IRS insta precaución con correos electrónicos, redes sociales y teléfonos como parte de la serie “Docena Sucia”

IR-2021-137SP, 29 de junio de 2021

WASHINGTON — El Servicio de Impuestos Internos continúa hoy su serie de estafas tributarias la "Docena Sucia" con una advertencia a los contribuyentes para que estén atentos a esquemas inesperados en forma de correos electrónicos, mensajes de texto o redes sociales y llamadas telefónicas.

Individuos sin escrúpulos buscan obtener información personal con el propósito de robo de identidad relacionado con impuestos. Ya sea a través de una llamada telefónica, mensaje de texto o correo electrónico, el estafador intenta convencer al destinatario de que necesita proporcionar números de Seguro Social, información de cuentas bancarias o tarjetas de crédito o contraseñas. La estafa también puede incluir el envío de enlaces que una vez que se opriman pueden descargar software malicioso que recopila, o "mina" datos personales.

A menudo, los criminales se hacen pasar por alguien que el destinatario conoce o interactúa con frecuencia, ya sea una relación social o familiar o un contacto comercial. Recopilan gran parte de esta información en las redes sociales. Los contactos o "amigos" de una persona se usan para engañar al destinatario haciéndole creer que está tratando con alguien conocido.

Puede encontrar más información acerca de la lista "Docena sucia" del IRS en una sección especial de IRS.gov.

Persisten estafas de phishing relacionadas con impuestos

El IRS advierte a los contribuyentes, empresas y profesionales de impuestos que estén alerta por un aumento continuo de correos electrónicos falsos, mensajes de texto, sitios web e intentos de redes sociales de robar información personal. Estos ataques tienden a aumentar durante la temporada de impuestos y siguen siendo una de las principales causas de robo de identidad durante todo el año.

Estafas de phishing se dirigen a individuos con comunicaciones que parecen provenir de fuentes legítimas para recopilar datos personales y financieros de las víctimas y potencialmente infectar sus dispositivos mediante convencer al objetivo de descargar programas maliciosos. Los ciberdelincuentes generalmente envían estas comunicaciones de phishing por correo electrónico, pero también pueden usar mensajes de texto o publicaciones en redes sociales o mensajes.

Estos esquemas de phishing pueden ser complicados e inteligentemente disfrazados para parecer que son del IRS o de otros en la comunidad tributaria. Se les recuerda a los contribuyentes que estén continuamente atentos a los correos electrónicos y otras estafas que se hacen pasar por el IRS, como aquellos que prometen un reembolso inflado, pago de estímulo no recibido o incluso emiten una amenaza. Las personas no deben abrir archivos adjuntos u oprimir en enlaces en esos correos electrónicos o mensajes de texto.

Esquemas dirigidos a profesionales de impuestos

Como parte del esfuerzo de la Cumbre de Seguridad, el IRS advierte a los profesionales de impuestos de estafas de phishing que implican la verificación de números de identificación de archivos de presentación electrónica (EFIN) y números de archivo de autorización centralizada (CAF). La agencia ha visto un aumento en este tipo de estafas, junto con ofertas para comprar y vender EFINs y CAFs.

Los profesionales de impuestos han reportado recibir correos electrónicos fraudulentos de la ficticia "Presentación electrónica de impuestos del IRS (en inglés)" y el IRS les recuerda a los profesionales de impuestos que reciben esos correos electrónicos que no abran ningún archivo adjunto u opriman en ningún enlace. Más bien, deben reportar la estafa al Inspector General del Tesoro para la Administración Tributaria (en inglés).

El IRS les recuerda a los profesionales de impuestos que se protejan contra el uso no autorizado de un EFIN. Los profesionales de impuestos no deben transferir su EFIN o ETIN por venta, fusión, préstamo, regalo o de otro tipo a otra entidad.

Phishing –estafas de "clientes nuevos" dirigidas a profesionales de impuestos

La estafa del "Cliente nuevo" sigue siendo una forma prevalente de phishing para los profesionales de impuestos. Este es un ejemplo en forma de correo electrónico: "Acabo de mudarme aquí desde Michigan. Tengo un problema tributario urgente y esperaba que pudiera ayudar", comienza el correo electrónico. "Espero que esté aceptando clientes nuevos."

El correo electrónico dice que un archivo adjunto es un aviso del IRS y el otro archivo adjunto es la declaración de impuestos del cliente potencial del año anterior. Esta estafa tiene muchas variaciones por lo que los profesionales de impuestos deben ser cautelosos y evitar abrir archivos adjuntos u oprimir en enlaces cuando no conocen el remitente de correo electrónico.

Estar en alerta puede ayudar. A continuación, se muestra un ejemplo real reciente de otro nuevo correo electrónico de estafa del cliente nuevo (en inglés):

Sample of an phishing scam email regarding tax preparation that was sent to an accountant to request that they take on the sender as a client because their tax preparer is retiring.

Llamadas telefónicas de suplantación/vishing

Los individuos deben tener cuidado con las llamadas telefónicas inesperadas que piden información financiera personal. El IRS ha visto un aumento en el phishing relacionado con la voz, o vishing, particularmente de estafas relacionadas con gravámenes de impuestos federales. Para aquellos que reciben llamadas telefónicas repentinas, los expertos en seguridad recomiendan hacer preguntas a la persona que llama, pero no proporcionar ninguna información personal. En caso de duda, cuelgue inmediatamente.

Durante 2020, se reportaron casi 400 estafas de vishing, un 14% más que el año anterior. De esas estafas de vishing, el 25% eran estafadores que trataron de usar información falsa de un gravamen de impuestos. El número de estafas relacionadas con gravámenes de impuestos aumentó de 58 en 2019 a 104 en 2020, un aumento del 79%. El IRS insta a los contribuyentes a abstenerse de involucrarse con posibles estafadores en el teléfono o en línea.

Mientras que tanto el IRS como la Comisión Federal de Comercio han visto una disminución en el número de informes de estafadores que reclaman ser del IRS llamando a víctimas potenciales, la agencia insta a los contribuyentes a ser cautelosos. (El IRS ha visto una disminución del 43 % en el número de informes de llamadas de personas que dicen ser del IRS: 20,500 en 2020 en comparación con 36,000 en 2019. La FTC experimentó un descenso del 67%, de 7,694 informes en 2019 a 2,571 en 2020.)

Mientras que los números pueden estar en descenso, el IRS insta a los contribuyentes a permanecer vigilantes y a recordar lo siguiente sobre el IRS:

  • El IRS generalmente se comunica primero con las personas por correo - no por teléfono – acerca de impuestos no pagados.
  • El IRS puede intentar comunicarse con individuos por teléfono, pero no insistirá en el pago a través de una tarjeta de iTunes, tarjeta de regalo, tarjeta de débito prepagada, giro postal o transferencia bancaria.
  • El IRS nunca solicitará información personal o financiera por correo electrónico, texto o redes sociales.

Los recipientes de estas llamadas deben colgar antes de dar cualquier información. Si alguien recibe una llamada inesperada del IRS que cree que es una estafa, puede reportarla al Inspector General del Tesoro para la Administración Tributaria (TIGTA) (en inglés).

Continúan las estafas en las redes sociales

Los contribuyentes deben estar conscientes de las estafas en las redes sociales, que con frecuencia usan eventos como COVID-19 para tratar de engañar a la gente. Las redes sociales permiten a individuos sin escrúpulos espiar en las cuentas y extraer información personal para usar contra la víctima. Estos estafadores pueden enviar correos electrónicos haciéndose pasar por la familia, amigos o compañeros de trabajo de la víctima.

Las estafas en las redes sociales también han llegado al robo de identidad relacionado con los impuestos. El elemento básico de las estafas en las redes sociales es convencer a una víctima potencial de que está tratando con una persona cercana a ellos en la que confían a través de correo electrónico, texto o mensajes en las redes sociales.

Al usar información personal, un estafador puede enviar un correo electrónico a una víctima potencial e incluir un enlace a algo de interés para el destinatario, pero que contiene programa maligno destinado a cometer más delitos. Los estafadores también se infiltran en los correos electrónicos y teléfonos celulares de su víctima para ir tras sus amigos y familiares con correos electrónicos falsos que parecen ser reales, y mensajes de texto solicitando, por ejemplo, pequeñas donaciones a organizaciones benéficas falsas que están apelando a las víctimas.

Las personas deben saber que cualquier información suya que se comparte públicamente en las plataformas de redes sociales se puede recopilar y usar en su contra. Una manera de eludir estas estafas es revisar la configuración de privacidad y limitar los datos que se comparten públicamente.

Ransomware en aumento

Las instituciones financieras deben estar conscientes de las tendencias e indicadores de ransomware, que es una forma de software malicioso ("programa maligno") diseñado para bloquear el acceso a un sistema informático o datos. El acceso a menudo se bloquea mediante el cifrado de datos o programas en sistemas de tecnología de información (IT) para extorsionar pagos de rescate de las víctimas a cambio de descifrar la información y restaurar el acceso de las víctimas a sus sistemas o datos. En algunos casos, además del ataque, los perpetradores amenazan con publicar archivos sensibles pertenecientes a las víctimas, que pueden ser individuos o entidades empresariales.

La Red de Cumplimiento de Delitos Financieros del Tesoro de los Estados Unidos (FINCEN), ha señalado que los ataques de ransomware siguen aumentando en varios sectores, particularmente en todas las entidades gubernamentales, así como en las instituciones financieras, educativas y de salud. Los ataques ransomware a pequeños municipios y organizaciones de salud han aumentado, probablemente debido a los controles de ciberseguridad más débiles de las víctimas, tales como copias de seguridad inadecuadas del sistema y capacidades de respuesta a incidentes ineficaces.

Tácticas

Los ciberdelincuentes que usan ransomware a menudo recurren a tácticas comunes, tales como phishing a gran escala y campañas dirigidas a tipos de phishing que inducen a las víctimas a descargar un archivo malicioso o ir a un sitio malicioso. También pueden explotar los puntos remotos de conexión de protocolo de computadoras de escritorio y vulnerabilidades de software o implementar ataques de programa maligno accionados que alojan código malicioso en sitios web legítimos. La prevención proactiva a través de una higiene cibernética eficaz, controles de ciberseguridad y otras mejores prácticas son a menudo la mejor defensa contra ransomware.

Los perpetradores de ransomware participan cada vez más en la segmentación selectiva de las empresas más grandes para exigir pagos más grandes - comúnmente conocido como "caza mayor." Muchos ciberdelincuentes están compartiendo recursos para mejorar la eficacia de los ataques ransomware, como "kits" de explotación de ransomware que vienen con códigos maliciosos ya hechos y herramientas. Estos "kits" se pueden comprar, aunque también se ofrecen de forma gratuita.

Algunos grupos de ransomware también forman asociaciones para compartir consejos, código, tendencias, técnicas e información obtenida ilegalmente a través de plataformas compartidas.

Los criminales de ransomware también participan cada vez más en "esquemas de doble extorsión", que implican la eliminación de datos sensibles de las redes dirigidas, el cifrado de los archivos del sistema y la exigencia de rescate.

Las consecuencias de un ataque ransomware pueden ser graves y de largo alcance, con pérdidas de información sensible, propietaria y crítica y pérdida de funcionalidad del negocio. El papel de los intermediarios financieros en la facilitación de pagos de ransomware y ataques de ransomware son una preocupación creciente para el sector financiero debido al papel crítico que juegan las instituciones financieras en la recopilación de pagos de rescate.

El IRS les recuerda a los contribuyentes y profesionales de impuestos que se mantengan al tanto de las noticias acerca del comportamiento relacionado con el fraude. Informe cualquier caso de fraude inmediatamente.

Para obtener más información, visite Alerta sobre el fraude tributario y Las estafas tributarias – Cómo denunciarlas.