La Cumbre de Seguridad alerta a los profesionales de impuestos sobre estafas continuas de correos electrónicos y la nube para robar la información de los contribuyentes

IR-2022-143SP, 26 de julio de 2022

WASHINGTON — Como parte de la serie especial de la Cumbre de Seguridad, el Servicio de Impuestos Internos, las agencias tributarias estatales y la industria tributaria de la nación advirtió hoy a los profesionales de impuestos que estén atentos a estafas emergentes diseñadas para robar la información de los clientes.

Los socios de la Cumbre de Seguridad continúan viendo situaciones donde los profesionales de impuestos han sido vulnerables a los correos electrónicos de phishing de robo de identidad que aparentan provenir de clientes potenciales. Los criminales entonces engañan a los preparadores a que abran los enlaces y/o archivos adjuntos que infectan los sistemas de las computadoras con el fin de robar la información de sus clientes.

Debido a los ataques recientes, la Cumbre también advierte a los profesionales de impuestos que usan sistemas basados en la nube para almacenar información y preparar declaraciones de impuestos a que se aseguren de usar la autenticación de múltiples factores. Específicamente, los socios de la Cumbre instan a las personas que usan plataformas basadas en la nube a que usen opciones de múltiples factores tal como por teléfono, mensajes de texto u otra forma de autenticación para verificar la identidad. Esto puede evitar posibles vulnerabilidades con la autenticación realizada solo a través del correo electrónico, que es más fácil de acceder para los ladrones de identidad.

Evitar estos esquemas es el tercero de una serie de cinco partes del IRS, las agencias tributarias estatales y la comunidad tributaria de la nación, trabajando juntos como la Cumbre de Seguridad que destaca los pasos críticos que los profesionales de impuestos pueden tomar para proteger los datos de los clientes. El enfoque de la serie de la Cumbre de Seguridad – parte de la campaña "Proteja a sus clientes; Protéjase a sí mismo" – es instar a los profesionales de impuestos a trabajar para fortalecer sus sistemas y proteger los datos de los clientes.

"Los estafadores de robo de identidad prueban continuamente nuevos esquemas para robar información personal y financiera de los profesionales de impuestos. Nosotros continuamos viendo una avalancha de correos electrónicos dirigidos a profesionales de impuestos que intentan engañarlos para que provean acceso valioso a ladrones de identidad", dijo Chuck Rettig, Comisionado del IRS. "Continuamos urgiendo a las personas a que usen la autenticación de múltiples factores, incluyendo aquellos que usan servicios basado en la nube. La vigilancia constante es necesaria, no solo durante la temporada de impuestos, sino durante todo el año. Le pedimos a los profesionales de impuestos, tanto de operaciones grandes como pequeñas que ayuden a proteger a sus clientes al igual que a ellos mismos".

Los correos electrónicos de phishing o SMS/textos (conocidos como "smishing") intentan engañar a la persona que recibe el mensaje para que divulgue información personal como contraseñas, números de cuentas bancarias, números de tarjetas de crédito o números de seguro social. Los profesionales de impuestos son un objetivo común.

Las estafas pueden diferir en temas, pero generalmente tienen dos características:

  • Parece que provienen de una fuente conocida o confiable, como un colega, banco, compañía de tarjetas de crédito, proveedor de almacenamiento en la nube, proveedor de software de impuestos o incluso el IRS.
  • Dicen una historia, a menudo con un tono urgente, para engañar al receptor en abrir un enlace o un adjunto.

Un tipo específico de correo electrónico de phishing se denomina spear phishing, una forma de phishing más específica. En lugar de los correos electrónicos de phishing, los estafadores se toman tiempo para identificar a su víctima y crear un correo electrónico más atractivo conocido como un señuelo. Los estafadores a menudo usan correos electrónicos para lanzar una trampa para dirigirse a los profesionales de los impuestos.

En una estafa recurrente que tuvo éxito este año, los delincuentes se hicieron pasar como clientes potenciales, intercambiaron varios correos electrónicos con profesionales de impuestos antes de enviar un archivo adjunto que reclamaba que era su información tributaria. Esta estafa fue popular ya que muchos profesionales de impuestos pues trabajaron de forma remota y se comunicaron con clientes por correo electrónico en vez de en persona o por teléfono debido a la pandemia.

Una vez que el profesional de impuestos hace clic el enlace y/o abre el archivo adjunto, programas malignos se descargan en secreto en sus computadoras, brindando a los ladrones acceso a contraseñas de cuentas de clientes o acceso remoto a las computadoras.

Luego, los ladrones usan este programa maligno conocido como un troyano de acceso remoto (RAT, por sus siglas en inglés) para asumir los sistemas informáticos en la oficina del profesional de impuestos, identificar las declaraciones de impuestos pendientes, completar y presentarlas electrónicamente, cambiando solo la información de la cuenta bancaria para robar el reembolso.

En el pasado, los criminales internacionales han usado ataques de "ransomware" para cerrar una variedad de empresas. Los criminales pueden usar tácticas similares a menor escala contra los preparadores de impuestos. Cuando el profesional de impuestos desprevenido abre un enlace o archivo adjunto, el programa maligno ataca al sistema informático del profesional de impuestos para cifrar archivos y los ladrones retienen los datos para rescate.

Otro esquema emergente que el IRS ha visto tiene que ver con una señal débil de los sistemas de los profesionales de impuestos que usan la nube para almacenar datos de clientes. Mientras que muchos sistemas de almacenamiento de datos son seguros, los profesionales de impuestos deben asegurarse usar autenticación de múltiples factores para evitar que los ladrones obtengan información confidencial.

El IRS ha observado varios casos que con frecuencia involucran a empresas y/o profesionales de impuestos más pequeños – donde las cuentas individuales de clientes que están en plataformas basadas en la nube han sido comprometidas. Los ladrones de identidad acceden a estas cuentas usando información de declaraciones de impuestos de contribuyentes para luego presentar otra declaración de impuestos en busca de reembolsos, frecuentemente por correo.

Estas cuentas basadas en la nube son más vulnerables cuando los profesionales de impuestos no usan la autenticación de múltiples factores para validar quien usa la plataforma. Los socios de la Cumbre instan a usar métodos de autenticación además del correo electrónico ya que este pudiera ser más fácil de acceder para los ladrones y permitirles acceso a las cuentas de los profesionales de impuestos. El uso de mensajes de texto, llamadas telefónicas u otra forma de autenticación para verificar la identidad son opciones más seguras.

Estas estafas resaltan la importancia de los pasos básicos de seguridad recomendados por la Cumbre de Seguridad para proteger información:

  • El uso de la autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA) que ofrecen los proveedores de preparación de impuestos o proveedores de almacenamiento de datos protegería las cuentas de los clientes, incluso si las contraseñas se divulgaron sin darse cuenta. 
  • Mantener el software antivirus configurado para actualizaciones automáticas también ayuda a prevenir estafas dirigidas a las vulnerabilidades del software.
  • El uso del cifrado de unidades y regularmente respaldar los archivos ayuda a evitar el robo y los ataques de ransomware.

Para los profesionales de impuestos, asegurar su red para proteger los datos de los contribuyentes es su responsabilidad como preparador de impuestos.

Para ayudar a los profesionales de impuestos a protegerse contra las estafas de phishing y proteger mejor la información del contribuyente, vea la Publicación 4557, Protección de datos del contribuyente: Una guía para su negocio (en inglés)PDF. Esta publicación del IRS contiene algunas de las últimas sugerencias, como el uso de la opción de autenticación de múltiples factores ofrecidas por los productos de software de impuestos y ayuda a los clientes a obtener un PIN de protección de identidad.

Recursos adicionales

Además de la Publicación 4557, Protección de datos del contribuyente: Una guía para su negocio (en inglés)PDF del IRS, los profesionales de impuestos también pueden obtener ayuda con las recomendaciones de seguridad consultando Seguridad de información de las pequeñas empresas: Los fundamentos (en inglés)PDF del Instituto Nacional de Normas y Tecnología. Las páginas del Centro informativo sobre el robo de identidad del IRS para profesionales de impuestos, individuos y empresas también tienen detalles importantes.

La Publicación 5293 (SP), Guía de Recursos de Seguridad de Datos para los Profesionales de ImpuestosPDF, provee un resumen de información acerca de robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben mantenerse conectados al IRS a través de suscripciones a Noticias electrónicas para profesionales de impuestos (en inglés) y Medios sociales.

Para más información, visite IRS.gov.