Seguridad de Impuestos 101: Profesionales de impuestos deben usar contraseñas seguras y cifrado para proteger datos de contribuyentes

IR-2018-151SP, 24 de julio de 2018

WASHINGTON — El Servicio de Impuestos Internos y sus socios de la Cumbre de Seguridad exhortaron hoy a todos los profesionales de impuestos a usar contraseñas seguras para proteger las cuentas de los ladrones cibernéticos, y también a considerar el cifrado de datos confidenciales.

Los protocolos de contraseñas seguras y de cifrado deben ser características estándar de cualquier plan de seguridad de datos creado por preparadores de impuestos profesionales. El Comité Asesor de la Administración Tributaria Electrónica (ETAAC, por sus siglas en inglés) señaló en su reciente informe anual al Congreso que muchos profesionales de impuestos no tienen planes de seguridad de datos, requeridos por la Comisión Federal de Comercio.

Este es el tercero de una serie llamada "Proteja a sus clientes; protéjase a sí mismo: Seguridad de Impuestos 101”. La campaña de concienciación de la Cumbre de Seguridad tiene como objetivo proporcionar a los profesionales de impuestos la información básica que necesitan para proteger mejor los datos de los contribuyentes y ayudar a prevenir la presentación de declaraciones de impuestos fraudulentas.

Aunque la Cumbre de Seguridad progresa en sus esfuerzos contra el robo de identidad relacionado con los impuestos, los delincuentes cibernéticos continúan evolucionando y los robos de datos en las oficinas de los profesionales de impuestos van en aumento. Los ladrones usan datos robados de los profesionales de impuestos para crear declaraciones fraudulentas que son más difíciles de detectar.

En los últimos meses, las recomendaciones de los expertos en seguridad cibernética acerca de qué constituye una contraseña segura han cambiado. Ahora sugieren que las personas usen frases de palabras que sean fáciles de recordar, en lugar de letras, caracteres y números aleatorios que no pueden recordarse fácilmente.

Por ejemplo, los expertos solían sugerir algo como "PXro #) 30", pero ahora sugieren una frase como "algoquepuedasrecordar@30". Al usar una frase, no hay que escribir la contraseña y exponerla a más riesgos. Además, las personas pueden estar más dispuestas a usar contraseñas más fuertes y largas si se trata de una frase en lugar de caracteres aleatorios.

Refuerce su contraseña
Es fundamental que todos los profesionales de impuestos establezcan contraseñas sólidas y únicas para todas las cuentas, ya sea para acceder a un dispositivo, productos de software de impuestos, almacenamiento en la nube, redes inalámbricas o tecnología de cifrado. Aquí le mostramos cómo comenzar:

  • Use un mínimo de ocho caracteres; mientras más larga mejor.
  • Use una combinación de letras, números y símbolos, es decir, XYZ, 567,! @ #.
  • Evite la información personal o contraseñas comunes; opte por frases.
  • Cambie las contraseñas predeterminadas / temporales que vienen con cuentas o dispositivos.
  • No reúse contraseñas, por ejemplo, cambiar Bgood!17 por Bgood!18; use nombres de usuario y contraseñas únicas para cuentas y dispositivos.
  • No use su dirección de correo electrónico como su nombre de usuario si esa es una opción.
  • Almacene cualquier lista de contraseñas en una ubicación segura, como un archivador seguro o que cierre con llave.
  • No divulgue sus contraseñas a nadie por ningún motivo.
  • Use un programa de administrador de contraseñas para rastrear contraseñas, pero protéjalo con una contraseña segura.

Siempre que sea una opción para una cuenta protegida con contraseña, los usuarios también deben optar por un proceso de autenticación de múltiples factores. Muchos proveedores de correo electrónico ahora ofrecen a los clientes protecciones de autenticación de dos factores para acceder a cuentas de correo electrónico. Los profesionales de impuestos siempre deben usar esta opción para evitar que sus cuentas sean tomadas por delincuentes y poner en riesgo a sus clientes y colegas.

La autenticación de dos factores ayuda al agregar un nivel adicional de protección. A menudo, la autenticación de dos factores significa que el usuario recurrente debe ingresar las credenciales (nombre de usuario y contraseña) más otro paso, como ingresar un código de seguridad enviado por mensaje de texto a un teléfono móvil. La idea es que un ladrón puede robar su nombre de usuario y contraseña, pero es muy poco probable que también tenga su teléfono móvil para recibir un código de seguridad y completar el proceso.

Algunos proveedores de productos de software de impuestos para profesionales de impuestos ofrecen autenticación de dos factores o incluso de tres factores. Los profesionales de impuestos deben usar la opción más segura disponible, no solo para su software de impuestos, sino también para otros productos como cuentas de correo electrónico y cuentas de proveedores de almacenamiento. Si administra su propio sitio web, también considere alguna otra forma de autenticación de factores múltiples para aumentar aún más su seguridad de inicio de sesión.

El cifrado de datos con protección de contraseñas también es fundamental para proteger la información del cliente. Los delincuentes cibernéticos trabajan arduamente a través de varias tácticas para penetrar en su red o engañarlo para que revele las contraseñas. Pueden robar los datos, retener los datos para exigir recompensa o usar sus propias computadoras para completar y presentar declaraciones de impuestos fraudulentas.

Pasos básicos para cifrado de datos de clientes
Aquí hay algunos pasos básicos acerca del cifrado y la protección de los datos del cliente almacenados en sus sistemas:

  • Use cifrado de unidad para bloquear todos los archivos en su computadora y en todos los dispositivos. El cifrado de disco o unidad a menudo es un producto de software independiente. Convierte texto de archivos en un formato ilegible para cualquiera que logre un acceso no autorizado. Al ingresar la contraseña, se desbloquean los archivos para usuarios legítimos.
  • Haga copias de seguridad de las copias cifradas de los datos del cliente en discos duros externos (USB, CD, DVD) o use el almacenamiento en la nube. Si usa unidades externas, guárdelas en un lugar seguro. Si usa almacenamiento en la nube, cifre los datos antes de subirlos a la nube.
  • Evite conectar unidades USB y unidades externas con datos de clientes a computadoras públicas.
  • Evite instalar software o aplicaciones innecesarias en la red comercial; evite las ofertas de software "gratuito", especialmente el software de seguridad, que a menudo es una treta de delincuentes; solo descargue software o aplicaciones desde sitios oficiales.
  • Realice un inventario de los dispositivos donde se almacenan los datos de impuestos del cliente, es decir, computadoras portátiles, teléfonos inteligentes, tabletas, discos duros externos, etc.; software de inventario usado para procesar o enviar datos tributarios, es decir, sistemas operativos, navegadores, aplicaciones, software de impuestos, sitios web, etc.
  • Limite o deshabilite las capacidades de acceso a internet para dispositivos que tienen datos almacenados de contribuyentes.
  • Elimine toda la información de los dispositivos, discos duros, USB (unidades flash), impresoras, tabletas o teléfonos antes de deshacerse de los mismos; algunos softwares de seguridad incluyen una "trituradora" que destruye electrónicamente los archivos almacenados.
  • Destruya físicamente discos duros, cintas, USB, CDs, tabletas o teléfonos mediante trituración o quemándolos; triture o queme todos los documentos que contengan información del contribuyente antes de tirarlos.

Además de estos pasos, la Cumbre de Seguridad les recuerda a todos los preparadores de impuestos profesionales que debe tener un plan de seguridad de datos escrito, como lo exige la Comisión Federal de Comercio y su Regla de Protección. También puede obtener ayuda con las recomendaciones de seguridad en la Publicación 4557 del IRS, Protección de datos del contribuyente (en inglés) revisada recientemente, y la Información de Seguridad para Pequeñas Empresas: Lo básico del Instituto Nacional de Estándares y Tecnología.

La Publicación 5293, Guía de recursos de seguridad de datos para los profesionales de impuestos, recopila la información de robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben permanecer conectados con el IRS a través de suscripciones a e-News para profesionales de impuestos, Alertas rápidas y las redes sociales.