No muerda el anzuelo, 9no paso: Haga de la seguridad de datos una prioridad

Aviso: Contenido Histórico


Este es un documento de archivo o histórico y puede no reflejar la ley, las políticas o los procedimientos actuales.

IR-2017-144SP, 5 de septiembre de 2017

WASHINGTON — El IRS, las agencias tributarias estatales y la industria tributaria instaron hoy a los profesionales de impuestos a hacer de la seguridad de datos una prioridad cotidiana, señalando que algunos pasos simples pueden ir muy lejos en la protección de la información de los contribuyentes contra los criminales cibernéticos.

Los expertos en seguridad cibernética a menudo se refieren a la regla 90/10. El diez por ciento de la seguridad cibernética se debe a la tecnología; el 90 por ciento corresponde a los usuarios. El IRS actualmente recibe informes de filtraciones de datos a profesionales de impuestos a razón de tres a cinco a la semana, un nivel insostenible que requiere atención inmediata.

Hacer de la seguridad diaria una prioridad es parte de la campaña "No muerda el anzuelo," dirigida a los profesionales de impuestos. El IRS, las agencias tributarias estatales y la industria tributaria, trabajando en conjunto como la Cumbre de Seguridad, instan a los profesionales a trabajar para proteger a sus clientes y a sí mismos de las amenazas de seguridad cibernética. Esto es parte del esfuerzo Proteja a sus clientes; protéjase a sí mismo

“Los profesionales de impuestos no deben ignorar la importancia de proteger sus sistemas e información,” dijo John Koskinen, Comisionado del IRS. “Con más frecuencia, los criminales cibernéticos se dirigen a la comunidad tributaria, y los profesionales de impuestos juegan una función crítica en la protección de los datos de sus clientes, así como los suyos. Tomar ciertos pasos puede ayudar a los profesionales de impuestos a evitar una situación devastadora para su negocio y los contribuyentes a quienes sirven.”

La seguridad de los datos dentro de la oficina de un profesional de impuestos es tan fuerte como el empleado menos informado y consciente. Y, la conciencia de seguridad debe extenderse más allá de la oficina y hogares. El IRS está consciente de que al menos una filtración de datos en la oficina de un preparador de impuestos comenzó en el hogar de un empleado que trabaja remoto.

Los profesionales de impuestos, al igual que los socios de la Cumbre de Seguridad, se han dado a la tarea de parear mentalidad y destrezas con sindicatos criminales altamente sofisticados, bien financiados y tecnológicamente competentes de los Estados Unidos y del mundo entero. Cualquier persona que maneje información de contribuyentes tiene una obligación legal bajo ley federal de proteger esa información contra la divulgación no autorizada, el deshecho incorrecto y el robo.

Los profesionales de impuestos deben educar continuamente a sus empleados para combatir amenazas diarias que incluyen correos electrónicos de phishing, el robo de identidad comercial, las apropiaciones de cuentas, los ataques de ransomware, las apropiaciones remotas, los correos electrónicos comerciales comprometidos y los robos de Números de Identificación de Presentación Electrónica (EFINs).

Proteja a sus clientes y negocio al hacer de la seguridad de datos una prioridad diaria

Los profesionales también deben revisar la Guía para Pequeños Negocios del NIST (en inglés) PDF para no solo aprender los pasos tecnológicos que deben tomar, sino los pasos diarios deben tomar los empleados. Desde el 2001, el Instituto Nacional de Estándares y Tecnología (NIST), una división del Departamento de Comercio de los EE. UU., ayuda a los pequeños negocios con seguridad de información. El NIST también tiene recomendaciones acerca de las actividades diarias que los profesionales y sus empleados pueden seguir para ayudar a mantener su negocio seguro y que incluyen:

  • Tenga cuidado con archivos y enlaces web adjuntos en correos electrónicos 
    • No haga clic en un enlace o abra un archivo adjunto que no esperaba. Si parece importante, llame al remitente para verificar que envió el correo electrónico y pídale que describa el archivo o enlace adjunto. Antes de hacer clic en un enlace (en un correo electrónico o en redes sociales, mensajes instantáneos, otras páginas web u otros medios), pase el cursor sobre ese enlace para ver la dirección web real a la que lo llevará (se muestra normalmente en la parte inferior de la ventana del navegador). Adiestre a los empleados a reconocer los intentos de phishing y a quién notificar en caso de que ocurra uno.
  • Use computadoras, dispositivos móviles y cuentas separadas para su negocio y hogar.  
    • Tanto como sea posible, tenga dispositivos y cuentas de correo electrónico separadas para uso personal y de negocios. Esto es especialmente importante si otras personas como los niños usan sus dispositivos personales. No realice actividades de negocio o delicadas (por ejemplo, actividades bancarias en línea) en una computadora o dispositivo personal y no realice actividades como navegación por internet, juegos, descarga de vídeos, etc., en ordenadores o dispositivos empresariales. No envíe información comercial confidencial a su dirección personal de email.
  • No conecte dispositivos de almacenamiento o hardware personales o no confiables a su computadora, dispositivo móvil o red.
    • No comparta unidades USB o discos duros externos entre computadoras o dispositivos personales y de negocios. No conecte ningún hardware desconocido o no confiable a su sistema o red y no inserte ningún CD, DVD o unidad USB desconocida. Desactive la función AutoRun para los puertos USB y las unidades ópticas, como las de CD y DVD de sus equipos empresariales, para evitar que estos programas maliciosos se instalen en sus sistemas.
  • Tenga cuidado al descargar software 
    • No descargue software de una página web desconocida. Tenga mucho cuidado si decide descargar y usar freeware o shareware.
  • Tenga precaución al proveer información personal o de negocios
    • La ingeniería social es un intento de obtener acceso físico o electrónico a la información de su empresa al manipular a las personas. Un tipo de ataque muy común involucra a una persona, sitio web o correo electrónico que pretende ser algo que no es. Un ingeniero social investigará su negocio para aprender nombres, títulos, responsabilidades y cualquier información personal que pueda encontrar. Posteriormente, el ingeniero social normalmente llama o envía un correo electrónico con una historia creíble, pero inventada, diseñada para convencer a la persona a darles cierta información.
    • Nunca responda a una llamada telefónica no solicitada de una compañía que no reconoce y que solicita información confidencial personal o comercial. Los empleados deben notificar a su gerencia cuando hay un intento o una petición de información confidencial del negocio.
    • Nunca provea su nombre de usuario o contraseña. Ninguna compañía debe pedir esta información. También tenga cuidado de gente que le pregunte qué tipo de sistema operativo o navegador de internet usa, qué marca de firewall tiene, o qué aplicaciones tiene instaladas. Esta es toda la información que puede facilitarle el acceso a un hacker a su sistema.
  • Vigile las ventanas emergentes (pop-ups) dañinas
    • Cuando esté conectado y usando el internet, no responda a las ventanas emergentes que solicitan que haga clic en "Aceptar" para cualquier cosa. Use un bloqueador de ventanas emergentes y solo permítalas en sitios web de confianza.
  • Use contraseñas seguras
    • Las contraseñas adecuadas consisten de una secuencia aleatoria de letras (mayúsculas y minúsculas), números y caracteres especiales y tienen al menos 12 caracteres. Para sistemas o aplicaciones que tienen información importante, utilice múltiples formas de identificación (denominadas autenticación "multi-factor" o de "doble factor").
    • Muchos dispositivos vienen con contraseñas de fábrica. Éstas deben cambiarse inmediatamente al instalar y luego, periódicamente. Las contraseñas predeterminadas son fácilmente encontradas o conocidas por los hackers y se pueden usar para acceder al dispositivo. El manual o aquellos que instalan el sistema deben poder mostrarle cómo cambiarlas.
    • Las contraseñas deben cambiarse al menos cada tres meses.
    • Las contraseñas a dispositivos y aplicaciones que tratan con información de negocios no deben reusarse.
    • Es posible que desee considerar el uso de una aplicación de administración de contraseñas para almacenar las mismas.
  • Realice negocios en línea de forma más segura 
    • Negocio/comercio/banca en línea solo debe hacerse mediante una conexión segura de navegador. Esto normalmente se indica mediante un pequeño candado visible en la esquina inferior derecha o superior izquierda de la ventana del navegador de la web.
    • Periódicamente, borre el caché, archivos temporales de internet, cookies e historial del navegador de web. Asegúrese de borrar estos datos después de usar cualquier computadora pública y después de cualquier sesión de comercio o banca en línea. Esto evita que información importante sea robada si su sistema está comprometido. Esto también ayudará a que su sistema funcione más rápido. Normalmente, esto se hace en el menú de "privacidad" o "seguridad” del navegador de la web. Revise el manual de ayuda de su navegador para obtener orientación.

Cumbre de seguridad

Cumbre de Seguridad

Todos tenemos un papel que desempeñar.