Cumbre de Seguridad alerta a profesionales de impuestos de esquemas de correo electrónico relacionados con pandemia

IR-2021-166SP, 10 de agosto de 2021

WASHINGTON — En un giro continuo en una estafa común, el Servicio de Impuestos Internos, las agencias tributarias estatales y la industria tributaria advirtieron hoy a los profesionales de impuestos que tengan cuidado con una evolución de esquemas que usan varios temas relacionados con la pandemia para robar datos de clientes.  

Los socios de la Cumbre de Seguridad continúan viendo instancias en que los profesionales de impuestos, especialmente aquellos que se involucran en transacciones remotas, han sido vulnerables este año a ladrones de identidad que se hecen pasar como clientes potenciales. Los criminales luego engañan a los preparadores de impuestos para abrir enlaces de correo electrónico o archivos adjuntos que infectan sistemas informáticos.

Evitar los correos electrónicos de phishing es el cuarto en una serie de cinco partes patrocinada por el IRS, las agencias tributarias estatales y la industria tributaria de la nación, trabajando juntos como la Cumbre de Seguridad, destacando pasos críticos que los profesionales de impuestos pueden tomar para proteger los datos del cliente. El tema de este año "Refuerce la inmunidad de seguridad: Luche contra el robo de identidad", es un esfuerzo para instar a los profesionales de impuestos a trabajar para reforzar sus sistemas y proteger los datos del cliente durante esta pandemia y sus consecuencias.

"Los ladrones de identidad han sido implacables para explotar la pandemia y el dolor económico resultante para engañar a los contribuyentes y los profesionales de impuestos para divulgar información confidencial,” dijo Chuck Rettig, Comisionado del IRS. "Luchar contra las estafas de phishing requiere una vigilancia constante, e instamos a los profesionales de impuestos a que tomen algunas medidas básicas para ayudar a protegerse y a sus clientes."

Los correos electrónicos de phishing o SMS/textos (conocidos como "smishing") intentan engañar a la persona que recibe el mensaje para que divulgue información personal como contraseñas, números de cuenta bancaria, números de tarjeta de crédito o números de seguro social. Los profesionales de impuestos son un objetivo común.

Las estafas pueden diferir en temas, pero generalmente tienen dos características:

  • Parece que provienen de una fuente conocida o confiable, como un colega, banco, compañía de tarjetas de crédito, proveedor de almacenamiento en la nube, proveedor de software de impuestos o incluso el IRS.
  • Dicen una historia, a menudo con un tono urgente, para engañar al receptor en abrir un enlace o un adjunto.

Un tipo específico de correo electrónico de phishing son los correos electrónicos que pretenden lanzar una trampa. En lugar de los correos electrónicos de phishing, los estafadores se toman tiempo para identificar a su víctima y crear un correo electrónico más atractivo conocido como un señuelo. Los estafadores a menudo usan correos electrónicos para lanzar una trampa para dirigirse a los profesionales de los impuestos.

En una estafa recurrente y muy exitosa de este año, los delincuentes se hacen pasar como clientes potenciales, intercambiando varios correos electrónicos con profesionales de impuestos antes de enviar un archivo adjunto reclamando que era su información tributaria. Esta estafa fue popular como muchos profesionales de impuestos pues trabajaron de forma remota y se comunicaron con clientes por correo electrónico en vez de en persona o por teléfono debido a COVID.

Una vez que el profesional de impuestos oprime el enlace y/o abre el archivo adjunto, programas malignos se descargan en secreto en sus computadoras, brindando a los ladrones acceso a contraseñas de cuentas de clientes o acceso remoto a las computadoras.

Luego, los ladrones usan este programa maligno conocido como un troyano de acceso remoto (RAT) para asumir los sistemas informáticos en la oficina del profesional de impuestos, identificar las declaraciones de impuestos pendientes, completar y presentar electrónicamente, cambiando solo la información de la cuenta bancaria para robar el reembolso.

En los últimos meses, los criminales internacionales han usado un ataque de ransomware para cerrar una variedad de empresas. Los criminales usan tácticas de similar y menor escala con los preparadores de impuestos. Cuando el profesional de impuestos confiado abre un enlace o archivo adjunto, el programa maligno ataca al sistema informático del profesional de impuestos para cifrar archivos y mantener los datos para rescate.

Estas estafas resaltan la importancia de los pasos de seguridad básicos recomendados por la Cumbre de Seguridad para proteger los datos.

Por ejemplo, el uso de la opción de la autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA) ofrecida por los proveedores de preparación de impuestos o los proveedores de almacenamiento protegerían las cuentas de los clientes, incluso si las contraseñas se divulgaron inadvertidamente. Mantener el software antivirus actualizado automáticamente ayuda a prevenir las estafas que se dirigen a las vulnerabilidades del software. El uso del cifrado de la unidad y los archivos de copia de seguridad regularmente ayudan a detener los ataques de robo y ransomware.

Para los profesionales de impuestos, asegurar su red para proteger los datos de los contribuyentes es su responsabilidad como un preparador de impuestos.

Para ayudar a los profesionales de impuestos a protegerse contra las estafas de phishing y proteger mejor la información del contribuyente, el IRS recientemente actualizó la Publicación 4557, Protección de datos del contribuyente: Una guía para su negocio (en inglés) PDF. La versión de julio de 2021 contiene algunas de las últimas sugerencias, como el uso de la opción de autenticación de múltiples factores ofrecidas por los productos de software de impuestos y ayuda a los clientes a obtener un PIN de protección de identidad.

Recursos adicionales

Además de revisar la Publicación 4557, Protección de datos del contribuyente: Una guía para su negocio (en inglés) PDF recientemente revisada del IRS, los profesionales de impuestos también pueden obtener ayuda con las recomendaciones de seguridad al revisar Seguridad de información de las pequeñas empresas: Los fundamentos (en inglés) PDF del Instituto Nacional de Estándares y Tecnología. Las páginas del Centro informativo sobre el robo de identidad del IRS para profesionales de impuestos, individuos y empresas también tienen detalles importantes.

La Publicación 5293 (SP), Guía de Recursos de Seguridad de Datos para los Profesionales de Impuestos PDF, provee un resumen de información acerca de robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben mantenerse conectados al IRS a través de las suscripciones a las noticias electrónicas para los profesionales de impuestos (en inglés) y las redes de Medios Sociales del IRS.

Para obtener más información, consulte Refuerce la inmunidad de seguridad: Luche contra el robo de identidad.