No muerda el anzuelo 1er paso: Evite los correos electrónicos de tipo phishing

Aviso: Contenido Histórico


Este es un documento de archivo o histórico y puede no reflejar la ley, las políticas o los procedimientos actuales.

IR-2017-119SP, 11 de julio de 2017

WASHINGTON – El IRS, las agencias estatales de impuestos y la industria tributaria advirtieron hoy a los profesionales de impuestos a tener cuidado con los correos electrónicos de tipo phishing, táctica común usada por los delincuentes cibernéticos para atacar a los profesionales.

Los correos electrónicos de tipo phishing, a menudo están diseñados para los profesionales individuales y resultan en el robo de datos de contribuyentes y en declaraciones fraudulentas de impuestos presentadas a nombre de clientes individuales y empresariales.

Hoy inicia una nueva campaña de concienciación llamada "No muerda el anzuelo," dirigida a profesionales de impuestos y que incluye información acerca de correos de tipo phishing. Este es el primero de 10 comunicados de prensa en una serie especial que se publicará semanalmente hasta mediados de septiembre.

“Estamos viendo un sinnúmero de casos en que los criminales cibernéticos se dirigen a los profesionales de impuestos y obtienen información confidencial de sus clientes que puede usar para presentar declaraciones fraudulentas. Los correos electrónicos de tipo phishing son una táctica común de acercarse a los profesionales de impuestos,” dijo John Koskinen, Comisionado del IRS. “Exhortamos a los profesionales a que revisen esta información y tomen los pasos para protegerse y proteger a sus clientes.”

El IRS, las agencias estatales de impuestos y la industria tributaria, trabajando juntos como la Cumbre de Seguridad, instan a los profesionales a aprender a reconocer y evitar los emails de phishing. Visite Proteja a sus clientes; protéjase a sí mismo.

Los emails de phishing se dirigen a un amplio grupo de usuarios con la esperanza de atrapar a algunas víctimas. Estos correos se identifican como entidades conocidas, ya que los delincuentes cibernéticos han hecho su tarea de investigación para dirigirse a un público específico. Los profesionales de impuestos y los contribuyentes están entre los grupos que regularmente reciben correos electrónicos de este tipo.

La empresa de software de seguridad Trend Micro informa que el 91 por ciento de todos los ataques cibernéticos y filtraciones de datos subsecuentes comienzan con un correo electrónico de phishing. El email, disfrazado como una fuente de confianza, insta a las víctimas a que divulguen voluntariamente información confidencial como contraseñas. O, puede animarles a abrir un enlace o archivo adjunto que realmente descargue un malware infeccioso en sus computadoras.

A continuación, un ejemplo de un correo electrónico de phishing (en inglés) dirigido a un profesional de impuestos durante la pasada temporada de impuestos. El uso de "declaración de impuestos" en la línea del asunto fue el anzuelo para atraer la atención del preparador ya que el remitente aparenta ser un cliente potencial:

 

A phishing email with suspicious areas highlighted

El remitente hizo su investigación, obtuvo el correo electrónico del preparador de impuestos. El correo es amigable pero contiene errores gramaticales y está construido de forma extraña. Esto es una señal de que el inglés es el segundo idioma de quien lo envió. Por último, el enlace usado es un URL "pequeño," para disimular el destino real.

Hay varias versiones de correos electrónicos de phishing en las que el criminal se presenta como un cliente potencial. En una versión, el prospecto "cliente" se dirige al profesional de impuestos para que abra un archivo adjunto y vea la información tributaria de 2016, necesaria para preparar una declaración.  Sin embargo, el archivo adjunto en realidad descarga malware que rastrea cada pulsación del teclado hecha por el profesional de impuestos, permitiéndole al criminal robar contraseñas y datos confidenciales.

La mayoría de los correos electrónicos de phishing tienen un "llamado a la acción" como parte de sus tácticas, un esfuerzo para animar al destinatario a abrir un enlace o archivo adjunto. El ejemplo anterior pide al preparador que revise su información tributaria y proporcione un estimado del costo.

Otros correos electrónicos de este tipo aparentan provenir del IRS, como las herramientas de servicios electrónicos (e-Services) para profesionales de impuestos, o de un proveedor de software de impuestos del sector privado. En esos ejemplos, se les advierte a los preparadores que deben actualizar inmediatamente su información de cuenta o sufrirán una consecuencia. El enlace puede ir a un sitio web disfrazado por los ladrones para que se parezca a las páginas de inicio de sesión del IRS o su proveedor de impuestos.

Los delincuentes criminales son muy creativos. Este año, algunos ladrones de identidad filtraron cuentas de correos electrónicos de individuos. Al notar que los individuos se habían comunicado por correo electrónico con los preparadores de impuestos, los delincuentes usaron la dirección de email del individuo para enviar una nota a su preparador pidiendo que se cambiara el número de cuenta para el depósito directo del reembolso. La estafa provocó un alerta del IRS dirigido a los preparadores acerca de estos cambios de última hora. Ver IR-2017-64SP

No hay una sola acción para proteger a sus clientes o negocio contra correos de phishing

Se requiere una serie de pasos defensivos. Los profesionales de impuestos deben considerar estos pasos básicos:

  1. Eduque a todo el personal acerca de phishing.
  2. Use contraseñas fuertes y únicas. Mejor aún, use una frase en lugar de una palabra. Use contraseñas diferentes para cada cuenta y que incluyan una combinación de letras, números y caracteres especiales.
  3. Nunca abra un correo electrónico de una fuente familiar por considerarlo auténtico; ejemplo: un correo electrónico de "IRS e-Services." Si le pide que abra un enlace o un archivo adjunto, o si incluye una amenaza para cerrar su cuenta, piense dos veces. Visite la página web de e-Services para confirmarlo.
  4. Si un correo electrónico contiene un enlace, coloque el cursor sobre el enlace para ver el destino del URL. Si no es un URL que reconoce o si está abreviado, no lo abra.
  5. Considere una confirmación verbal por teléfono si recibe un correo electrónico de un cliente nuevo que le envía información tributaria, o de un cliente que solicita cambios de última hora para el depósito de su reembolso.
  6. Use software de seguridad para defenderse contra el malware, los virus y los sitios conocidos de phishing, y actualice el software automáticamente.
  7. Use las opciones de seguridad incluidas con su software de preparación de impuestos.
  8. Envíe correos electrónicos sospechosos de phishing relacionados con impuestos a phishing@irs.gov.

Cumbre de Seguridad

Todos tenemos un papel que desempeñar.