La inseguridad digital del Depto. de Hacienda de Puerto Rico*

    Me es algo chocante que el Departamento de Hacienda no este usando la seguridad de HTTPS (en vez de HTTP) como norma digital (default).  Si vamos a su pagina de radicación en linea, vemos lo siguiente:

    Creo que todos estarían en acuerdo que, al bregar con información sensitiva, el Departamento de Hacienda de Puerto Rico debería de estar utilizando los mas alto niveles de seguridad digital posible.  Solo un moron, como diría Jorge Seijo, argumentaría lo contrario.

    Ciertamente, la pagina es una informativa, y se podría sugerir que no necesariamente requiere los mas altos estandartes.  Vemos en la pagina de radicación de comerciantes, un mayor nivel de seguridad al utilizar HTTPS

    Esto pareceria ser lo mas seguro.  Vemos la misma señal con los programas utilizados para radicar planillas electronicamente: Expert PR Taxes, Coquinteractive, Computer Expert Group,     Aim Corporation, PRSoft, Inc. y    Smart Technology.  En el browser Chrome, vemos la indicación de un HTTPS verde, indicativo de seguridad.

    La pregunta de relevancia es: ¿Es esta la practica mas segura que existe que razonablemente se esta utilizando?  

    La contestación, lamentablemente, es que no lo es.

    La evaluación de sus certificados revela que no tiene una conexión TLS segura.  (Aunque ponemos el certificado de Computer Expert Group, lo mismo aplica a todas las demás).  

    Comparemos estos certificados de seguridad, con los de un periódico estadounidense común y corriente, como el Washington Post. Si miramos a su pagina, toda la barra de DNS se prende verde:

    Una evaluación de su certificado revela que tiene un TLS seguro:

    Mi abuelita puede establecer un HTTPS, de estar viva, pero un HTTPS de rigor es lo que instituciones serias deberían de estar implantando. 

    Si se mudan al mundo digital, TIENEN que tomar las medidas de seguridad de rigorque obviamente no lo están realizando.

    

PD. De hecho, la situación es peor de lo que pintamos. Si va a  y cambia el 'Mark non-secure origins as non-secure Mac, Windows, Linux, Chrome OS, Android' de su 'default' a 'Mark non-secure origins as non-secure". Le indicará más claramente que tanto Hacienda como  tienen portales inseguros.