IR-2017-130SP, 15 de agosto de 2017 WASHINGTON – El IRS, las agencias tributarias estatales y la industria de impuestos, urgen a los profesionales de impuestos y empresas a estar alertas a un reciente aumento en fraudes de correos electrónicos dirigidos a los formularios W-2 de empleados. La estafa de W-2, también conocida como un email comprometido de negocio (BEC en inglés), es uno de los esquemas de phishing más peligrosos a nivel nacional desde una perspectiva de administración tributaria. EL IRS vio un aumento significativo en el número de incidentes y víctimas durante la pasada temporada de impuestos Concienciar acerca de los emails de negocios que han sido comprometidos es parte de la campaña “No muerda el anzuelo,” dirigida a los profesionales de impuestos. El IRS, las agencias estatales y la industria tributaria, trabajando en conjunto como la Cumbre de Seguridad, urgen a los profesionales de impuestos a proteger a sus clientes y a sí mismos de las estafas de BECs. Esto es parte del esfuerzo de Proteja a sus clientes; protéjase a sí mismo. Un correo electrónico de negocio podría resultar comprometido cuando un criminal cibernético logra un “spoof” o imitar el email de una compañía o de un ejecutivo que apunta a un empleado de recursos humanos, financieros o de nómina, con una petición. Por ejemplo, los delincuentes intentarán que un empelado transfiera fondos a una cuenta específica o solicitan una lista de todos los empleados y sus formularios W-2. “Estos esquemas pueden ser devastadores para un profesional de impuestos o empresa,” dijo John Koskinen, Comisionado del IRS. “Los criminales cibernéticos se dirigen a personas con acceso a información confidencial, y lo disfrazan a través de una petición por email que luce oficial.” La Agencia Federal de Investigación (en inglés) o FBI, reportó más temprano este año que hubo un aumento de 1,300 por ciento en pérdidas identificadas – más de $3 mil millones en transferencias de fondos – desde enero de 2015. El FBI determinó que los responsables de estas estafas son grupos nacionales e internacionales de crimen organizado que apuntan a negocios y organizaciones en los 50 estados y en 100 países alrededor del mundo. Durante la temporada de impuestos de 2016, el IRS alertó por primera vez a los negocios que las estafas se habían dirigido a la administración tributaria y que los estafadores usaban tácticas BEC para obtener los formularios W-2 de los empleados. Los criminales inmediatamente presentaban declaraciones de impuestos fraudulentas con la cantidad del ingreso actual recibida por los empleados. Por lo cual el fraude se hacía más difícil de detectar. En 2017, el número de negocios, escuelas públicas, universidades, gobiernos tribales y agencias sin fines de lucro afectados por la estafa de W-2 aumentó a 200, de 50 en 2016. Esas 200 víctimas a su vez resultaron ser cientos de miles de empleados cuyos datos personales fueron robados. En algunos casos, los criminales no solo pidieron la información del W-2 sino una transferencia de fondos. El W-2 contiene el nombre, dirección, número de seguro social, ingresos y retenciones. Dicha información se usó para presentar declaraciones fraudulentas al igual que para publicarse en el “Dark Net” donde las pandillas criminales intentan hacer ganancias de sus robos. Si la víctima, en este caso el negocio o la organización, notifica rápidamente al IRS, la agencia puede tomar pasos para prevenir que los empleados se conviertan en víctimas de robo de identidad. Sin embargo, por la naturaleza de los BEC, muchos negocios/organizaciones no notaron que fueron estafados luego de días, semanas y hasta meses. El IRS estableció una dirección especial de correo electrónico para que negocios y organizaciones puedan reportar robos de W-2: dataloss@irs.gov. Se debe incluir “Estafa de W-2” en la línea del asunto e información de contacto en el cuerpo del correo electrónico. Negocios y organizaciones que reciben el correo electrónico, pero quienes no resultan víctimas de la estafa pueden enviar el BEC a phishing@irs.gov, nuevamente con “Estafa de W-2 en la línea del asunto. Cómo proteger a sus clientes y negocio de los BECs El IRS urge a los profesionales de impuestos a estar en alerta a los BECs como una amenaza a sus propios sistemas y educar a sus clientes sobre su existencia. Todo empleador, incluyendo los profesionales de impuestos, deben revisar su política de sistemas para enviar datos confidenciales, tales como el W-2 o hacer transferencias electrónicas basadas solamente en un correo electrónico. Los profesionales de impuestos deben considerar tomar los siguientes pasos: Confirmar peticiones de formularios W-2 o transferencias de dinero o datos confidenciales verbalmente, a través de números telefónicos conocidos, no de números incluidos en el correo electrónico. Verificar peticiones de cambios de destino para pagos de vendedores y pedir una segunda firma por parte del personal de la compañía. Educar a todos los empleados, con acceso a datos confidenciales como W-2s o con autorización para hacer transferencias de fondos, sobre las estafas BEC. Consultar con un profesional de Sistemas de Información y tomar los siguientes pasos recomendados por el FBI: oCrear reglas de sistema para la detección de filtración que alerte a correos electrónicos similares al de la compañía. Por ejemplo: un email de la compañía abc_compañia.com alertaría a un email de abc-compañía.com. Crear una regla de correo electrónico que alerte de comunicaciones en la cual el correo electrónico para responder es diferente al correo electrónico inicial. Correos electrónicos de empleados o cuentas internas son de un color y correos electrónicos de cuentas externas son de otro. Si ocurre un incidente de BEC, notifique al IRS. Reporte una queja al Centro de quejas de crímenes de interne(IC3) (en inglés) del FBI. cumbre de seguridad Cumbre de Seguridad Todos tenemos un papel que desempeñar. Aprenda más