Semana nacional de la pequeña empresa: IRS pide a empresarios que tomen precauciones con seguridad de datos; protejan negocios, empleados y clientes

IR-2024-128SP, 1ro de mayo de 2024

WASHINGTON — A medida que continúa la Semana nacional de la pequeña empresa, el Servicio de Impuestos Internos insta a los empresarios a implementar medidas de seguridad de datos que protejan su información financiera, personal y de empleados de estafas y cibercriminales que buscan blancos fáciles.

El IRS continúa viendo casos en los que las pequeñas empresas y otras personas enfrentan una variedad de fraudes relacionados con el robo de identidad y financiero que intentan obtener información que puede usarse para presentar declaraciones de impuestos comerciales falsas, robar cuentas bancarias comerciales y crear identidades robadas.

Por ejemplo, las estafas de "phishing" y "spearphishing" continúan enfocándose en pequeñas empresas, así como profesionales de impuestos y contribuyentes individuales. Las pequeñas empresas continúan siendo objetivos de estafas de Formulario W-2 donde los ladrones de identidad intentan engañar a los líderes de la empresa para que compartan datos confidenciales.

"Cada año, el IRS ve miles de intentos de atacar a los dueños de pequeñas empresas y otros contribuyentes. Quienes son víctimas de estos fraudes pueden ver consecuencias financieras graves", dijo el Comisionado del IRS, Danny Werfel. "Los cibercriminales son incansables y cualquiera puede ser un blanco. La mejor manera de que los dueños de negocios y los individuos se protejan es mantenerse bien informados sobre las estafas más recientes, proteger continuamente sus computadoras y teléfonos inteligentes e instalar seguridad de datos en casa y en el negocio para proteger la información confidencial”.

Los cibercriminales nunca duermen

El robo de datos y los ciberataques son amenazas globales que pueden usar estafas y fraudes para victimizar a individuos y pequeñas empresas en cualquier momento del día o la noche. Los cibercriminales son expertos en cubrir sus huellas y pueden esconderse en cualquier parte del mundo.

Usan patrones de comportamiento humano y sistemas informáticos para robar información financiera y personal y capturar víctimas. Si las pequeñas empresas no protegen adecuadamente sus sistemas informáticos y no capacitan a su personal en prácticas inteligentes de protección de datos, los dueños se convierten en blancos fáciles para los delincuentes que buscan ingresar a cuentas bancarias, robar identidades u obtener acceso a otra información financiera o personal confidencial.

El IRS insta a la comunidad de pequeñas empresas a estar alerta contra el cibercrimen y a comprender la importancia de proteger los datos comerciales contra el robo de identidad. Deben emplear herramientas y servicios tecnológicos robustos para proteger rigurosamente la información financiera y comercial, así como proteger los datos directamente conectados con clientes, empleados y socios comerciales.

Los cibercriminales están constantemente buscando debilidades para explotar. Al implementar medidas básicas de ciberseguridad y capacitar a los empleados, los dueños de pequeñas empresas pueden reducir significativamente el riesgo de un ataque costoso. Estos ataques pueden apuntar a los datos más valiosos de una empresa, incluyendo:

  • Información de tarjetas de crédito y pagos. Una filtración de datos puede dañar la reputación de una empresa y dejar a los dueños responsables de cargos fraudulentos.
  • Identidades comerciales y de empleados. La información robada se puede usar para una variedad de delitos, incluido el robo de identidad y el fraude.
  • Información tributaria y financiera. Los piratas informáticos pueden usar esta información para presentar declaraciones de impuestos fraudulentas, lo que le costará al propietario del negocio tiempo y dinero para resolverlo.

Tomar medidas básicas de ciberseguridad temprano y permanecer vigilante, armado con información sobre las estafas más recientes, ayudará a proteger las inversiones comerciales de los empresarios, clientes y empleados.

Cómo los estafadores apuntan a las víctimas: estafas, estafas y más estafas

Los estafadores y cibercriminales son manipuladores astutos del comportamiento humano. Usan el deseo natural de una posible víctima de interactuar y comunicarse socialmente con otros como una puerta abierta para intentar el robo de datos e identidad. Usando tecnologías comunes como el correo electrónico, los mensajes de texto y las redes sociales, los estafadores van de "phishing" enviando mensajes a miles de objetivos a la vez que están diseñados para robar información personal directamente, o haciendo que la víctima haga clic en un enlace o adjunto incrustado.

Usar el correo electrónico como un método para manipular el comportamiento a través del "phishing" sigue siendo una táctica atemporal de los ladrones que buscan posibles víctimas. Las pequeñas empresas deben permanecer atentas contra las estafas de "phishing" relacionadas con impuestos por correo electrónico, que a menudo pueden estar escritas de manera ingeniosa para engañar a los empleados a abrir enlaces o archivos adjuntos dañinos incrustados. Se recomienda a las pequeñas empresas y los consumidores a enviar estafas relacionadas con el IRS a phishing@irs.gov.

Un ejemplo de esto es el fraude de robo de Formulario W-2. Si bien las versiones de estas estafas evolucionan y cambian con el tiempo, en la versión más común, un ladrón se hace pasar por un alto ejecutivo de la empresa que envía correos electrónicos a los empleados de nómina y solicita una lista de empleados y sus W-2, que contienen datos tributarios y financieros confidenciales. A medida que estas estafas se vuelven más sofisticadas, es posible que las pequeñas empresas no se den cuenta de que han sido víctimas de una estafa tributaria hasta que aparezcan declaraciones de impuestos fraudulentas con los nombres de los empleados.

Existen procedimientos especiales de informes para los empleadores que experimentan la estafa de W-2. Visite la sección de negocios de la página central de robo de identidad (en inglés) para obtener información adicional.

La Docena Sucia

El IRS publica anualmente la Docena Sucia, una lista de estafas y fraudes prevalentes que amenazan a las pequeñas empresas y otros contribuyentes. Estas amenazas incluyen promotores sin escrúpulos y agresivos de reclamaciones cuestionables del Crédito por retención de empleados (ERC).

Estas reclamaciones cuestionables del ERC a menudo ponen a las empresas y otras entidades desprevenidas en riesgo de multas, intereses e incluso un posible procesamiento penal por reclamar el ERC cuando no califican y no tienen derecho a él.

La Docena Sucia también proporciona información acerca de qué hacer si un individuo o propietario de una pequeña empresa sospecha que puede ser una posible víctima. Por ejemplo, las empresas aún tienen la opción de retirar cualquier reclamación cuestionable de ERC no procesada y deben buscar rápidamente el proceso de retiro de reclamaciones (en inglés) para cualquier período tributario que aún no se haya pagado.

Los dueños de negocios pueden usar la Docena Sucia como un punto de partida para su propia investigación sobre estafas populares de otras fuentes confiables.

Una de las estafas más graves reportadas por la Docena Sucia que actualmente impacta a las pequeñas empresas es la estafa de "spearphishing" de "nuevo cliente". El spearphishing apunta a individuos, organizaciones o empresas específicas con correos electrónicos o mensajes de texto maliciosos.

En la estafa de "nuevo cliente", los cibercriminales se presentan como un nuevo cliente potencial a un conocido profesional de impuestos o propietario de negocio, pidiéndoles que respondan a sus correos electrónicos. Si el preparador o propietario de negocio ingenuo responde, el criminal entonces envía un archivo adjunto malicioso o una dirección web que puede comprometer los sistemas informáticos de la víctima y permite al atacante acceder a información confidencial del cliente y financiera. Aquí hay algunas señales de alerta de las que hay que cuidarse:

  • Rarezas gramaticales. Los correos electrónicos mal escritos con elecciones de palabras inusuales son una señal de alerta grave.
  • Solicitudes sospechosas. Los dueños de negocios siempre deben desconfiar de cualquier solicitud inusual o compartir información antes de verificar la legitimidad del remitente.
  • Correos electrónicos falsos. Los estafadores pueden imitar correos electrónicos de clientes anteriores, haciéndolos parecer genuinos. No se deje engañar: verifique de forma independiente la dirección del remitente.

Al mantenerse alerta y comprender estas tácticas, los dueños de pequeñas empresas pueden protegerse a sí mismos y a sus clientes de caer víctimas de la estafa de "nuevo cliente". Siempre es mejor ser cauteloso que comprometido.

No sea un blanco fácil, aprenda los conceptos básicos de la ciberseguridad

Se recomienda a los dueños de pequeñas empresas a aprender todo lo posible sobre las mejores prácticas de ciberseguridad, incluso cuando la protección de la tecnología de la información del día a día se subcontrata. El IRS recomienda que los dueños de negocios implementen las mejores prácticas publicadas por la Comisión Federal de Comercio de EE. UU. Muchos serán hábitos y técnicas de sentido común familiares, pero no los dé por sentados. Lo que funciona en casa, también funciona para las empresas.

Proteja los archivos y dispositivos comerciales:

  • Actualice el software. Esto incluye aplicaciones, navegadores web y sistemas operativos de computadora. Configure las actualizaciones para que ocurran automáticamente.
  • Asegure los archivos comerciales. Respalde los archivos importantes fuera de línea, en una unidad de disco duro externa o en la nube. Asegúrese también de almacenar los archivos en papel de forma segura.
  • Requiera contraseñas. Use contraseñas para todas las computadoras portátiles, tabletas y teléfonos inteligentes. No deje estos dispositivos desatendidos en lugares públicos.
  • Cifre los dispositivos. Cifre los dispositivos y otros medios que contengan información personal sensible. Esto incluye computadoras portátiles, tabletas, teléfonos inteligentes, unidades extraíbles, cintas de respaldo y soluciones de almacenamiento en la nube.
  • Use autenticación multifactor. Requiera autenticación multifactor para acceder a áreas de su red con información sensible. Esto requiere pasos adicionales más allá de iniciar sesión con una contraseña, como un código temporal en un teléfono inteligente o una llave que se inserta en una computadora.

Proteja la red inalámbrica comercial:

  • Asegure el router comercial. Cambie el nombre y la contraseña predeterminada, desactive la administración remota y cierre la sesión como administrador una vez que se haya configurado el router.
  • Use al menos el cifrado WPA2. Asegúrese de que el router ofrezca cifrado WPA2 o WPA3 y que la configuración de cifrado esté activada. El cifrado protege la información enviada a través de la red para que no pueda ser leída por personas externas.

Convierta la seguridad inteligente en "rutina empresarial":

  • Requiera contraseñas seguras. Una contraseña segura tiene al menos 12 caracteres que son una combinación de números, símbolos y letras mayúsculas y minúsculas. Nunca reúse las contraseñas y no las comparta por teléfono, mensajes de texto o correo electrónico. Limite el número de intentos fallidos de inicio de sesión para limitar los ataques de adivinanza de contraseñas.
  • Capacite al personal. Cree una cultura de seguridad implementando un programa regular de capacitación para empleados. Manténgase informado sobre los últimos riesgos y vulnerabilidades de seguridad de datos, y mantenga informados a los empleados. Considere bloquear el acceso a la red a los empleados que ignoren las medidas y la capacitación de seguridad de datos.
  • Tenga un plan. Tenga un plan para guardar datos, operar el negocio y notificar a los clientes si hay una filtración de datos. La Guía de respuesta a filtraciones de datos (en inglés) de la FTC para empresas proporciona los pasos que un propietario de negocio puede tomar en caso de una filtración cibernética.

Hay más información acerca de cómo los dueños de negocios pueden proteger sus inversiones, clientes y empleados de los cibercriminales disponible en Ciberseguridad para pequeños negocios de la FTC.

Qué hacer si una pequeña empresa es víctima de robo de identidad

El IRS también ha publicado el Formulario 14039-B, Declaración jurada de robo de identidad comercial (en inglés) PDF que permite a las pequeñas empresas denunciar de manera proactiva un posible robo de identidad al IRS cuando, por ejemplo, se rechaza una declaración de impuestos presentada electrónicamente. Las pequeñas empresas deben presentar el Formulario 14039-B si reciben:

  • Un aviso de rechazo para una declaración presentada electrónicamente porque ya hay una declaración en el archivo para ese mismo período.
  • Un aviso sobre una declaración de impuestos que la entidad no presentó
  • Un aviso sobre formularios W-2 presentados ante la Administración del Seguro Social que la entidad no presentó.
  • Un aviso de un saldo adeudado que no se debe.

Si un propietario de pequeña empresa ha sido objeto de fraude tributario, el IRS ofrece el Formulario 14039-B para ayudar a resolver el problema rápidamente. Este formulario permite al IRS agilizar la comunicación y trabajar más rápido para solucionar el problema. Sin embargo, las pequeñas empresas no deben usar el Formulario 14039-B si son víctimas de una violación de datos sin impacto relacionado con impuestos. Consulte la sección de negocios del sección acerca de negocios del Centro informativo sobre el robo de identidad para más detalles.

El IRS también insta a los dueños de pequeñas empresas a mantener actualizada la información de la solicitud de Número de Identificación de Empleador (EIN). Los cambios de dirección o parte responsable se pueden denunciar a través del Formulario 8822-B, Cambio de dirección o parte responsable - Negocio (en inglés). Los cambios en la parte responsable deben ser reportados al IRS dentro de los 60 días. La información actualizada puede ayudar al IRS a encontrar un punto de contacto para resolver el robo de identidad y otros problemas.

Denunciar spearphishing y otras estafas

Los dueños de negocios deben denunciar las estafas de inmediato enviando el correo electrónico sospechoso o una copia del mensaje de texto como un archivo adjunto a phishing@irs.gov. El reporte debe incluir la dirección de correo electrónico del remitente, el número de teléfono del que llama, la fecha, la hora y el número de teléfono o la dirección de correo electrónico que recibió el mensaje.

La página Denunciar la pesca de información y las estafas en línea en IRS.gov proporciona más información sobre lo que debe buscar y cómo denunciar el phishing y las estafas.

Los contribuyentes también pueden denunciar estafas al Inspector General del Tesoro para la Administración Tributaria (TIGTA) (en inglés) o al Centro de reclamaciones de delitos cibernéticos (en inglés). Otra herramienta útil es el Verificador de seguridad de teléfonos inteligentes (en inglés) de la Comisión Federal de Comunicaciones.

Y dependiendo de la estafa en cuestión, los dueños de negocios y las personas también pueden enviar la información a la Oficina de denunciantes (en inglés) del IRS para una posible recompensa monetaria.

Denunciar estafas ayuda a identificar nuevas amenazas emergentes. El Equipo de Mitigación de Amenazas Emergentes de la Oficina de cumplimiento de fraude (en inglés) se asocia con partes interesadas internas y externas para identificar y mitigar las amenazas a la administración tributaria.

Para denunciar promotores y preparadores abusivos, complete el Formulario 14242 en línea - Reporte promociones o preparadores de impuestos abusivos sospechosos, o envíe por correo o fax un Formulario 14242 PDF completado y cualquier material de respaldo al Centro de Desarrollo de Investigaciones del IRS en la Oficina de Investigaciones de Promotores.

Correo:

Internal Revenue Service Lead Development Center
Stop MS5040
24000 Avila Road
Laguna Niguel, California 92677 3405
Fax: 877-477-9135

Los contribuyentes y profesionales de impuestos también pueden enviar esta información a la Oficina de Denunciantes del IRS, donde pueden ser elegibles para una recompensa. Para obtener más detalles, consulte las secciones sobre Planes tributarios abusivos y preparadores de declaraciones de impuestos abusivos.

Para obtener más información acerca de una gama más amplia de temas y respuestas a preguntas de impuestos de pequeñas empresas, visite IRS.gov.