Hackeo a Hacienda incluyó documentos “confidenciales” para fiscalizar riesgos en aduanas

(CRHoy.com) El 25 de noviembre de 2020 una carta firmada por el director general de aduanas Gerardo Bolaños Alvarado, advierte a funcionarios de la Dirección de Fiscalización y del Órgano Nacional de Valoración y Verificación Aduanera, sobre el envío del Plan Anual de Fiscalización para el ejercicio 2021; un compendio de reglas bajo las cuales se regiría el control de riesgos sobre todas las aduanas del país.

En el documento, se señala claramente que el contenido del documento es de "carácter confidencial" y su uso es exclusivo para fines tributarios de la propia Administración Tributaria, amparado entre otros en el artículo 117 del Código de Normas y Procedimientos Tributarios. El plan de 14 páginas que acompaña la carta en teoría no debería ser de conocimiento de terceros que puedan resultar interesados; sin embargo, forma parte del legajo de documentos vulnerados entre el domingo y ayer lunes al Ministerio de Hacienda.

-->

Artículo 117.- Carácter confidencial de las informaciones.

Las informaciones que la Administración Tributaria obtenga de los contribuyentes, responsables y terceros, por cualquier medio, tienen carácter confidencial; y sus funcionarios y empleados no pueden divulgar en forma alguna la cuantía u origen de las rentas, ni ningún otro dato que figure en las declaraciones, ni deben permitir que estas o sus copias, libros o documentos, que contengan extractos o referencia de ellas sean vistos por otras personas que las encargadas en la Administración de velar por el cumplimiento de las disposiciones legales reguladoras de los tributos a su cargo.

No obstante lo dispuesto en el párrafo anterior, el contribuyente, su representante legal, o cualquier otra persona debidamente autorizada por aquel, pueden examinar los datos y anexos consignados en sus respectivas declaraciones juradas, lo mismo que cualquier expediente que contemple ajustes o reclamaciones formuladas sobre dichas declaraciones.

[/accordionx]

No es el único. Como parte de la documentación extraída de Hacienda figuran una serie de documentos y reportes de operaciones de cada una de las aduanas del país, en donde la Autoridad Tributaria detalla los números de cédula jurídica y nombres de principales importadores, depositarios y agencias aduaneras, incisos arancelarios, sectores por tipo de producto, entre otros.

Para cada uno de los casos establecen el nivel de riesgo que existe para importadores, sectores o agencia aduanera.

Por ejemplo, en uno de los análisis elaborados para la aduana de Caldera, correspondiente a 2019, se concluyó que se registraron 152 importadores que presentaron DUAS (Documentos Únicos Aduaneros) reliquidados, de los cuales un 21% no fueron ponderados. En otras palabras, uno de cada cinco no cuenta con nivel de riesgo, mientras otros 33 importadores tuvieron un monto importante de reliquidación por más de 11 millones de colones.

En cuanto a agencias, señalaron que de las 11 que estaban operando con esa aduana, cinco tenían "riesgo alto", por lo que ameritaban "acciones prontas".

Según pudo comprobar CRHoy.com, la información de riesgo es igual de detallada para cada aduana. En la del Juan Santamaría por ejemplo, se tiene información de una agencia importadora de vehículos con reliquidaciones del 84% entre enero y diciembre de 2018, por un valor de 122 millones de colones.

Todos los documentos, con los análisis de riesgos y estrategias a seguir por parte de la Autoridad Tributaria, forman parte de la información sustraída por Conti.

Conti es un malware que pertenece a la familia de los ransomware que opera "as a Service" (RaaS). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.

En el caso de Costa Rica el aviso señala que se hicieron de un Terabyte de información que comenzaran a publicar el 23 de abril. En una actualización publicada mediante la cuenta en Twitter de BetterCyber, señalaron que pedían $10 millones por no revelar la información de los contribuyentes.

A pesar de la amenaza directa, el ministro de Hacienda Elian Villegas minimizó el tema al punto de llamarlo "problema técnico".

Durante toda la mañana se negaron a admitir que se trataba de un hackeo, lo cual no ocurrió sino hasta alrededor de las 5 de la tarde cuando enviaron un comunicado:

Efectivamente, desde la madrugada de hoy enfrentamos una situación en algunos de nuestros servidores, la cual ha sido atendida por nuestro personal y por expertos externos, quienes durante las últimas horas han tratado de detectar y reparar las situaciones que se están presentando. 

Este Ministerio ha tomado la decisión de permitir a los equipos de investigación realizar un análisis profundo en los sistemas de información, por lo cual ha tomado la decisión de suspender temporalmente algunas plataformas como ATV y TICA, y se estarán reiniciando los servicios una vez que los equipos concluyan sus análisis.

En las últimas horas se ha detectado la exposición de algunos de los datos que pertenecen a la Dirección General de Aduanas, la cual está realizando los procesos de investigación de la información, según lo establece el plan de respuesta.

Empresas "de potenciales riesgos"

Otros de los documentos extraídos  por Conti incluyen minutas de reuniones, como por ejemplo una realizada el 30 de julio de 2019 bajo el título "Aclaración dudas en relación a los requerimientos enviados por la Dirección de Gestión de Riesgo ", que versa sobre estrategias y planes de trabajo a implementar en Aduanas.

Asimismo, existen múltiples comunicaciones de orden interno entre el  Órgano Nacional de Valoración y Verificación Aduanera y otras dependencias de Aduanas, incluyendo un documento en donde se adjunta  una lista de importadores que no han sido fiscalizados en el tema de cánones, con más de 10 DUAS en el periodo 2019-2020.

Otro de los documentos fechados en diciembre de 2019 da cuenta de un informe sobre una importante cadena de retail que opera en el país, donde se habla de un "potencial riesgo por incumplimiento del artículo 35 del Tratado de Libre Comercio con China por operaciones registradas entre el 30 de octubre del 2018 al 30 de octubre del 2019.

También existen alertas sobre varias empresas del área de la construcción y una importante cadena importadora del sector farmacéutico sobre las que se presume "incorrecta clasificación arancelaria", así como de una empresa tradicional del sector alimenticio e insuflados que podrían "no estar declarando" correctamente en aduanas.

"Fichas informativas"

Una serie de "fichas técnicas" también forma parte de la documentación vulnerada del sitio web de Hacienda, incluyendo datos sensibles con los montos que recauda Tributación de distintas empresas, especialmente grandes contribuyentes.

Las fichas detallan el resultado de cobro de las actuaciones fiscalizadoras de Hacienda, identificando montos cobrados en impuestos dejados de percibir.

Por ejemplo, en una de las fichas del periodo correspondiente entre de junio y agosto del 2020, se señala que "los Órganos Fiscalizadores ejecutaron diversas actuaciones, logrando obtener un monto total determinado en impuestos dejados de percibir por la suma de ¢382.246.880,55 conformado por 36 fichas informativas de un total de 83; numeradas de la 101 a la 183".

En este caso específico para una importante empresa de refrescos se habla de una diferencia de ₡86 millones de "diferencia por impuestos dejados de percibir", como la de mayor importancia, seguido de una prestigiosa tienda de vinos domiciliada en Curridabat con una "diferencia" de ₡45 millones.

El grupo que estaría detrás del ataque amenazó con dar a conocer los datos de todos los contribuyentes. Hacienda no ha señalado si estas bases de datos se encuentran dentro de la información vulnerada.