Profesionales de impuestos: manténganse vigilantes de correos electrónicos de pesca de información y ataques basados en la nube

Consejo Tributario del IRS 2023-102SP, 21 de agosto de 2023

El IRS y los socios de la Cumbre de Seguridad continúan viendo un flujo constante de ataques dirigidos a los profesionales de impuestos del país para robar delicada información tributaria y financiera de sus clientes.

Una de las amenazas más comunes que enfrentan los profesionales de impuestos tiene que ver con la pesca de información (phishing) y otras estafas relacionadas. Éstas están diseñadas para engañar al destinario para que proporcione información personal al estafador como contraseñas y cuentas bancarias, números de tarjetas de crédito y de Seguro Social o para enviar tarjetas de regalo o transferencias bancarias.

Los profesionales de impuestos deben estar conscientes de los diferentes términos de phishing y cómo se pueden ver las estafas:

  • Phishing/Smishing – los correos electrónicos o SMS/textos de phishing (conocidos como "smishing") intentan engañar al destinatario para que oprima en un enlace sospechoso, complete información o descargue un archivo de programa maligno (malware). A menudo, los intentos de phishing se envían a varias direcciones de correo electrónico en una negocio o agencia, lo que aumenta la posibilidad de que alguien caiga en la trampa.
  • Spear phishing – este es un tipo específico de estafa de phishing que identifica a víctimas potenciales y envía un correo electrónico más realista conocido como "señuelo". Estos tipos de estafas pueden ser más difíciles de identificar, ya que no ocurren en grandes cantidades. Señalan a las personas, pueden ser especializadas y hacer que el correo electrónico parezca más legítimo. Estos remitentes pueden hacerse pasar por un cliente potencial para un profesional de impuestos, atrayendo al profesional a compartir información confidencial.
  • Whaling – estos ataques generalmente están dirigidos a líderes u otros ejecutivos con acceso a grandes cantidades de información segura en una organización o negocio. Los ataques whaling también pueden dirigirse a personas en oficinas de nómina, personal de recursos humanos y oficinas financieras.

Esquemas basados en la nube

El IRS y sus socios profesionales continúan viendo ataques que se aprovechan de los sistemas basados en la nube. Estas estrategias fraudulentas engañan a sus víctimas con correos electrónicos de phishing realísticos que contienen enlaces a portales que se parecen a estas aplicaciones, pero en realidad son sitios web de phishing diseñados para capturar las credenciales del preparador de impuestos.

Los profesionales de impuestos que usan aplicaciones basadas en la nube para guardar información o ejecutar software de preparación de impuestos deben usar la autenticación de múltiples factores para ayudar a proteger los datos. Las opciones de autenticación de múltiples factores proporcionan una capa adicional de seguridad.

Señales de advertencia de estafas

No importa el tipo de intento de phishing, los profesionales de impuestos pueden protegerse a sí mismos y a su negocio al tener en cuenta señales de advertencias como:

  • Un correo electrónico o mensaje de texto inesperado que dice provenir de una fuente conocida o de confianza como un colega, banco, compañía de tarjeta de crédito, proveedor de almacenamiento en la nube, proveedor de software de impuestos o incluso el IRS y otras agencias gubernamentales.
  • Una narrativa falsa a menudo con un tono urgente instando al destinario a que abra un enlace o archivo adjunto.
  • Una dirección de correo electrónico, número o enlace que esté mal escrito o que tenga un nombre de dominio o URL diferente, como irs.com en vez de IRS.gov.

Información adicional: