IR-2019-136SP: Seguridad de Impuestos 2.0 – Lista de verificación "Impuestos-Seguridad-Unidos" – Paso 3

IRS y socios de Cumbre de Seguridad alertan a profesionales de impuestos de riesgos que representan correos electrónicos de phishing; educación es clave para proteger datos de contribuyentes

IR-2019-136SP, 31 de julio de 2019

WASHINGTON — El IRS, las agencias tributarias y la industria tributaria advirtió hoy a los profesionales de impuestos que tengan cuidado con la continua amenaza de los correos electrónicos de tipo phishing, que siguen siendo la táctica más común de los delincuentes cibernéticos para robar datos confidenciales.

El recordatorio se produjo cuando el IRS y sus socios de la Cumbre de Seguridad instaron a los profesionales de impuestos a dedicar un tiempo este verano para revisar sus protecciones de seguridad de datos. Para ayudarles con este esfuerzo, los socios de la Cumbre prepararon una Lista de Verificación "Impuestos-Seguridad-Unidos" como punto de partida.

“Puedes tomar todos los pasos de seguridad cibernética en el mundo, pero los profesionales de impuestos y otros en el mundo de negocios deben recordar que usted está tan seguro como su empleado menos educado”, dijo Chuck Rettig, Comisionado del IRS. “Los criminales cibernéticos usan los correos electrónicos de phishing y malware para obtener control de los sistemas de informática o para robar nombres de usuarios y contraseñas. Esta información puede resultar en robo de identidad relacionado con impuestos”.

Educar a los empleados acerca de los peligros de los correos electrónicos de phishing es el tercer elemento en la Lista de Verificación "Impuestos-Seguridad-Unidos". La iniciativa de concienciación de este verano también ha tratado de implementar los pasos básicos de "Seis pasos de seguridad" para proteger los equipos y el correo electrónico, así como la creación de un plan de seguridad de datos.

Aunque la Cumbre de Seguridad, una asociación entre el IRS, los estados y la comunidad tributaria del sector privado, progresa contra el robo de identidad relacionado con los impuestos, los delincuentes cibernéticos continúan evolucionando y los robos de datos en las oficinas de los profesionales de impuestos continúan sucediendo en todo el país. Los ladrones usan datos robados de los profesionales de impuestos para crear declaraciones fraudulentas que son más difíciles de detectar por el IRS y sus socios de la Cumbre.

Profesionales de impuestos: educarse en temas de correos electrónicos de phishing

Más del 90 por ciento de todos los robos de datos comienzan con un correo electrónico de phishing. El empleado puede abrir un enlace que lo lleve a un sitio web falso o abre un archivo adjunto que descarga malware en secreto a su computadora.   

El IRS a menudo ve a los profesionales de impuestos victimizados después de ser atacados con una táctica llamada spear phishing. El objetivo de un correo electrónico de phishing es hacerse pasar por una fuente confiable y provocar al destinatario para que abra un enlace incluido o un archivo adjunto. El correo electrónico puede hacer un llamado urgente al profesional de impuestos para actualizar una cuenta inmediatamente. Un enlace puede parecer ir a otro sitio web confiable, por ejemplo, una página de inicio de sesión del proveedor de software de impuestos o de almacenamiento en la nube, pero en realidad es un sitio web controlado por el ladrón.

Un archivo adjunto puede contener software malicioso llamado keylogging, que infecta secretamente las computadoras y proporciona al ladrón la capacidad de ver cada pulsación de las teclas. Los ladrones pueden robar contraseñas a varias cuentas o incluso tomar el control remoto de las computadoras, lo que les permite robar datos de los contribuyentes.

Las estafas comunes de phishing vistas por el IRS incluyen ladrones haciéndose pasar por clientes potenciales, enviando correos electrónicos no solicitados a profesionales de impuestos. Después de un intercambio de correos electrónicos, el ladrón envía un correo electrónico con un archivo adjunto, alegando que contiene la información tributaria necesaria para preparar una declaración. En su lugar, contiene spyware que permite a los ladrones trazar cada pulsación de las teclas.

El IRS también ve a ladrones haciéndose pasar por proveedores de software de impuestos o proveedores de almacenamiento de datos con correos electrónicos que contienen enlaces que van a páginas web que reflejan sitios reales. El objetivo de los ladrones es engañar a los profesionales de impuestos para que ingresen sus nombres de usuario y contraseñas en estos sitios falsos, que los ladrones luego roban.

Otro truco usado por los ladrones consiste en, en lugar de robar los datos, los cifran, una práctica conocida como ransomware. Una vez que cifran los datos, los ladrones exigen un rescate a cambio del código para descifrar los datos. La Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) advierte a los usuarios a no pagar el rescate porque los ladrones a menudo no proporcionan el código. El FBI ha llamado a los ataques de ransomware que están en aumento una amenaza a las empresas y otros. 

Los empleados informados son la clave para evitar las estafas de phishing, y los sistemas de oficina son tan seguros como el empleado menos informado. Estos pasos simples también pueden ayudar a proteger contra el robo de datos:

• Use cuentas de correo electrónico personales y comerciales separadas; proteja las cuentas de correo electrónico con contraseñas seguras y autenticación de dos factores si está disponible.
• Instale una barra de herramientas anti-phishing para ayudar a identificar sitios conocidos de phishing. Las herramientas anti-phishing pueden estar incluidos en los productos de software de seguridad.
• Use software de seguridad para ayudar a proteger los sistemas de malware y escanear correos electrónicos en busca de virus.
• Nunca abra o descargue archivos adjuntos de remitentes desconocidos, incluidos posibles clientes; primero haga contacto por teléfono, por ejemplo.
• Envíe sólo documentos cifrados y protegidos con contraseña si debe compartir archivos con los clientes por correo electrónico.
• No responda a correos electrónicos sospechosos o desconocidos; si está relacionado con el IRS, envíelo a phishing@irs.gov.

Recursos adicionales

La Cumbre de Seguridad les recuerda a todos los profesionales de impuestos que deben crear un plan de seguridad de datos por escrito según lo requiera la Comisión Federal de Comercio y su Regla de Protección (en inglés). Obtenga ayuda con las recomendaciones de seguridad revisando la Publicación 4557, Protección de los Datos del Contribuyente (PDF, en inglés) y la Información de Seguridad para Pequeñas Empresas: lo Básico (PDF, en inglés) del Instituto Nacional de Estándares y Tecnología.

La Publicación 5293 (SP), Guía de recursos de seguridad de datos para los profesionales de impuestos (PDF), proporciona una recopilación de la información de robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben permanecer conectados con el IRS a través de suscripciones a e-News para profesionales de impuestos (en inglés) y redes sociales.

Lista de Verificación Impuestos-Seguridad-Unidos

Durante esta serie especial de la Cumbre de Seguridad, la lista de verificación destaca estas áreas clave para los profesionales de impuestos:

• Implementar protecciones básicas de los "Seis pasos de seguridad"
• Crear un plan de seguridad de datos
• Infórmese acerca de estafas de phishing
• Reconocer los signos del robo de datos del cliente
• Crear un plan de recuperación de robo de datos, y llamar al IRS inmediatamente