SAT sugiere no actualizar Java, lo que representa un riesgo de seguridad para los usuarios.

El 16 de enero de 2014 Fiscalia publica la nota titulada ‘¿Fallo de aplicaciones con Java 7 Update 51? Soluciónalo‘ en la cual se describe el problema que la falta de corrección de los certificados de Java de las autoridades (IMSS y SAT) provoca en los equipos computacionales de los usuarios, de forma que imposibilita el uso de las aplicaciones electrónicas necesarias para el cumplimiento de obligaciones.

Image

En la nota de referencia se explica que para efectos de proveer seguridad en las transacciones realizadas por los contribuyentes en aplicaciones electrónicas de las autoridades, tanto el IMSS como el SAT deben tener un certificado de seguridad que autentique y demuestre que el sitio es seguro. Este certificado debe tener vigencia, pues de lo contrario, los navegadores de Internet considerarán que el sitio no es seguro y se producirán fallas y errores en el uso.

El problema se debe a que recientemente fue liberada la actualización (update) 51, de la versión 7 de Java. A partir de Java 7 Update 51, las aplicaciones sin certificado (es decir, aplicaciones sin firma), o a las que les falte la información de nombre o de editor de la aplicación se bloquearán por defecto. El navegador interpreta que ejecutar este tipo de aplicaciones es potencialmente no seguro y supondrá  mayor nivel de riesgo. Por tanto, la aplicación simplemente no correrá.

En la nota indicada se explican los pasos para que los usuarios puedan dar solución a este problema, pero también se advierte que el problema se arreglaría si las autoridades corrigieran los certificados con los que corren esas aplicaciones.

No obstante lo anterior, con fecha 21 de enero de 2014, la autoridad emite la siguiente sugerencia a través de su página de Internet, específicamente en el sitio del Servicio de Declaraciones y Pagos (SDP), también conocido como “Pagos referenciados”:

Para el correcto funcionamiento del Servicio de Declaraciones y Pagos, se recomienda tener instalada la versión 1.7.0.21 de Java, ya que con versiones posteriores se generan problemas técnicos a tratar de presentar su declaración.

Sugerir a los usuarios que no actualicen las versiones de Java en sus equipos implica desconocer que los equipos se utilizan no solamente para el cumplimiento de las obligaciones fiscales, sino para una serie de tareas diversas que pueden requerir uso de tecnología actualizada.

Dejar un equipo con un software Java desactualizado tiene considerables riesgos de seguridad, ya que las actualizaciones sirven para ir subsanar fallas de seguridad que pueden ser explotadas por software malintencionado, poniendo en riesgo la integridad del equipo y de la información en él contenida.

De acuerdo con el Reporte Anual de Seguridad de Cisco 2014 (empresa estadounidense de tecnologías de información), de todas las fallas de seguridad explotadas en la red, el 91% se atribuyen a Java. Este software es en sí bastante inseguro, como para tener que dejarlo sin actualizar.

La solución a estos problemas yace en las propias autoridades. Es más sencillo, eficaz y seguro, que sean ellas las que corrijan y actualicen sus certificados de Java. De esa manera evitarían grandes problemas a los contribuyentes que generalmente no son expertos en tecnología y desconocen cómo resolver un problema de este tipo, o las implicaciones de sugerencias como la que el SAT plantea.

Fiscalia.com