parte de la Agencia Española de Protección de Datos; lo que pasa es que la Administración juega con la ventaja de que, al final, sólo reciben un apercibimiento o ni siquiera eso, si han mejorado la seguridad de sus datos".

"Pese a que muy pocos ciudadanos de a pie supieran hasta hace poco qué es el CSV, este mecanismo debería ser más seguro"

Para Luis Gervas, "de alguna forma habría que responsabilizar a las administraciones públicas, porque son contadas las ocasiones en las que un fallo en la protección de datos ha derivado en una responsabilidad personal", más allá del simple apercibimiento.

"Es verdad que Protección de Datos hace lo que puede y hace lo que está en la ley: declara la infracción, notifica al Defensor del Pueblo, y a veces puede proponer una vía disciplinaria para la persona que ha cometido ese error, pero insisto, eso ha pasado muy pocas veces", apunta. Lo que más echa de menos este experto en la normativa actual es que "las administraciones públicas sientan la responsabilidad igual que la siente cualquier persona que trate datos de carácter personal".

La trampa del término "seguro"

Si mediante el simple uso de los CSV se puede acceder a tanta información, ¿por qué se le llama "código seguro"? "La palabra 'seguro' en la expresión 'Código Seguro de Verificación' se refiere a que permite identificar de manera inequívoca a qué documento pertenece la copia que uno tiene en la mano”, explica Sergio Carrasco. "Es decir, el procedimiento te permite saber si ese documento que tienes en papel ha sido modificado o manipulado respecto del que se encuentra en la sede electrónica de un organismo determinado".

"No debería eliminarse la seguridad para hacer más sencillo el uso de la herramienta electrónica"

Carrasco también cree que debería de existir alguna medida de seguridad para poder usar los CSV. "No es lo mismo el uso que se le puede dar a un CSV en una norma, a cuyo original todo el mundo debería poder acceder fácilmente, que una sentencia, a la que únicamente las partes deben tener acceso íntegro al documento; hay que limitar el acceso en casos así", asegura este experto.

En el caso de la Agencia Tributaria, "no debería eliminarse completamente la seguridad para hacer más sencillo el uso de la herramienta electrónica", opina este letrado, que añade: "Debe haber una primera capa de seguridad que permita que sólo el interesado o sus representantes accedan a dicha información". El problema es que "se ha pasado de una tecnología que era, digamos, 'incómoda', a querer hacerlo todo tan sencillo y cómodo que nos hemos cargado la seguridad", sentencia este experto.

Pero ¿qué son los CSV?

Los códigos seguros de verificación (CSV) están concebidos como herramientas de cotejo, verificación y autenticación electrónica. Se trata de un mecanismo rápido y fácil que permite comprobar que una copia de un documento se corresponde con el que se encuentra grabado en los sistemas de los organismos que lo usan. Es una forma de garantizar la integridad de los documentos electrónicos que gestionan dichos organismos.

El propio portal de la administración electrónica del Gobierno explica qué son los códigos seguros de verificación y para qué sirven. Un CSV es “un código único que identifica un documento electrónico”. Su razón de ser es que “garantiza la integridad del documento mediante el cotejo” en la sede electrónica correspondiente. Este código se suele imprimir en el pie de página de los documentos electrónicos.

Los boletines oficiales, por ejemplo, cuentan con esos códigos. En el caso del Boletín Oficial del Estado, se llama Código de Verificación Electrónica (CVE). Según explica la propia web del boletín oficial, “cualquier copia realizada en papel de los originales electrónicos del Boletín Oficial del Estado, a partir de 1 de enero de 2009, tendrá consideración de copia auténtica si incluye el CVE”.

“El CVE permite contrastar la autenticidad de cualquier página del Boletín Oficial del Estado impresa en papel mediante el cotejo con el documento electrónico original”, informa el BOE. “Para ello, en la página de acceso al diario oficial puede introducir el CVE y obtener el documento original, firmado electrónicamente, directamente de la sede electrónica de la Agencia”.

La diferencia de este sistema usado en los boletines oficiales y en los otros casos aquí expuestos, como la administración de Justicia o la Agencia Tributaria, es que en el primer caso sirven para acceder a documentos originales ya públicos —como una normativa— para cotejar una copia, mientras que en los otros casos se accede directamente a documentación que contiene datos personales directamente protegidos por ley.

¿Te ha resultado interesante esta noticia?

Más noticias