IR-2022-143SP, 26 de julio de 2022
WASHINGTON 〞 Como parte de la serie especial de la Cumbre de Seguridad, el Servicio de Impuestos Internos, las agencias tributarias estatales y la industria tributaria de la naci車n advirti車 hoy a los profesionales de impuestos que est谷n atentos a estafas emergentes dise?adas para robar la informaci車n de los clientes.
Los socios de la Cumbre de Seguridad contin迆an viendo situaciones donde los profesionales de impuestos han sido vulnerables a los correos electr車nicos de phishing de robo de identidad que aparentan provenir de clientes potenciales. Los criminales entonces enga?an a los preparadores a que abran los enlaces y/o archivos adjuntos que infectan los sistemas de las computadoras con el fin de robar la informaci車n de sus clientes.
Debido a los ataques recientes, la Cumbre tambi谷n advierte a los profesionales de impuestos que usan sistemas basados en la nube para almacenar informaci車n y preparar declaraciones de impuestos a que se aseguren de usar la autenticaci車n de m迆ltiples factores. Espec赤ficamente, los socios de la Cumbre instan a las personas que usan plataformas basadas en la nube a que usen opciones de m迆ltiples factores tal como por tel谷fono, mensajes de texto u otra forma de autenticaci車n para verificar la identidad. Esto puede evitar posibles vulnerabilidades con la autenticaci車n realizada solo a trav谷s del correo electr車nico, que es m芍s f芍cil de acceder para los ladrones de identidad.
Evitar estos esquemas es el tercero de una serie de cinco partes del IRS, las agencias tributarias estatales y la comunidad tributaria de la naci車n, trabajando juntos como la Cumbre de Seguridad que destaca los pasos cr赤ticos que los profesionales de impuestos pueden tomar para proteger los datos de los clientes. El enfoque de la serie de la Cumbre de Seguridad 每 parte de la campa?a "Proteja a sus clientes; Prot谷jase a s赤 mismo" 每 es instar a los profesionales de impuestos a trabajar para fortalecer sus sistemas y proteger los datos de los clientes.
"Los estafadores de robo de identidad prueban continuamente nuevos esquemas para robar informaci車n personal y financiera de los profesionales de impuestos. Nosotros continuamos viendo una avalancha de correos electr車nicos dirigidos a profesionales de impuestos que intentan enga?arlos para que provean acceso valioso a ladrones de identidad", dijo Chuck Rettig, Comisionado del IRS. "Continuamos urgiendo a las personas a que usen la autenticaci車n de m迆ltiples factores, incluyendo aquellos que usan servicios basado en la nube. La vigilancia constante es necesaria, no solo durante la temporada de impuestos, sino durante todo el a?o. Le pedimos a los profesionales de impuestos, tanto de operaciones grandes como peque?as que ayuden a proteger a sus clientes al igual que a ellos mismos".
Los correos electr車nicos de phishing o SMS/textos (conocidos como "smishing") intentan enga?ar a la persona que recibe el mensaje para que divulgue informaci車n personal como contrase?as, n迆meros de cuentas bancarias, n迆meros de tarjetas de cr谷dito o n迆meros de seguro social. Los profesionales de impuestos son un objetivo com迆n.
Las estafas pueden diferir en temas, pero generalmente tienen dos caracter赤sticas:
- Parece que provienen de una fuente conocida o confiable, como un colega, banco, compa?赤a de tarjetas de cr谷dito, proveedor de almacenamiento en la nube, proveedor de software de impuestos o incluso el IRS.
- Dicen una historia, a menudo con un tono urgente, para enga?ar al receptor en abrir un enlace o un adjunto.
Un tipo espec赤fico de correo electr車nico de phishing se denomina spear phishing, una forma de phishing m芍s espec赤fica. En lugar de los correos electr車nicos de phishing, los estafadores se toman tiempo para identificar a su v赤ctima y crear un correo electr車nico m芍s atractivo conocido como un se?uelo. Los estafadores a menudo usan correos electr車nicos para lanzar una trampa para dirigirse a los profesionales de los impuestos.
En una estafa recurrente que tuvo 谷xito este a?o, los delincuentes se hicieron pasar como clientes potenciales, intercambiaron varios correos electr車nicos con profesionales de impuestos antes de enviar un archivo adjunto que reclamaba que era su informaci車n tributaria. Esta estafa fue popular ya que muchos profesionales de impuestos pues trabajaron de forma remota y se comunicaron con clientes por correo electr車nico en vez de en persona o por tel谷fono debido a la pandemia.
Una vez que el profesional de impuestos hace clic el enlace y/o abre el archivo adjunto, programas malignos se descargan en secreto en sus computadoras, brindando a los ladrones acceso a contrase?as de cuentas de clientes o acceso remoto a las computadoras.
Luego, los ladrones usan este programa maligno conocido como un troyano de acceso remoto (RAT, por sus siglas en ingl谷s) para asumir los sistemas inform芍ticos en la oficina del profesional de impuestos, identificar las declaraciones de impuestos pendientes, completar y presentarlas electr車nicamente, cambiando solo la informaci車n de la cuenta bancaria para robar el reembolso.
En el pasado, los criminales internacionales han usado ataques de "ransomware" para cerrar una variedad de empresas. Los criminales pueden usar t芍cticas similares a menor escala contra los preparadores de impuestos. Cuando el profesional de impuestos desprevenido abre un enlace o archivo adjunto, el programa maligno ataca al sistema inform芍tico del profesional de impuestos para cifrar archivos y los ladrones retienen los datos para rescate.
Otro esquema emergente que el IRS ha visto tiene que ver con una se?al d谷bil de los sistemas de los profesionales de impuestos que usan la nube para almacenar datos de clientes. Mientras que muchos sistemas de almacenamiento de datos son seguros, los profesionales de impuestos deben asegurarse usar autenticaci車n de m迆ltiples factores para evitar que los ladrones obtengan informaci車n confidencial.
El IRS ha observado varios casos que con frecuencia involucran a empresas y/o profesionales de impuestos m芍s peque?os 每 donde las cuentas individuales de clientes que est芍n en plataformas basadas en la nube han sido comprometidas. Los ladrones de identidad acceden a estas cuentas usando informaci車n de declaraciones de impuestos de contribuyentes para luego presentar otra declaraci車n de impuestos en busca de reembolsos, frecuentemente por correo.
Estas cuentas basadas en la nube son m芍s vulnerables cuando los profesionales de impuestos no usan la autenticaci車n de m迆ltiples factores para validar quien usa la plataforma. Los socios de la Cumbre instan a usar m谷todos de autenticaci車n adem芍s del correo electr車nico ya que este pudiera ser m芍s f芍cil de acceder para los ladrones y permitirles acceso a las cuentas de los profesionales de impuestos. El uso de mensajes de texto, llamadas telef車nicas u otra forma de autenticaci車n para verificar la identidad son opciones m芍s seguras.
Estas estafas resaltan la importancia de los pasos b芍sicos de seguridad recomendados por la Cumbre de Seguridad para proteger informaci車n:
- El uso de la autenticaci車n de dos factores (2FA) o la autenticaci車n de m迆ltiples factores (MFA) que ofrecen los proveedores de preparaci車n de impuestos o proveedores de almacenamiento de datos proteger赤a las cuentas de los clientes, incluso si las contrase?as se divulgaron sin darse cuenta.
- Mantener el software antivirus configurado para actualizaciones autom芍ticas tambi谷n ayuda a prevenir estafas dirigidas a las vulnerabilidades del software.
- El uso del cifrado de unidades y regularmente respaldar los archivos ayuda a evitar el robo y los ataques de ransomware.
Para los profesionales de impuestos, asegurar su red para proteger los datos de los contribuyentes es su responsabilidad como preparador de impuestos.
Para ayudar a los profesionales de impuestos a protegerse contra las estafas de phishing y proteger mejor la informaci車n del contribuyente, vea la Publicaci車n 4557, Protecci車n de datos del contribuyente: Una gu赤a para su negocio (en ingl谷s). Esta publicaci車n del IRS contiene algunas de las 迆ltimas sugerencias, como el uso de la opci車n de autenticaci車n de m迆ltiples factores ofrecidas por los productos de software de impuestos y ayuda a los clientes a obtener un PIN de protecci車n de identidad.
Recursos adicionales
Adem芍s de la Publicaci車n 4557, Protecci車n de datos del contribuyente: Una gu赤a para su negocio (en ingl谷s) del IRS, los profesionales de impuestos tambi谷n pueden obtener ayuda con las recomendaciones de seguridad consultando del Instituto Nacional de Normas y Tecnolog赤a. Las p芍ginas del Centro informativo sobre el robo de identidad del IRS para profesionales de impuestos, individuos y empresas tambi谷n tienen detalles importantes.
La Publicaci車n 5293 (SP), Gu赤a de Recursos de Seguridad de Datos para los Profesionales de Impuestos PDF, provee un resumen de informaci車n acerca de robo de datos disponible en IRS.gov. Adem芍s, los profesionales de impuestos deben mantenerse conectados al IRS a trav谷s de suscripciones a Noticias electr車nicas para profesionales de impuestos (en ingl谷s) y Medios sociales.
Para m芍s informaci車n, visite IRS.gov.