Verdadero

Calificación: 7.0/10

Reportar Problema
Coalition
C0161

La Afirmación

“Elegió ignorar y no solucionar una vulnerabilidad de seguridad en myGovID, que surgió porque el protocolo de autenticación elegido es a medida y no coincide con la práctica estándar.”
Ciberseguridad Tecnología
Fuente Original: Matthew Davis
Analizado: 29 Jan 2026

Fuentes Originales

VERIFICACIÓN DE HECHOS

### Vulnerabilidad de Seguridad de myGovID - Ataque de Reproducción de Código
### myGovID Security Vulnerability - Code Replay Attack
 El reclamo hace referencia a una vulnerabilidad de seguridad real identificada en myGovID.
The claim references a real security vulnerability identified in myGovID.
 En agosto de 2024, los investigadores de seguridad Ben Frengley (Universidad de Melbourne) y Vanessa Teague (CEO de Thinking Cybersecurity, profesora adjunta de la ANU) descubrieron una vulnerabilidad crítica en el sistema de autenticación de myGovID [1].
In August 2024, security researchers Ben Frengley (University of Melbourne) and Vanessa Teague (CEO of Thinking Cybersecurity, ANU adjunct professor) discovered a critical vulnerability in myGovID's authentication system [1].
 La vulnerabilidad es un **ataque de reproducción de código** que explota una falla de diseño fundamental.
The vulnerability is a **code replay attack** that exploits a fundamental design flaw.
 Un atacante puede configurar un sitio web falso y capturar la dirección de correo electrónico de un usuario.
An attacker can set up a fake website and capture a user's email address.
 Cuando el atacante inicia la autenticación en un portal gubernamental legítimo usando el correo electrónico de la víctima, el portal muestra un PIN de 4 dígitos.
When the attacker initiates authentication at a legitimate government portal using the victim's email, the portal displays a 4-digit PIN.
 El atacante retransmite este PIN a la víctima a través del sitio falso, y cuando la víctima lo ingresa en su aplicación myGovID, otorga al atacante acceso completo a cuentas gubernamentales legítimas sin saberlo.
The attacker relays this PIN to the victim through the fake site, and when the victim enters it into their myGovID app, they unknowingly grant the attacker full access to legitimate government accounts.
 Una debilidad crítica del diseño es que la aplicación myGovID **no proporciona indicación de qué organización está solicitando la autenticación** [2].
A critical design weakness is that the myGovID app provides **no indication of which organization is requesting authentication** [2].
 Los investigadores reportaron esta vulnerabilidad a la Dirección Australiana de Señales (ASD) el 19 de agosto de 2024 [3].
The researchers reported this vulnerability to the Australian Signals Directorate (ASD) on August 19, 2024 [3].
 Según las mejores prácticas de la industria, propusieron un período de divulgación responsable de 90 días para permitir al gobierno tiempo para desarrollar e implementar una solución antes de la divulgación pública [1].
According to industry best practice, they proposed a 90-day responsible disclosure period to allow the government time to develop and implement a fix before public disclosure [1].
 ### Respuesta del Gobierno: Negativa a Solucionar
### Government's Response: Refusal to Fix
 El 18 de septiembre de 2024, la Oficina de Impuestos de Australia (ATO) se reunió con los investigadores y declaró explícitamente que **"no tenía intención de cambiar el protocolo"** [3].
On September 18, 2024, the Australian Taxation Office (ATO) met with the researchers and explicitly stated it **"did not intend to change the protocol"** [3].
 Esto significa que el gobierno se negó a remediar la vulnerabilidad.
This means the government declined to remediate the vulnerability.
 Además, el ATO caracterizó la vulnerabilidad como "más un problema de conciencia pública" que una falla técnica que requiriera cambios de protocolo [3].
Additionally, the ATO characterized the vulnerability as "more of a public awareness issue" rather than a technical flaw requiring protocol changes [3].
 El ATO también emitió declaraciones afirmando que myGovID era "más seguro que cualquier credencial", desestimando las preocupaciones de los investigadores [4].
The ATO also issued statements claiming myGovID was "more secure than any credential," dismissing researcher concerns [4].
 Después de que el gobierno se negó a solucionar la vulnerabilidad, los investigadores se hicieron públicos el 21 de septiembre de 2024, publicando sus hallazgos a pesar de haber propuesto un período de divulgación responsable [2].
After the government refused to fix the vulnerability, the researchers went public on September 21, 2024 - publishing their findings despite having proposed a responsible disclosure period [2].
 Los investigadores de seguridad advirtieron explícitamente al público que no usara myGovID hasta que se solucionara la falla de inicio de sesión [1].
The security researchers explicitly warned the public not to use myGovID until the login flaw was fixed [1].
 ### Evidencia de Apoyo del Ombudsman
### Supporting Evidence from Ombudsman
 En agosto de 2024, el Ombudsman Australiano publicó el informe "Manteniendo myGov Seguro", que identificó múltiples deficiencias de seguridad en los sistemas myGov/myGovID, incluyendo estándares inconsistentes de prueba de identidad, controles de seguridad limitados para la vinculación no autorizada de cuentas, e instancias de estafadores redirigiendo pagos de pensiones y presentando reclamos falsos de beneficios [5].
In August 2024, the Australian Ombudsman published the "Keeping myGov Secure" report, which identified multiple security deficiencies in myGov/myGovID systems, including inconsistent proof-of-identity standards, limited security controls for unauthorized account linking, and instances of fraudsters redirecting pension payments and submitting false benefit claims [5].
 Services Australia aceptó estas recomendaciones a finales de julio de 2024 pero pospuso la implementación hasta principios de 2025, indicando que no se tomó acción inmediata sobre asuntos de seguridad urgentes [5].
Services Australia agreed to these recommendations in late July 2024 but deferred implementation to early 2025, indicating no immediate action was taken on urgent security matters [5].

Contexto Faltante

### 1. El Protocolo de Autenticación "A Medida" es Preciso
### 1. The "Bespoke" Authentication Protocol is Accurate
 El reclamo caracteriza con precisión el protocolo de autenticación de myGovID como no estándar. myGovID utiliza el **Marco de Identidad Digital Confiable (TDIF)**, que es un sistema propietario y a medida específico de Australia, no OpenID Connect, OAuth 2.0 ni otros estándares internacionalmente reconocidos [6].
The claim accurately characterizes myGovID's authentication protocol as non-standard. myGovID uses the **Trusted Digital Identity Framework (TDIF)**, which is a proprietary, bespoke system specific to Australia - not OpenID Connect, OAuth 2.0, or other internationally recognized standards [6].
 Los investigadores de seguridad han recomendado que el marco TDIF sea deprecado y reemplazado con protocolos estándar como OpenID Connect [2].
Security researchers have recommended that the TDIF framework be deprecated and replaced with standard protocols like OpenID Connect [2].
 ### 2. Problemas de Diseño de Protocolo vs. Implementación
### 2. Protocol Design vs. Implementation Issues
 Mientras existe la vulnerabilidad, hay una distinción técnica que vale la pena notar: la falla fundamental parece surgir del diseño del protocolo (la falta de contexto sobre quién está solicitando la autenticación en la aplicación myGovID), no necesariamente de errores de implementación.
While the vulnerability exists, there is a technical distinction worth noting: the fundamental flaw appears to stem from the protocol's design (the lack of context about who is requesting authentication in the myGovID app), not necessarily implementation errors.
 Sin embargo, esta distinción no disminuye la validez del reclamo: un diseño de protocolo defectuoso sigue siendo una falla que requiere solución.
However, this distinction does not diminish the validity of the claim - a flawed protocol design is still a flaw that requires fixing.
 ### 3. Cronología y Contexto
### 3. Timeline and Context
 El descubrimiento de la vulnerabilidad ocurrió al final del mandato del gobierno de la Coalición.
The vulnerability discovery occurred late in the Coalition government's tenure.
 La Coalición fue votada fuera del gobierno en mayo de 2022.
The Coalition was voted out of office in May 2022.
 La vulnerabilidad fue descubierta en agosto de 2024 por el gobierno laborista de Albanese.
The vulnerability was discovered in August 2024 by the Albanese Labor government.
 Esto significa: - El gobierno de la Coalición (2013-2022) no habría tomado la decisión de septiembre de 2024 de negarse a la remediación - El gobierno laborista actual (Labor) heredó myGovID y tomó la decisión de no cambiar el protocolo [3] Sin embargo, el reclamo puede estar refiriéndose a la decisión del gobierno de la Coalición de desarrollar e implementar myGovID usando un protocolo a medida y no estándar en lugar de estándares de la industria establecidos, lo cual habría sido una decisión tomada durante el tiempo de la Coalición en el gobierno (2013-2022).
This means: - The Coalition government (2013-2022) would not have made the September 2024 decision to refuse remediation - The current (Labor) government inherited myGovID and made the decision not to change the protocol [3] However, the claim may be referring to the Coalition government's original decision to develop and deploy myGovID using a bespoke, non-standard protocol rather than established industry standards - which would have been a decision made during the Coalition's time in office (2013-2022).

Evaluación de Credibilidad de Fuente

### Fuente Original: Thinking Cybersecurity
### Original Source: Thinking Cybersecurity
 La fuente original proporcionada (Thinking Cybersecurity) es una organización liderada por Vanessa Teague, una de las investigadoras que descubrió la vulnerabilidad.
The original source provided (Thinking Cybersecurity) is an organization led by Vanessa Teague, one of the researchers who discovered the vulnerability.
 Esto crea una fuente directa sobre la vulnerabilidad en sí.
This creates a direct source on the vulnerability itself.
 Vanessa Teague es: - Profesora adjunta de la ANU e investigadora de seguridad - Una voz académica creíble en ciberseguridad - Ha publicado trabajo revisado por pares sobre seguridad electoral y sistemas digitales [7] Sin embargo, como una de las investigadoras reportando sobre su propio hallazgo, existe un sesgo inherente a favor de enfatizar la gravedad de la vulnerabilidad.
Vanessa Teague is: - An ANU adjunct professor and security researcher - A credible academic voice in cybersecurity - Has published peer-reviewed work on electoral security and digital systems [7] However, as one of the researchers reporting on their own finding, there is inherent bias in favor of emphasizing the vulnerability's severity.
 ### Fuentes Primarias Sobre Este Tema
### Primary Sources on This Issue
 Las fuentes más confiables son: - **Medios de noticias tecnológicas** (iTnews, InnovationAus): Periodismo tecnológico australiano convencional que cubre el descubrimiento de la vulnerabilidad y la respuesta del gobierno [1][3] - **Fuentes gubernamentales** (informe del Ombudsman, declaraciones del ATO): Documentación oficial de preocupaciones de seguridad y posiciones gubernamentales [4][5] - **Investigación de seguridad** (Thinking Cybersecurity, documentación técnica de los investigadores): Análisis de seguridad académico y profesional [2] El reclamo está bien respaldado por periodismo tecnológico convencional e informes gubernamentales, no depende principalmente de una fuente partidista única.
The most reliable sources are: - **Technology news outlets** (iTnews, InnovationAus): Mainstream Australian tech journalism covering the vulnerability discovery and government response [1][3] - **Government sources** (Ombudsman report, ATO statements): Official documentation of security concerns and government positions [4][5] - **Security research** (Thinking Cybersecurity, researchers' technical documentation): Academic and professional security analysis [2] The claim is well-supported by mainstream technology journalism and government reports, not primarily dependent on a single partisan source.
⚖️

Comparación con Labor

### ¿Adoptó Labor Enfoques de Autenticación a Medida Similares?
### Did Labor Adopt Similar Bespoke Authentication Approaches?
 Labor no estaba en el gobierno cuando se desarrolló myGovID (la Coalición gobernó 2013-2022).
Labor was not in government when myGovID was developed (Coalition governed 2013-2022).
 El gobierno laborista heredó el sistema myGovID cuando asumió el cargo en mayo de 2022. **Sin embargo**, la comparación más relevante es: **¿Cómo respondió Labor a la vulnerabilidad descubierta?** Como se señaló anteriormente, la decisión de "no tener intención de cambiar el protocolo" en septiembre de 2024 fue tomada por el **ATO del gobierno laborista**, no por la Coalición.
The Labor government inherited the myGovID system when they took office in May 2022. **However**, the more relevant comparison is: **How did Labor respond to the discovered vulnerability?** As noted above, the decision to "not intend to change the protocol" in September 2024 was made by the **Labor government's ATO**, not the Coalition.
 Esto indica que ambos gobiernos (la Coalición por el desarrollo original, Labor por la respuesta a la vulnerabilidad descubierta) tomaron decisiones cuestionables de ciberseguridad con respecto a myGovID.
This indicates both governments (Coalition for original development, Labor for response to the discovered vulnerability) made questionable cybersecurity decisions regarding myGovID.
 ### Enfoque de Labor hacia la Identidad Digital
### Labor's Approach to Digital Identity
 Labor ha perseguido el desarrollo continuo de myGovID (rebrandeado como "myID" en noviembre de 2024) bajo un esquema de identidad digital.
Labor has pursued continued development of myGovID (rebranded as "myID" in November 2024) under a digital identity scheme.
 Labor no ha abandonado el marco TDIF a medida sino que continuó operando dentro de él [8].
Labor has not abandoned the bespoke TDIF framework but instead continued operating within it [8].
 Esto sugiere que Labor puede tener alguna responsabilidad por no abordar la vulnerabilidad arquitectónica una vez que fue descubierta bajo su administración.
This suggests Labor may bear some responsibility for not addressing the architectural vulnerability once it was discovered under their watch.
🌐

Perspectiva Equilibrada

### La Decisión de Diseño de la Coalición (2013-2022)
### The Coalition's Design Decision (2013-2022)
 Cuando el gobierno de la Coalición decidió desarrollar myGovID usando un protocolo de autenticación propietario y a medida (TDIF) en lugar de adoptar protocolos estándar internacionalmente como OpenID Connect, esto representó una decisión arquitectónica cuestionable.
When the Coalition government decided to develop myGovID using a proprietary, bespoke authentication protocol (TDIF) rather than adopting internationally standard protocols like OpenID Connect, this represented a questionable architectural decision.
 Las razones de esta elección probablemente fueron: - Deseo de una solución únicamente australiana adaptada a necesidades gubernamentales específicas - Posibles preocupaciones de soberanía nacional (no depender de estándares internacionales) - Control percibido sobre la seguridad y operaciones del sistema Sin embargo, los expertos en seguridad argumentan que los sistemas de autenticación a medida son inherentemente más riesgosos porque: - Tienen revisión de seguridad externa limitada comparada con estándares ampliamente utilizados - No se benefician de años de descubrimiento de vulnerabilidades y parches por la comunidad - Aumentan la posibilidad de fallas de diseño como la descubierta en 2024 [2] **La práctica estándar de seguridad es usar protocolos probados y ampliamente auditados a menos que haya una razón convincente para no hacerlo.**
The reasons for this choice were likely: - Desire for a uniquely Australian solution tailored to specific government needs - Potential national sovereignty concerns (not relying on international standards) - Perceived control over the system's security and operations However, security experts argue that bespoke authentication systems are inherently riskier because they: - Have limited external security review compared to widely-used standards - Don't benefit from years of community vulnerability discovery and patching - Increase the chance of design flaws like the one discovered in 2024 [2] **Standard security practice is to use proven, widely-audited protocols unless there is a compelling reason not to.**
 ### La Respuesta del Gobierno a la Vulnerabilidad Descubierta
### The Government's Response to the Discovered Vulnerability
 Más problemática que la elección de diseño original fue la respuesta cuando se descubrió la vulnerabilidad: **Durante el gobierno de la Coalición (2013-2022):** - La Coalición habría desplegado y operado myGovID pero la vulnerabilidad no fue descubierta hasta 2024 (después de su pérdida del cargo) **Durante el gobierno laborista (desde septiembre de 2024 en adelante):** - El ATO explícitamente se negó a solucionar la vulnerabilidad conocida, declarando que "no tenían intención de cambiar el protocolo" - El gobierno lo desestimó como un "problema de conciencia pública" en lugar de una falla de diseño técnico - No se anunció cronograma o plan de remediación - El sistema continuó operando con la vulnerabilidad conocida
More problematic than the original design choice was the response when the vulnerability was discovered: **During Coalition government (2013-2022):** - The Coalition would have deployed and operated myGovID but the vulnerability wasn't discovered until 2024 (after their loss of office) **During Labor government (September 2024 onward):** - The ATO explicitly refused to fix the known vulnerability, stating they "did not intend to change the protocol" - The government dismissed it as a "public awareness issue" rather than a technical design flaw - No remediation timeline or plan was announced - The system continued to operate with the known vulnerability
 ### Perspectivas de Expertos e Institucionales
### Expert and Institutional Perspectives
 El informe del Ombudsman refuerza que la seguridad de myGov/myGovID es inadecuada, con el gobierno acordando solo abordar las deficiencias en 2025 [5].
The Ombudsman's report reinforces that myGov/myGovID security is inadequate, with the government only agreeing to address deficiencies in 2025 [5].
 El momento sugiere que esto fue una gobernanza de seguridad reactiva en lugar de proactiva.
The timing suggests this was reactive rather than proactive security governance.
 ### Práctica Gubernamental Comparativa
### Comparative Government Practice
 Ignorar vulnerabilidades de seguridad conocidas en sistemas de autenticación no es una práctica estándar entre gobiernos responsables.
Ignoring known security vulnerabilities in authentication systems is not standard practice across responsible governments.
 El enfoque estándar de la industria es: 1.
The standard industry approach is: 1.
 Reconocer la vulnerabilidad 2.
Acknowledge the vulnerability 2.
 Desarrollar un plan de remediación 3.
Develop a remediation plan 3.
 Implementar la solución dentro de un período de tiempo razonable 4.
Implement the fix within a reasonable timeframe 4.
 Comunicar públicamente la resolución La respuesta del gobierno australiano (negarse a solucionar la falla de diseño del protocolo) no cumple con estos estándares. **Contexto clave:** Ni la Coalición ni Labor han demostrado una gobernanza de ciberseguridad fuerte con respecto a myGovID.
Publicly communicate the resolution The Australian government's response (refusing to fix the protocol design flaw) falls short of these standards. **Key context:** Neither the Coalition nor Labor has demonstrated strong cybersecurity governance regarding myGovID.
 La Coalición creó un sistema usando protocolos no estándar, y Labor (que lo heredó) se negó a solucionarlo cuando se descubrieron vulnerabilidades.
The Coalition created a system using non-standard protocols, and Labor (which inherited it) refused to fix it when vulnerabilities were discovered.
 Ambas decisiones parecen impulsadas por la inercia burocrática y la falta de voluntad para reconocer fallas arquitectónicas sistémicas.
Both decisions appear driven by bureaucratic inertia and unwillingness to acknowledge systemic architectural failures.

VERDADERO

7.0

/ 10

El reclamo es factualmente preciso con respecto a la vulnerabilidad de myGovID y la negativa del gobierno a solucionarlo.
The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.
 Sin embargo, hay una **clarificación temporal** importante: La decisión de negarse a la remediación fue tomada por el **gobierno laborista en septiembre de 2024**, no por el gobierno de la Coalición.
However, there is an important **temporal clarification**: The decision to refuse remediation was made by the **Labor government in September 2024**, not the Coalition government.
 La Coalición (2013-2022) tomó la decisión original de usar un protocolo a medida y no estándar, que fue la elección arquitectónica que habilitó esta vulnerabilidad.
The Coalition (2013-2022) made the original decision to use a bespoke, non-standard protocol, which was the architectural choice that enabled this vulnerability.
 El reclamo puede interpretarse de dos maneras: 1. **Si se refiere al diseño original del protocolo (era de la Coalición 2013-2022):** VERDADERO - La Coalición eligió un protocolo a medida sobre estándares probados 2. **Si se refiere a la negativa de 2024 de solucionar la vulnerabilidad descubierta:** VERDADERO pero tomado por el gobierno laborista, no por la Coalición La declaración "Elegió ignorar y no solucionar" se lee más naturalmente como referida a la negativa de remediar después del descubrimiento (septiembre de 2024), que fue una decisión del gobierno laborista, aunque la elección arquitectónica subyacente fue tomada por la Coalición.
The claim could be interpreted two ways: 1. **If referring to original protocol design (Coalition era 2013-2022):** TRUE - The Coalition chose a bespoke protocol over proven standards 2. **If referring to the 2024 refusal to fix the discovered vulnerability:** TRUE but made by Labor government, not Coalition The statement "Chose to ignore and not fix" most naturally reads as referring to the refusal to remediate after discovery (September 2024), which was a Labor government decision, though the underlying architectural choice was made by the Coalition.

📚 FUENTES Y CITAS (8)

  1. 1
    itnews.com.au

    itnews.com.au

    ATO declines to change protocol.

    iTnews
  2. 2
    thinkingcybersecurity.com

    thinkingcybersecurity.com

    Thinkingcybersecurity

  3. 3
    innovationaus.com

    innovationaus.com

    Innovationaus

  4. 4
    accountantsdaily.com.au

    accountantsdaily.com.au

    From security concerns to clashes with workplace policies, the transition to myGovID has caused a few headaches within the profession, but the ATO believes worries are misplaced.

    Accountantsdaily Com
  5. 5
    PDF

    Keeping myGov Secure

    Ombudsman Gov • PDF Document
  6. 6
    architecture.digital.gov.au

    architecture.digital.gov.au

    Architecture Digital Gov

  7. 7
    cecs.anu.edu.au

    cecs.anu.edu.au

    Cecs Anu Edu

  8. 8
    ato.gov.au

    ato.gov.au

    Ato Gov

Metodología de la Escala de Calificación

1-3: FALSO

Fácticamente incorrecto o fabricación maliciosa.

4-6: PARCIAL

Algo de verdad pero falta contexto o está sesgado.

7-9: MAYORMENTE VERDADERO

Tecnicismos menores o problemas de redacción.

10: PRECISO

Perfectamente verificado y contextualmente justo.

Metodología: Las calificaciones se determinan mediante la verificación cruzada de registros gubernamentales oficiales, organizaciones independientes de verificación de hechos y documentos de fuentes primarias.

Previous: C0160 Next: C0162