.J . ,"2014 - jI110 dCJ{ometlaj!! a( jJf",iraflte C;uifkmlO lJ3rvWII, l'1I el (]Jice';teflalio de{ Com6at.e :}lavaf de IJfoflt.evideo",

"

Jefatura de Gabinete de MinistrosSecretarfa de Gabinete y Coordinación Administrativa

Subsecretarfa de Tecnologfas de Gestión

I

REF: AFIP - Auditarla AnualExpediente Nº JefGabMin Nº 008039/2007

ANEXO

",,' Autoridad Certificante

Administración Federal de Ingresos Públicos

Informe de Auditoría

.. "20J4 - )lño áe J{omellaje a(jl(m;rante qui{[er1llo Q3roWlI, en er (}3;CClltclIan'o áef Com6ate J{d1)a( áe :Mollteviáeo"

Jefatura de Gabinete de MinistrosSecretaría de Gabinete y Coordinac¡ó~ Administrativa

Subsecretaría de Tecnologías de Gestión

1. INTRODUCCiÓN

REF: AFIP- Auditoría AnualExpediente Nº JefGabMin Nº 008039/2007

A partir de la obtención de la licencia por Resolución de la entonces Secretaría de la Gestión

Pública Nº 88 de fecha 17 de diciembre de 2008, la Administración Federal de Ingresos

Públicos (AFIP) adquiere la condición de Certificador Licenciado, en el marco de la

Infraestructura de Firma Digital de la República Argentina, creada por Ley N" 25.506. La

resolución antes mencionada, en su artículo 1º aprueba la "Política de Certificación para

Personas Físicas de Autoridad Certificante de la Administración Federal de Ingresos Públicos-

AFIP".

Teniendo en cuenta la condición de Certificador Licenciado de ia AFIP, corresponde la

realización de una auditoría, de acuerdo a lo dispuesto por el artículo 26 del Decreto

Reglamentario Nº 2628/2002, el cual indica que "Los certificadores licenciados serán

sometidos a auditorías anuales".

La apertura del proceso de evaluación anual fue comunicada al organismo por nota firmada

por ei Subsecretario de Tecnologías de Gestión. El presente informe describe, en primer lugar

el objetivo y alcance de la revisión efectuada. Continúa con una breve reseña de los aspectos

técnicos de la aplicación y de la infraestructura tecnológica sobre la que se prestan los

servicios de certificación para la Política antes mencionada, seguida de una sección que

resume las actividades de revisión efectuadas.

Seguidamente se enumeran las observaciones encontradas, con la indicación del riesgo y la

recomendación del auditor correspondiente.

El informe incorpora además una serie de sugerencias con el propósito de contribuir a una

mejora de los servicios a brindar por el Certificador Licenciado, en cuanto a la Política de

Certificación mencionada.

En último término, se presenta la conclusión del informe.

11,OBJETIVO

La presente revisión se enmarca en lo establecido en la Ley W 25.506 y sus normas

reglamentarias y en particular, en lo estipulado en la Decisión Administrativa N° 06/2007.

Tiene por fin evaluar la confiabilidad y calidad de los sistemas utilizados por la AFIP en su

calidad de Certificador Licenciado, la integridad, confidencialidad y disponibilidad de los datos

vinculados a la gestión de los certificados, asi como el cumplimiento de las especificaciones de

la Politica de Certificación para Personas Físicas de AFIP, el manual de procedimientos, el plan

de seguridad y de contingencia y demás documentación aprobada oportunamente por el ente

Iicenciante y que fuera base para la obtención de la licencia correspondiente.

Los mencionados documentos obran en el Expediente JefGabMin Nº 008039/2007 del

registro de la Jefatura de Gabinete de Ministros.

11I.ALCANCE

La presente evaluación abarcó la revisión de la funcionalidad y de los controles

implementados en la Autoridad Certificante (AC AFIP), en su servicio de publicación, en el sitio

de contingencia, la Autoridad de Registro (AR) y sus Puestos de Atención. En particular, para

estos últimos, se auditó la sede Central, la ubicada en la sede Azopardo de la Aduana, y la del

edificio de Hipólito Yrigoyen, todas en esta Ciudad Autónoma de Buenos Aires. También se

realizó una entrevista a los responsables del área de Auditoría en la sede Carlos Pellegrini de

AFIP.

La revisión de la aplicación tuvo un enfoque solamente funcional no abarcándose la revisión

de código de ias aplicaciones.

IV. DESCRIPCiÓN TÉCNICA

La infraestructura tecnológica correspondiente a la AC AFIP para la Politica de Certificación

antes referida consta de un dispositivo certificado FIPS 140-2 Nivel 3, servidores de

publicación y de aplicación IBM con Sistema Linux RedHat. Para su control y monitoreo se

"~ ".,

,.,,"

Jefatura de Gabinete de MinistrosSecretada de Gabinete y Coordinación Administrativa

Subsecretarfa de Tecnologías de Gestión

REF: AFIP - Auditoría AnualJefGabMin Nº 008039/2007

encuentran instalados un IDS (Sistema de Detección de Intrusiones) y un Firewall, así como un

esquema de balanceo para los servidores de publicaciones. En el caso puntual del monitoreo,

éste se lleva a cabo utilizando el sistema "Nagios".

La capa de negocio está desarrollada por el organismo utilizando EJBCA(Enterprise Java Bean

Certificate Authority), Jboss SEAM como framework de desarrollo, PostgreSQL como motor de

base de datos y Apache como servidor web.

El equipamiento de la AC AFIP se aloja en un recinto exclusivo dentro de la sala cofre de la

sede central del organismo, con monitoreo de acceso físico y lógico a todo dispositivo

perteneciente a la infraestructura.

El equipamiento de la AC AFIP de contingencia se aloja en el Centro de Datos de Telefónica

S.A., de la calle Osvaldo Cruz 2B90, Ciudad Autónoma de Buenos Aires.

La autorización de las funciones criticas sobre los dispositivos criptográficos SafeNet LunaSA

(principal y de contingencia) está basada en un esquema de roles, y cuenta con doble factor

de autenticación realizado mediante dispositivos criptográficos USB y contraseñas.

Cabe mencionar que a la fecha de realización de los trabajos de campo correspondientes a la

presente revisión se habla iniciado un proceso de migración de los dispositivos criptográfícos

de la AC AFIP, por la finalización del soporte por parte del proveedor. Los nuevos equipos ya

se encontraban en poder del organismo y de acuerdo a lo manifestado por el Responsable de

Seguridad, estaban avanzadas las pruebas previas a la migración final.

V. ACTIVIDADES REALIZADAS

El equipo de trabajo de la Subsecretaria concurrió a las instalaciones de AFIP entre los días

martes 27 de agosto y miércoles 9 de octubre de 2013. En dicho lapso, se realizaron visitas,

pruebas y entrevistas en las siguientes sedes:

• Paseo Colón 635 - Subdirección General de Sistemas y Telecomunicaciones y sede

de la instalación principal

• Azopardo 3S0 - Puesto de Atención de la AR de AFIP

• Hipólito Yrigoyen 370 - PB - Puesto de Atención de la AR de AFIP

• Osvaldo Cruz 2890 - Sitio de contingencia

• Carlos Pellegrini 53, Auditoría Interna

Se realizaron entrevistas con el siguiente personal de AFIP:

Responsable de Seguridad (durante toda la auditoría)

• Pablo Bonavía

• Gestión de Accesos: Gastón Pazo

• Monitoreo: Fabián Leis

Aplicación

• Ricardo Gorosito

• Juan Bernasconi

• Gastón Pazo

Responsable Mesa de Ayuda

• Osear Laricchia

• Pablo Fascetta

Responsable de HSM

• Sebastían Guarino - Responsable

• Administrador de las Particiones - Ricardo Gorosito

Responsable de Comunicaciones

• Horacio Franco

• Silvia Heredia

Responsable Sala Cofre

• Daniel Acuña

-,"

...

Jefatura de Gabinete de MinistrosSecretaría de Gabinete V Coordinación Administrativa

Subsecretaría de Tecnologías de Gestión

REF: AFIP - Auditoría AnualJefGabMin Nº 008039/2007

Puestos de Atención Paseo Colón

• María Laura Rodríguez - Oficial de Registro Suplente

Puestos de Atención Aduana

• Carlos Pot - Responsable de área

• Teresa Cabrera - Oficial de Registro Suplente

Puestos de Atención Hipólito Yrigoyen

• Adriana Lombardía - Oficial de Registro Suplente

• Ignacio Yasky - Oficial de Registro Titular

Auditoria interna

• Néstor del Cuadro - Auditor

• Daniel Slavich - Auditor

Las entrevistas realizadas versaron sobre los siguientes temas:

Seguridad Física de la AC de contingencia

Plan de Contingencia

Protección de recursos sensibles

Prueba de los diferentes roles

Análisis de vulnerabilidades

Seguridad Física de la AC

Plan de Seguridad

Funcionalidad de la aplicación de la AC

Apertura de la auditoría y presentación del programa de trabajo

Hevisión de los registros de auditoría

•

•

•

•

•

••

••

•.l

• Funcionamiento, controles y roles y responsabilidades de ios Puestos de Atención

de la Autoridad de Registro

• Seguridad del Personal

• Documentación de soporte del proceso de generación de certificados y de

antecedentes del personal involucrado

• Monitoreo de la Infraestructura de Firma Digital

Sitio de Contingencia.

Se participó de una actividad de recorrido por las instalaciones con una descripción de las

tareas de recuperación de backup y revisión de libro de actas realizada por el personal de

AFIP, el dia lunes 7 de octubre de 2013.

Participaron de la tarea:

Responsable de Seguridad - Pablo Bonavia

Administrador del HSM - Gastón Pazo

Administrador del HSM - Sebastián Guarino

Testigo - Ariel Riedmatten

VI. OBSERVACIONES RElEVANTES

Respecto al Plan de Contingencia

Observación NQ1: Pruebas al Plan de Contingencia

No se obtuvo evidencia de la realización de pruebas semestrales completas del Plan de

Contingencia, de acuerdo a lo requerido en la Decisión Administrativa 06/2007. De acuerdo a

la documentación revisada, solo se realizaron pruebas parciales, que no cumplian con la

exigencia de firmar una CRL, indicada en Plan de Contingencias aprobado dei organismo.

Riesgo: Se incumple lo establecido en la legislación aplicable y en la normativa interna de la

".

. ,

o'.'

Jefatura de Gabinete de MinistrosSecretaría de Gabinete y Coordinación Administrativa

Subsecretaría de Tecnologías de Gestión

REF: AFIP - Auditoría AnualJefGabMin Nº 008039/2007

AC AFIP Y no se tiene la certeza de que se pueda poner en funcionamiento el sitio alternativo

en tiempo y forma.

Recomendación: Regularizar la situación realizando una prueba completa del plan de

contingencia en lo inmediato y efectuar las pruebas semestrales, de acuerdo a lo indicado en

la normativa vigente.

Respecto al uso de los certificados

Observación N" 2: información brindada a los solicitantes de certificados digitales.

En algunos puestos de atención se informa erróneamente que los certificados pueden

utilizarse para cualquier transacción, no respetando los usos permitidos enumerados en el

punto "1.3.4 Aplicabilidad" de la Politica de Certificación vigente a la fecha.

Riesgo: Es obligación del certificador, en forma directa o a través de sus autoridades de

registro, informar a quien solicita un certificado digital las condiciones precisas de utilización

del certificado digital. En este caso al proveerse información incorrecta respecto de la

aplicabilidad de la firma, podría derivar en una firma inválida.

Recomendación: Instruir a los oficiales de registro sobre la aplicabilidad de los certificados de

acuerdo a la Política de Certificación vigente.

Respecto a los dispositivos criptográficos

Observación Nº 3: Estándar para dispositivos criptográficos de suscriptores

Los dispositivos criptográficos SafeNet iKey 2032 no cumplen con el estándar FIPS-2 nivel 2

establecido como obligatorio en el punto "6.2 Estándares para dispositivos criptográficos" de

la Politica de Certificación de la AFIP para los certificados clase 4.

Riesgo: Se permite" a los titulares de certificados clase 4 la utilización de un dispositivo

criptográfico con menores condiciones de seguridad en cuanto a la generación y

almacenamiento de sus claves, respecto a ias establecidas en la Política de Certificación. Se

incumple además con al propia normativa interna de la AC AFIP.

Recomendación: Ajustarse a lo indicado en la Politica de Certificación o bien, evaluar la

posibilidad de modificar dicho documento,

Respecto a la documentación

Observación Nº 4: Informe de estado de operaciones

El informe de estado de operaciones presentado se encuentra incompleto, ya que solo

informa ios puestos de atención de ia Autoridad de Registro y los certificados emitidos,

omitiendo la mención de otros hechos significativos que tuvieron lugar respecto a ia actividad

de la AC AFiP.

Riesgo: Se incumple la normativa vigente, en lo establecido en el inciso o) del articulo 34 del

Decreto W 2628/2002.

Recomendación: Remitir a la brevedad al Ente Licenciante el informe de estado de

operaciones, con carácter de declaración jurada, detallando los hechos significativos

vinculados al funcionamiento del Certificador Licenciado.

Observación Nº 5: Publicación de los informes de auditoría

No se encuentra publicada en el sitio web del Certificador Licenciado la información

pertinente de los informes de auditoría realizados, tal como se establece en la Politica de

Certificación aprobada y en el inciso k) del articulo 21 de la Ley W 25.506.

Riesgo: Se incumple lo establecido en ia normativa aplicable y no se informa adecuadamente

a ios interesados.

Recomendación: Cumplimentar lo establecido en la normativa vigente y proceder a la

publicación de la parte pertinente de los informes de auditoría realizados.

Respecto a la Lista de Certificados Revocados

Observación N" 6: Lista de Certificados revocados incompleta

, .

. . '\", , .

Jefatura de Gabinete de MinistrosSecretaria de Gabinete y Coordinación Administrativa

Subsecretaría de Tecnologías de Gestión

REF: AFIP - Auditoría AnualJefGabMin Nº 008039/2007

Se detectó que la lista de certificados revocados publicada diariamente no incluye la totalidad

de los certificados revocados, sino solo aquellos cuya fecha de vencimiento es posterior a la

fecha de emisión de la mencionada lista.

Riesgo: Si un tercero usuario realizara la verificación del estado del certificado en una fecha

posterior a su fecha de expiración, podrla incurrir en un resultado incorrecto al no encontrar

disponible la información respecto a si tuvo lugar una revocación. En este contexto, se deja

constancia que la Politica de Certificación de la AC AFIP no contempla la modalidad

implementada.

Recomendación: Incorporar la totalidad de los certificados revocados a la lista de certificados

revocados o bien, modificar la Política de Certificación y advertir al tercero usuario sobre el

alcance de dicha Iísta, a fin de que no incurra en un error.

IX. CONCLUSIÓN

A partir del releva miento realizado con motivo de la auditoria anual, se concluye que luego de

transcurrido el primer período por el cual se otorgara la licencia, la AFIP, en su calidad de

Certificador Licenciado, mantiene un infraestructura adecuada y actualizada para la gestión

del ciclo de vida de los certificados digitales que emite. Sin embargo, resulta necesario resaitar

que el organismo debe cumplir en forma completa con el requisito de realización de pruebas

semestrales del plan de continuidad de las operaciones de la AC AFIP para prever una

respuesta oportuna frente a una contingencia e instruir a los responsables de los puestos de

atención para que informen adecuadamente a los titulares de los certificados respecto a su

aplicabilidad.

Se recomienda subsanar tanto éstas como el resto de las observaciones formuladas en el

presente informe, implementando las recomendaciones correspondientes, con el fin de

s niveles de confiabilidad y cumplimiento requeridos en las normas vigentes.