Trabajo virtual: Proteja los datos tributarios en el hogar y trabajo con los "Seis de seguridad"; parte 1 de los consejos de la Cumbre de seguridad para profesionales de impuestos

Aviso: Contenido Histórico


Este es un documento de archivo o histórico y puede no reflejar la ley, las políticas o los procedimientos actuales.

IR-2020-167SP, 21 de julio de 2020

WASHINGTON — Con los ladrones cibernéticos activos durante COVID-19, el Servicio de Impuestos Internos y los socios de la Cumbre de Seguridad instaron hoy a los profesionales de impuestos a revisar los pasos críticos de seguridad para garantizar que protejan completamente los datos de sus clientes, ya sea que trabajen en la oficina o en una ubicación remota.

Muchos profesionales de impuestos han ampliado las opciones de teletrabajo este año a medida que las empresas, como otros negocios, trabajan para mantener al personal seguro, practican las pautas de seguridad recomendadas y usan la tecnología para servir virtualmente a sus clientes.

Durante este período, la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional ha instado a las organizaciones a mantener un estado de alerta elevado a medida que los ciberdelincuentes buscan explotar las preocupaciones de Covid-19.

Para ayudar a los profesionales de impuestos con los conceptos básicos de seguridad, el IRS, las agencias tributarias estatales y la industria tributaria de la nación están lanzando una serie de cinco partes llamada "Trabajo virtual: Protección de los datos tributarios en el hogar y trabajo." La serie especial está diseñada para ayudar a los profesionales a evaluar la seguridad de los datos de su hogar y oficina. La primera recomendación de hoy abarca los "Seis de seguridad", pasos básicos que se deben tomar para cada lugar de trabajo. La serie continuará cada martes hasta el 18 de agosto.

"Los socios de la Cumbre de seguridad instan a los profesionales de impuestos a tomarse un tiempo este verano para revisar su seguridad de datos y asegurarse de que estas protecciones estén en su lugar, ya sea que trabajen desde su hogar u oficina," dijo Chuck Rettig, Comisionado del IRS.

Aunque la Cumbre de seguridad, una asociación entre el IRS, los estados y la comunidad tributaria del sector privado, progresan contra el robo de identidad relacionado con los impuestos, los ciberdelincuentes continúan evolucionando. Son conscientes de que los profesionales de impuestos y sus sistemas pueden ser más vulnerables este año durante COVID-19, especialmente si trabajan de remotamente.

Las siguientes son los "Seis de seguridad", protecciones básicas que todos, especialmente los profesionales de impuestos que manejan datos confidenciales, deben usar:

1. Software antivirus

Aunque los detalles pueden variar entre productos comerciales, el software antivirus escanea los archivos o la memoria de la computadora en busca de ciertos patrones que pueden indicar la presencia de software malicioso (también llamado malware). El software antivirus (a veces más ampliamente conocido como software antimalware) busca patrones a base de las firmas o definiciones de malware conocido de los ciberdelincuentes. Los proveedores de antivirus encuentran nuevos problemas y actualizan el malware a diario, por lo que es importante que las personas tengan las últimas actualizaciones instaladas en su computadora.

Una vez que los usuarios instalen un paquete de antivirus, deben escanear su computadora completa regularmente al hacer lo siguiente:

  • Escaneos automáticos: la mayoría del software antivirus se puede configurar para analizar automáticamente archivos o directorios específicos en tiempo real y solicitar a los usuarios a intervalos establecidos que realicen análisis completos.
  • Escaneos manuales: si el software antivirus no escanea automáticamente los archivos nuevos, los usuarios deben escanear manualmente los archivos y medios recibidos de una fuente externa antes de abrirlos. Este proceso manual incluye:
    • Guardar y escanear archivos adjuntos de correo electrónico o descargas de la web en lugar de abrirlos directamente desde la fuente.
    • Escanear los medios portátiles, incluidos los CDs, en busca de malware antes de abrir archivos.

A veces, el software genera un cuadro de diálogo con una alerta de que ha encontrado malware y pregunta si los usuarios quieren que "limpie" el archivo (para eliminar el malware). En otros casos, el software puede intentar eliminar el malware sin preguntar primero.

Al seleccionar un paquete de antivirus, los profesionales de impuestos deben conocer sus características, para que sepan qué esperar. Recuerde, mantenga el software de seguridad configurado para recibir automáticamente las últimas actualizaciones para que siempre esté actualizado.

Un recordatorio acerca del spyware, una categoría de malware destinado a robar datos confidenciales y contraseñas sin el conocimiento del usuario: Un software de seguridad sólido debería proteger contra el spyware. Pero recuerde, nunca haga clic en los enlaces dentro de ventanas emergentes, nunca descargue software "gratuito" de una ventana emergente, y nunca siga los enlaces de correo electrónico que ofrecen software antispyware. Los enlaces y ventanas emergentes pueden instalar el spyware que dicen eliminar.

Un recordatorio acerca de correos electrónicos de phishing: Un paquete sólido de seguridad también debe contener capacidades antiphishing. Nunca abra un correo electrónico de una fuente sospechosa, haga clic en un enlace de un correo electrónico sospechoso, ni abra un archivo adjunto; podría ser víctima de un ataque de phishing y sus datos y los de sus clientes podrían verse comprometidos.

2. Los firewalls

Los firewalls brindan protección contra atacantes externos al proteger su computadora o red del tráfico web malicioso o innecesario y evitar que el software malicioso acceda a sus sistemas. Los firewalls se pueden configurar para bloquear datos de ciertas ubicaciones o aplicaciones sospechosas mientras permiten el paso de datos relevantes y necesarios, según CISA.

Los firewalls pueden clasificarse en términos generales como hardware o software. Mientras que ambos tienen sus ventajas y desventajas, la decisión de usar un firewall es mucho más importante que decidir qué tipo usa:

  • Hardware – Típicamente llamados firewalls de red, estos dispositivos externos se colocan entre una computadora y la Internet (u otra conexión de red). Los firewalls a base de hardware son particularmente útiles para proteger múltiples computadoras y controlar la actividad de red que intenta atravesarlas.
  • Software – La mayoría de los sistemas operativos incluyen una función de firewall integrada que debe habilitarse para una mayor protección incluso si se usa un firewall externo. El software de firewall también se puede obtener como software separado de una tienda local de computadoras o un proveedor de software. Si descarga software de firewall de Internet, asegúrese de que sea de una fuente confiable (como un proveedor de software o proveedor de servicios establecido) y que se ofrezca a través de un sitio web seguro.

Mientras los firewalls configurados correctamente pueden ser efectivos para bloquear algunos ataques cibernéticos, no se deje llevar por una falsa sensación de seguridad. Los firewalls no garantizan que una computadora no sea atacada. Los firewalls ayudan principalmente a proteger contra el tráfico malicioso, no contra los programas maliciosos (malware), y pueden no proteger el dispositivo si el usuario instala el malware accidentalmente. Sin embargo, el uso de un firewall junto con otras medidas de protección (como el software antivirus y las prácticas informáticas seguras) fortalecerá la resistencia a los ataques.

La Cumbre de seguridad les recuerda a los profesionales de impuestos que el software antivirus y los firewalls no pueden proteger los datos si los empleados caen en estafas de phishing por correo electrónico y divulgan datos confidenciales, como nombres de usuario y contraseñas. La Cumbre le recuerda a la comunidad tributaria que los usuarios, no el software, son la primera línea de defensa para proteger los datos de los contribuyentes.

3. Autenticación de dos factores

Los proveedores de software de impuestos, proveedores de correo electrónico y otros que requieren cuentas en línea ahora ofrecen a los clientes protecciones de autenticación de dos factores para acceder a las cuentas de correo electrónico. Los profesionales de impuestos siempre deben usar esta opción para evitar que los cibercriminales se hagan cargo de sus cuentas y pongan en riesgo a sus clientes y colegas.

La autenticación de dos factores ayuda al agregar una capa adicional de protección más allá de una contraseña. A menudo, la autenticación de dos factores significa que el usuario que regresa debe ingresar las credenciales (nombre de usuario y contraseña) más otro paso, como ingresar un código de seguridad enviado por mensaje de texto a un teléfono móvil. La idea es que un ladrón pueda robar el nombre de usuario y la contraseña, pero es muy poco probable que también tenga el teléfono móvil de un usuario para recibir un código de seguridad y completar el proceso.

El uso de la autenticación de dos factores e incluso la autenticación de tres factores está en aumento, y los preparadores de impuestos siempre deben optar por una protección de autenticación de múltiples factores cuando se ofrece, ya sea en una cuenta de correo electrónico, una cuenta de software de impuestos o cualquier producto protegido por una contraseña.

Acceso seguro del IRS, que protege las herramientas de IRS.gov incluidos los servicios electrónicos, es un ejemplo de autenticación de dos factores.

El uso de las opciones de autenticación de dos factores que ofrecen los proveedores de software de impuestos es fundamental para proteger los datos del cliente almacenados en esos sistemas. Los profesionales de impuestos también pueden verificar la configuración de su cuenta de correo electrónico para ver si el proveedor de correo electrónico ofrece protecciones de dos factores.

4. Software/servicios de respaldo

Los archivos críticos en las computadoras deben respaldarse rutinariamente en fuentes externas. Esto significa que se realiza una copia del archivo y se almacena en línea como parte de un servicio de almacenamiento en la nube o un producto similar. O bien, se realiza una copia del archivo en un disco externo, como un disco duro externo con múltiples terabytes de capacidad de almacenamiento. Los profesionales de impuestos deben asegurarse de que los datos de los contribuyentes que están respaldados también estén codificados, para la seguridad del contribuyente y del profesional de impuestos.

5. Cifrado de drive

Dados los datos confidenciales del cliente que se mantienen en las computadoras de los profesionales de impuestos, los usuarios deben considerar el software de cifrado de unidad para el cifrado completo de disco. El cifrado de drive, o cifrado de disco, transforma los datos en la computadora en archivos ilegibles para una persona no autorizada que accede a la computadora para obtener datos. El cifrado de drive puede venir como un producto de software de seguridad independiente. También puede incluir cifrado para medios extraíbles, como una memoria USB y sus datos.

6. Red privada virtual

Esto es crítico para los profesionales que trabajan remotamente. Si los empleados de una empresa tributaria deben conectarse ocasionalmente a redes desconocidas o trabajar desde casa, establezca una red privada virtual (VPN, por sus siglas en inglés) codificada para permitir una conexión más segura. Una VPN proporciona un túnel seguro y codificado para transmitir datos entre un usuario remoto a través de Internet y la red de la empresa. Busque las "Mejores VPN" para encontrar un proveedor legítimo; los principales sitios de tecnología a menudo proporcionan listas de los mejores servicios.

Cómo comenzar con los "Seis de seguridad"

Todos los profesionales de impuestos también deben revisar su póliza de seguro profesional para garantizar que la empresa esté protegida en caso de robo de datos. Algunas compañías de seguros proporcionarán expertos en ciberseguridad para sus clientes. Estos expertos pueden ayudar con las protecciones tecnológicas y ofrecer recomendaciones más avanzadas.

Tener la cobertura adecuada de seguro es una recomendación común de los profesionales de impuestos que han experimentado robos de datos.

Recursos adicionales

Los profesionales de impuestos también pueden obtener ayuda con las recomendaciones de seguridad al revisar la Publicación 4557, Protección de información del contribuyente (en inglés)PDF, y Información de seguridad para pequeñas empresas: Los Fundamentos (en inglés)PDF del Instituto Nacional de Estándares y Tecnología.

La Publicación 5293 (SP), Guía de Recursos de Seguridad de Datos para los Profesionales de ImpuestosPDF, provee una recopilación de información acerca del robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben mantenerse conectados con el IRS a través de suscripciones a Noticias electrónicas para profesionales de impuestos (en inglés) y medios sociales o visitar el Centro informativo sobre el robo de identidad en IRS.gov/robodeidentidad.