IR-2018-8SP, 17 de enero de 2018 WASHINGTON – El Servicio de Impuestos Internos, las agencias tributarias estatales y la industria de impuestos exhortaron hoy a todos los empleadores a educar a su personal de nómina sobre una estafa de phishing de Formulario W-2 que el año pasado convirtió en víctimas a cientos de organizaciones y miles de empleados. La estafa del Formulario W-2 se ha convertido en uno de los correos electrónicos de phishing más peligrosos en la comunidad tributaria. Durante las dos últimas temporadas de impuestos, los delincuentes cibernéticos engañaron al personal de nómina o a las personas que tenían acceso a información sobre nómina para que revelaran información confidencial para toda la fuerza laboral. La estafa afectó a todo tipo de empleadores, desde pequeñas y grandes empresas hasta escuelas públicas y universidades, hospitales, gobiernos tribales y organizaciones benéficas. Los reportes a phishing@irs.gov de víctimas y no víctimas acerca de esta estafa aumentaron a aproximadamente 900 en 2017, en comparación con un poco más de 100 en 2016. El año pasado, más de 200 empleadores fueron víctimas, lo que se tradujo en cientos de miles de identidades comprometidas. Al alertar a los empleadores ahora, el IRS y sus socios en el esfuerzo de la Cumbre de Seguridad esperan limitar el éxito de esta estafa en 2018. El año pasado, el IRS también creó un nuevo proceso por el cual los empleadores deberían reportar estas estafas. Hay pasos que el IRS puede tomar para proteger a los empleados, pero solo si los empleadores notifican inmediatamente a la agencia sobre el robo. Así es como funciona la estafa: los delincuentes cibernéticos hacen su tarea, identificando a los directores de operaciones, a los ejecutivos de la escuela u otras personas en puestos de autoridad. Usan una técnica conocida como compromiso de correo electrónico comercial (BEC) o suplantación de correo electrónico comercial (BES), los estafadores que se hacen pasar por ejecutivos envían correos electrónicos al personal de nómina solicitando copias de los formularios W-2 para todos los empleados. El Formulario W-2 contiene el nombre, dirección, número de seguro social, ingresos y retenciones del empleado. Los delincuentes usan esa información para presentar declaraciones de impuestos fraudulentas, o la publican para su venta en la red oscura (Dark Web). El correo electrónico inicial puede ser un intercambio amistoso, "hola, estás trabajando hoy" antes de que el estafador solicite toda la información del Formulario W-2. En varios casos reportados, después de que los estafadores adquirieron la información de la fuerza de trabajo, siguieron inmediatamente la estafa con una solicitud de transferencia bancaria. Además de educar al personal de nómina o finanzas, el IRS y los socios de la Cumbre de Seguridad también instan a los empleadores a considerar la creación de una política para limitar el número de empleados con autoridad para manejar solicitudes de Formulario W-2 y que requieren procedimientos de verificación adicionales para validar la solicitud real antes de enviar por correo electrónico datos confidenciales, como el Formulario W-2 del empleado. Si la empresa u organización afectada por estos ataques notifica al IRS, el IRS puede tomar medidas para ayudar a evitar que los empleados sean víctimas del robo de identidad relacionado con impuestos. Sin embargo, debido a la naturaleza de estas estafas, algunas empresas y organizaciones no se dieron cuenta durante días, semanas o meses de que habían sido estafados. El IRS estableció una dirección especial de notificación por correo electrónico específicamente para que los empleadores reporten robos de datos del Formulario W-2. A continuación se detalla cómo las víctimas de estafa de Formulario W-2 pueden notificar al IRS: Envíe un correo electrónico a dataloss@irs.gov para notificar al IRS sobre la pérdida de datos del Formulario W-2 y brinde información de contacto, tal como se detalla a continuación. En la línea de asunto, escriba "W2 Data Loss" para que el correo electrónico se pueda enrutar correctamente. No adjunte ningún dato de información de identificación personal del empleado. Incluya lo siguiente: Nombre del negocio Número de identificación comercial del empleador (EIN) asociado con la pérdida de datos Nombre de contacto Teléfono de contacto Resumen de cómo ocurrió la pérdida de datos Número de empleados afectados Las empresas y organizaciones que sean víctimas de la estafa y/o las organizaciones que solo reciban un correo electrónico sospechoso pero que no sean víctimas de estafa deberán enviar los encabezados completos de correo electrónico a phishing@irs.gov y usar "Fraude de Formulario W-2" en el asunto. Los empleadores pueden obtener más información en Robo de Datos de Formulario W-2/SSN: Información para empresas y proveedores de servicios de nómina, en inglés. Los empleadores deben estar conscientes de que las estafas de los delincuentes cibernéticos evolucionan constantemente. El personal de finanzas y nómina debe estar atento a cualquier solicitud inusual de datos de empleados.