Seguridad de Impuestos 2.0 – Lista de verificación "Impuestos-Seguridad-Unidos" - Paso 1

IRS, estados e industria describen "Seis pasos de seguridad" para ayudar a los profesionales de impuestos y contribuyentes a estar más seguros en línea

IR-2019-127SP, 16 de julio de 2019

WASHINGTON — Con una nueva Lista de Verificación "Impuestos-Seguridad-Unidos", el Servicio de Impuestos Internos y los socios de la Cumbre de Seguridad urgen a los profesionales de impuestos a revisar las medidas críticas de seguridad para asegurarse de que protegen completamente sus computadoras y correos electrónicos, así como los datos confidenciales de los contribuyentes.

Los socios de la Cumbre de Seguridad, el IRS, los estados y la industria tributaria, instan a los profesionales de impuestos a dedicar tiempo este verano para revisar sus seguridades de datos. Para ayudar a la comunidad tributaria, la Cumbre creó una Lista de Verificación "Impuestos-Seguridad-Unidos" como punto de partida para analizar la seguridad de datos de la oficina.

En la primera de una serie semanal de cinco partes, el paso inicial de la lista de verificación implica los "Seis pasos de seguridad". Estos pasos se dividen en varias categorías principales de seguridad.

“Estos seis pasos son acciones simples que cualquiera puede tomar,” dijo Chuck Rettig, Comisionado del IRS. “Lo importante a recordar es que cada profesional de impuestos, ya sea que trabaje por su cuenta o como parte de una firma, puede estar en la mira de los criminales cibernéticos. Ninguna empresa tributaria debe asumir que es muy pequeña o muy inteligente para evitar a los ladrones de identidad”.
 
Aunque la Cumbre de Seguridad, una asociación entre el IRS, los estados y la comunidad tributaria del sector privado, progresa contra el robo de identidad relacionado con los impuestos, los criminales cibernéticos continúan evolucionando y los robos de datos en las oficinas de los profesionales de impuestos continúan. Los ladrones usan datos robados de los profesionales de impuestos para crear declaraciones fraudulentas que son más difíciles de detectar.

Los socios de la Cumbre de Seguridad urgen a los profesionales de impuestos a través de la nación a evitar pasar por alto estos pasos básicos para ayudar en la batalla contra el robo de identidad

Implementar los “Seis pasos de seguridad” para protecciones básicas:

Las siguientes son las protecciones básicas que todos, especialmente los profesionales de impuestos que manejan datos confidenciales, deben implementar:

1. Software antivirus

Aunque los detalles pueden variar entre productos comerciales, el software antivirus escanea archivos de la computadora o la memoria en busca de ciertos patrones que pueden indicar la presencia de software malicioso (también llamado malware). El software antivirus (a veces conocido más ampliamente como software antimalware) busca patrones que se basan en firmas o definiciones de malware conocido de los criminales cibernéticos. Vendedores de software antivirus encuentran nuevos problemas y actualizan el malware diariamente, por lo que es importante que las personas tengan las actualizaciones más recientes instaladas en su computadora, según el Equipo de Preparación de Emergencias de Computadores de Estados Unidos. (US-CERT, por sus siglas en inglés), una división del Departamento de Seguridad Nacional.

Una vez que instalan el paquete antivirus, los usuarios deben escanear periódicamente su computadora por completo haciendo:

  • Escaneos automáticos – La mayoría de los softwares antivirus pueden configurarse para que automáticamente hagan escaneos a archivos o directorios específicos en tiempo real y envíen un recordatorio para que el usuario haga un escaneo completo.
  • Escaneos manuales – Si el software antivirus no escanea nuevos archivos automáticamente, los usuarios deben escanear manualmente los archivos y materiales que reciben de una fuente externa antes de abrirlos. Este proceso manual incluye:
    • Guardar y escanear archivos adjuntos en correo electrónico o descargas de páginas web en vez de abrirlos directamente de la fuente.
    • Escanear medios portátiles, incluyendo CDs y DVDs, para malware antes de abrir los archivos.

A veces el software produce una casilla de diálogo que alerta que ha encontrado malware y que pregunta si desea "limpiar" el archivo (para remover el malware). En otros casos, el software puede intentar remover el malware sin antes preguntarle.

Al seleccionar un paquete antivirus, familiarícese con sus características para saber qué esperar. Fije el software de seguridad para automáticamente recibir las últimas actualizaciones.

Un recordatorio sobre spyware, una categoría de malware destinado a robar información confidencial y contraseñas sin su conocimiento. Un buen software de seguridad debe proteger contra el spyware. Pero recuerde, nunca haga clic en enlaces con ventanas de mensajes emergentes, nunca descargue software "gratis" de un mensaje emergente, nunca siga los enlaces en correo electrónicos que ofrecen software antispyware. Los enlaces y mensajes emergentes pueden instalar el spyware que dicen eliminar.

Un recordatorio sobre correos electrónicos de phishing: Un paquete fuerte de seguridad también debe contener capacidades antiphishing. Nunca abra un correo electrónico de una fuente sospechosa, haga clic en un enlace en un correo electrónico sospechoso o abra un archivo adjunto - o podría convertirse en una víctima de un ataque de phishing y usted y la información de sus clientes podrían verse comprometidos.

2. Firewalls

Los firewalls proveen protección contra ataques externos al proteger su computadora o red de tráfico web malicioso o innecesario y previene que el software malicioso ingrese a sus sistemas. Los firewalls pueden ser configurados para bloquear datos de ciertos lugares o aplicaciones sospechosas, mientras que permiten el ingreso de datos relevantes y necesarios, según US-CERT.

Los firewalls pueden ser ampliamente categorizados como hardware o software. Mientras que ambos tienen ventajas y desventajas, la decisión de usar un firewall es más importante que decidir qué tipo usar:

  • Hardware –Típicamente conocidos como firewalls de la red, estos dispositivos externos se posicionan entre su computadora y el Internet (u otras conexiones de la red). La ventaja de los firewalls basados en hardware es que son útiles para proteger múltiples computadoras y para controlar la red de actividad que intenta atravesar por ella.
  • Software – La mayoría de los sistemas operativos incluyen como propiedad integrada un firewall que debe habilitarse para protección adicional aun si tiene un firewall externo. El software del firewall también puede obtenerse como software separado de una tienda de computadoras, vendedor de software o ISP. Si descarga software del firewall de Internet, asegúrese de que sea de una fuente de confiable (como un vendedor de software o proveedor de servicios establecido) y ofrecido a través de un sitio web seguro.

Mientras que los firewalls configurados correctamente pueden ser efectivos en bloquear algunos ataques cibernéticos, no se fíe de la seguridad. Los firewalls no garantizan que una computadora no sea atacada. Los firewalls principalmente ayudan a proteger contra el tráfico malicioso, no contra programas malicioso (malware), y podrían no protegerlo si instala malware en su computadora por equivocación. Sin embargo, usar un firewall en conjunto con otras medidas de protección (como un software antivirus y prácticas seguras de computación) fortalecerán su resistencia a ataques.

La Cumbre de Seguridad les recuerda a los profesionales de impuestos que los software antivirus y firewalls no pueden proteger datos si los usuarios de computadoras caen en las trampas de estafas de phishing por correo electrónico y revelan datos confidenciales, tal y como nombres de usuarios y contraseñas. La Cumbre recuerda a la comunidad tributaria que los usuarios, no el software, son la primera línea de defensa en proteger los datos de los contribuyentes.

3. Autenticación de dos factores

Muchos proveedores de correo electrónico ahora ofrecen a los clientes protecciones de autenticación de dos factores para acceder a las cuentas de correo electrónico. Los profesionales de impuestos siempre deben usar esta opción para evitar que sus cuentas sean tomadas por criminales cibernéticos y poner a sus clientes y colegas en riesgo.

La autenticación de dos factores ayuda al añadir una capa adicional de protección más allá de una contraseña. Frecuentemente, la autenticación de dos factores significa que el usuario debe ingresar credenciales (nombre de usuario y contraseña) y un paso adicional, tal y como ingresar un código de seguridad enviado vía texto a un teléfono móvil. La idea es que, aunque un ladrón podría robar su nombre y contraseña, es poco posible que además tendría su teléfono móvil para recibir el código de seguridad y completar el proceso.

El uso de la autenticación de dos factores e incluso la autenticación de tres factores está en aumento, y los preparadores de impuestos siempre deben optar por una protección con autenticación multi-factor cuando sea ofrecida, ya sea en una cuenta de correo electrónico o de software de impuestos o cualquier producto protegido con contraseña. 

Secure Access del IRS, el cual protege las herramientas en IRS.gov y que incluyen e-Services, es un ejemplo de autenticación de dos factores.Los profesionales de impuestos pueden revisar la configuración de su cuenta de correo electrónico para ver si el proveedor de correo electrónico ofrece protecciones de dos factores.

4. Servicios de respaldo de software

Los archivos críticos en computadoras deben respaldarse en fuentes externas de forma rutinaria. Esto significa que se hace una copia del archivo y se guarda en línea como parte del servicio de almacenamiento en la nube o producto similar. O se hace una copia del archivo en un disco externo, como un disco duro externo que ahora viene con múltiples terabytes de capacidad de almacenaje. Los profesionales de impuestos deben asegurarse de que los datos de los contribuyentes que están respaldados también estén codificados - para la seguridad del contribuyente y el profesional de impuestos.

5. Codificación de disco duro

Dados los datos confidenciales de clientes mantenidos en las computadoras de los profesionales de impuestos, los usuarios deben considerar software de codificación para la codificación del disco duro completo. La codificación del disco transforma los datos en la computadora en archivos ilegibles para personas no autorizadas a acceder la computadora para obtener datos. La codificación puede adquirirse como un producto de seguridad de software independiente. También puede incluir la codificación de medios portátiles, como un disco duro externo (thumb drive) y sus datos.

6. Redes Privadas Virtuales

Si los empleados de una empresa tributaria ocasionalmente deben conectarse a redes desconocidas o trabajar desde casa, establezca una Red Privada Virtual (VPN, por sus siglas en inglés) codificada para tener una conexión más segura. Una VPN provee un túnel seguro y codificado para transmitir datos entre un usuario remoto a través de Internet y la red de la empresa. Busque "Mejores VPN" para encontrar un proveedor legítimo; los sitios tecnológicos principales a menudo proveen listas de los servicios mejores.

Cómo empezar con los "Seis pasos de seguridad"

Todos los profesionales de impuestos también deben revisar su póliza de seguro profesional para asegurarse de que el negocio está protegido en caso de que ocurra un robo de datos. Algunas compañías de seguros proveen expertos en seguridad cibernética para sus clientes.

Estos expertos pueden ayudar con las seguridades tecnológicas y ofrecer recomendaciones más avanzadas. Tener la cobertura de seguro adecuada es una recomendación común de los profesionales de impuestos que han tenido un robo de datos.

Recursos adicionales

Los profesionales de impuestos también pueden obtener ayuda con las recomendaciones de seguridad y para crear un plan de seguridad al revisar la Publicación 4557 del IRS, Protección de los datos del contribuyente (PDF, en inglés) recientemente revisada, e Información de seguridad para las pequeñas empresas: lo fundamental  (PDF, en inglés) por el Instituto Nacional de Estándares y Tecnología.

La Publicación 5293 (SP), Guía de recursos de seguridad de datos para los profesionales de impuestos (PDF), provee una recopilación de información sobre el robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben mantenerse conectados al IRS a través de las suscripciones de Noticias electrónicas para profesionales de impuestos (en inglés) y  medios sociales.

Lista de Verificación de “Impuestos-Seguridad-Unidos"

Durante esta serie especial de la Cumbre de Seguridad, la lista de verificación destaca estas áreas clave para los profesionales de impuestos:

  • Implementar las medidas básicas de los “Seis pasos de seguridad”
  • Crear un plan de seguridad de datos
  • Educarse acerca de las estafas de correos electrónicos de tipo phishing
  • Reconocer las señales de robo de datos de clientes
  • Crear un plan de recuperación de datos robados y llamar al IRS inmediatamente