No muerda el anzuelo; 2do paso: Apropiaciones de cuentas amenazan a profesionales de impuestos

Aviso: Contenido Histórico


Este es un documento de archivo o histórico y puede no reflejar la ley, las políticas o los procedimientos actuales.

IR-2017-120SP, 18 de julio de 2017

WASHINGTON – El IRS, las agencias tributarias estatales y la industria tributaria advirtieron hoy a los profesionales de impuestos que las apropiaciones de cuentas por parte de delincuentes cibernéticos están en aumento y con más frecuencia los profesionales se convierten en blancos.

Las apropiaciones de cuentas ocurren cuando un ladrón roba o adivina el nombre de usuario y la contraseña de profesionales de impuestos para acceder a sus computadoras y cuentas en línea. Con estos credenciales, los ladrones pueden, por ejemplo, acceder a la cuenta de e-Services del IRS del profesional de impuestos para robar su Número de Identificación de Presentación Electrónica (EFIN) o acceder a su cuenta de software de impuestos para robar información confidencial de contribuyentes.

“Pedimos a los profesionales de impuestos que estén pendientes a las señales de estos y otros esquemas que pueden contribuir a la pérdida de datos y al robo de identidad,” dijo John Koskinen, Comisionado del IRS. “Unos pasos sencillos pueden ayudar a proteger a los profesionales de impuestos, así como a sus clientes.”

Informar acerca de las apropiaciones de cuentas es parte de la campaña "No muerda el anzuelo," dirigida a los profesionales de impuestos. Esta es la segunda parte de una serie especial de 10 semanas enfocada en aumentar la concienciación de seguridad en la comunidad tributaria, y parte del esfuerzo Proteja a sus clientes; protéjase a sí mismo.

Los profesionales de impuestos y los contribuyentes se encuentran entre los grupos más grandes que enfrentan mayores amenazas de apropiaciones de cuentas.

Javelin Strategy and Research realiza un informe anual de fraude de identidad. Este año, reportó un aumento en los incidentes de apropiaciones de cuentas en todo el país luego de años en descenso. De 2015 a 2016 el número de incidentes aumentó un 31 por ciento.

Las apropiaciones de cuentas son una fuente común de filtraciones de datos de contribuyentes, lo que resulta en presentaciones de declaraciones fraudulentas de impuestos de individuos y empresas. Las apropiaciones de cuentas a menudo son el resultado de correos electrónicos de phishing, dirigidos a la comunidad tributaria. Consulte IR-2017-119SP para más información acerca de phishing.

Así es como funcionan las apropiaciones de cuentas: Los ladrones observan sus sitios web y medios sociales en busca de su dirección de correo electrónico y actividades empresariales. Luego, se presentan como una organización conocida, por ejemplo, e-Services del IRS o un proveedor de software de impuestos del sector privado, y envía un correo electrónico de phishing que parece similar al del IRS o de su proveedor de software. Incluso pueden hacerse pasar como otro profesional de impuestos, un banco conocido, o como un proveedor de almacenamiento en la nube.

A menudo, el correo electrónico parece urgente: "Evite la cancelación de la cuenta" o "Desbloquee su cuenta ahora.” El correo incluye un enlace disfrazado que puede llevarlo a una página similar a las de inicio de sesión para los servicios electrónicos del IRS, o de su proveedor de software de impuestos.

De forma alternativa, el enlace o archivo adjunto puede cargar malware en su computadora para capturar sus pulsaciones de teclas para otorgarles acceso a sus credenciales mientras usted accede a sus cuentas. Los ladrones pueden presentarse como un cliente potencial, al enviarle un correo electrónico con un archivo adjunto que pretende contener su información tributaria, pero que está infectado con malware de historial de pulsación de teclas. A continuación, un ejemplo de un correo electrónico falso que “proviene” de IRS e-Services. ¿Puede descifrar las señales de alerta?

Image of a Phishing email the depicts text and branding designed to mimic IRS branding and fool the recepient.

El correo dice ser de “IRS E Services,” una diferencia del nombre oficial de IRS e-Services. Además, e-Services del IRS no envía correos electrónicos excepto por medio del sistema Quick Alerts. Observe la línea de asunto de “Account Closure Now!” (“¡Cierre inmediato de cuenta!") para inculcar urgencia, al igual que el enlace “update now” ("actualizar ahora").

Los profesionales de impuestos pueden colocar sus cursores sobre un enlace sospechoso para ver el destino, que puede ser un URL como: bit.ly, ow.ly, tinyurl.com, etc., en lugar de uno real de IRS.gov. El enlace lleva al profesional a un sitio web que luce como la página de inicio de sesión de e-Services. Este es un ejemplo de un sitio web falso:

Image depicting a fake IRS login email that includes fake IRS branding.

Una vez un ladrón obtiene sus credenciales personales, puede acceder inmediatamente a su cuenta y robar su EFIN para presentar declaraciones fraudulentas de impuestos, o venderlo a otros criminales que podrían hacer lo mismo. También puede usar su poder legal y número de Autorización Centralizada (CAF) para acceder a las transcripciones de sus clientes. Si usa el mismo nombre de usuario y contraseña para varias cuentas en línea, el ladrón probablemente también tendrá acceso a las mismas.

Proteja a sus clientes y negocio de apropiaciones de cuentas

Los ladrones de identidad tienen muchos esquemas para robar sus credenciales de inicio de sesión. Una táctica común es usar un correo electrónico de phishing dirigido a profesionales de impuestos. Estos son algunos pasos que puede tomar para proteger a sus clientes y a sí mismo:

  • Eduque a sus empleados acerca de los peligros del phishing y de las apropiaciones de cuentas. Solo hace falta que un empleado abra un enlace para dar acceso de todo su sistema a los cibercriminales.
  • Use contraseñas fuertes y únicas. Mejor aún, use una frase en lugar de una palabra. Elija contraseñas diferentes para cada cuenta y combine letras, números y caracteres especiales. Se recomienda un mínimo de ocho a 10 caracteres. Si es necesario, use un administrador de contraseñas para ayudarle a recordar sus credenciales.
  • Use una protección fuerte contra malware / phishing. Un buen software puede ayudar a detectar y detener el malware o advertirle cuando se dirija a un sitio sospechoso de phishing. Un análisis (scan) profundo periódico también puede ayudar a descubrir malware integrado en sus sistemas.
  • Use autenticación de dos factores siempre que pueda - Esta práctica ayuda a proteger las cuentas al requerir dos pasos para el acceso. Por ejemplo, el proceso IRS Secure Access requiere sus credenciales (nombre de usuario y contraseña) además de un código de seguridad enviado como texto a un teléfono móvil previamente registrado con el IRS. Las apropiaciones de cuentas son una razón por la que el IRS ha implantado este proceso más riguroso para proteger los servicios electrónicos. Muchos bancos y medios de comunicación social están optando por la autenticación de dos factores, ya sea mediante el uso de un código enviado a su correo electrónico o teléfono.
  • Verifique sus conteos de EFIN semanalmente. Puede acceder a su aplicación a través de e-Services y seleccionar “Check EFIN Status” ("Verificar estado de EFIN"). Si alguien ha usado su EFIN sin su conocimiento, es probable que vea un mayor número de declaraciones presentadas bajo su número. Repórtelo de inmediato.
  • Si recibe fraudes de phishing o correos electrónicos maliciosos envíelos a phishing@irs.gov. Para más información, vea Reporte práctica fraudulenta de pesca de información.
  • Reporte incidentes de seguridad. El IRS considera que los siguientes ejemplos son incidentes de seguridad: usted pulsó en un enlace de phishing e introdujo sus credenciales de correo electrónico; usted pulsó en un URL malicioso que infectó su computadora, o alguien ha creado un dominio similar al suyo y lo ha usado para enviar correos electrónicos de phishing a otros preparadores. La Publicación 4557 proporciona una guía para reportar este tipo de incidentes. Si el incidente fue una estafa relacionada con el IRS, también puede informarlo al Inspector General del Tesoro para la Administración Tributaria (TIGTA).

Cumbre de Seguridad

Todos tenemos un papel que desempeñar.