En la tercera entrega de una serie especial, los socios de la Cumbre de Seguridad advirtieron a los profesionales de impuestos que estén al tanto de la evolución de las estafas de phishing y los esquemas basados en la nube diseñados para robar información confidencial de los contribuyentes.
El IRS y sus socios de la Cumbre de Seguridad, agencias tributarias estatales y la industria tributaria de la nación, continúan viendo un flujo constante de ataques dirigidos a la comunidad profesional de impuestos de la nación para robar información tributaria y financiera confidencial de los clientes.
“Seguimos viendo una serie implacable de intentos de estafadores para obtener información confidencial de profesionales de impuestos”, dijo Danny Werfel, Comisionado del IRS. “Los ladrones de identidad y los estafadores continúan buscando formas nuevas e ingeniosas de engañar a los profesionales de impuestos. Estas estafas pueden ser sutiles y sofisticadas, y los profesionales de impuestos no deben bajar la guardia para proteger a sus clientes y sus negocios”.
Este es el tercer comunicado de prensa de una serie de verano de cinco partes “Proteja a sus clientes; Protéjase a sí mismo” de la Cumbre de Seguridad, una asociación público-privada que trabaja para proteger el sistema tributario contra el robo de identidad y el fraude relacionados con los impuestos.
La serie de comunicados de prensa semanales y los Foros de Impuestos Nacionales del IRS, en inglés, que continúan a finales de este mes en Washington, D.C., San Diego y Orlando, proporcionan información importante para ayudar a proteger los datos confidenciales de los contribuyentes que tienen los profesionales de impuestos y, al mismo tiempo, proteger su negocio de los ladrones de identidad. Este es el octavo año que los socios de la Cumbre de Seguridad han trabajado para crear conciencia acerca de estos temas a través de la campaña “Proteja a sus clientes; protéjase a sí mismo”.
Phishing, spear phishing y whaling
Una de las amenazas más comunes que enfrentan los profesionales de impuestos son el phishing y las estafas relacionadas. Estos están diseñados para engañar al destinatario para que revele información personal como contraseñas, números de cuentas bancarias, números de tarjetas de crédito o números de Seguro Social.
Los profesionales de impuestos y los contribuyentes deben conocer los diferentes términos de phishing y cómo podrían verse las estafas:
- Phishing/Smishing: los correos electrónicos o SMS / textos de phishing (conocidos como “smishing”) intentan engañar al destinatario para que oprima en un enlace sospechoso, complete información o descargue un archivo de programa maligno. A menudo, los intentos de phishing se envían a varias direcciones de correo electrónico en una empresa o agencia, lo que aumenta la posibilidad de que alguien caiga en el truco.
- Spear phishing: un tipo específico de estafa de phishing que evita enviar correos electrónicos a grupos grandes en una organización, pero en su lugar identifica a las víctimas potenciales y entrega un correo electrónico más realista conocido como “señuelo”. Estos tipos de estafas pueden ser más difíciles de identificar, ya que no ocurren en grandes cantidades. Señalan a las personas, pueden ser especializadas y hacer que el correo electrónico parezca más legítimo. Estos pueden hacerse pasar por un cliente potencial para un profesional de impuestos, atrayendo al profesional a compartir información confidencial.
- Whaling: los ataques de whaling son muy similares al spear phishing, excepto que estos ataques generalmente están dirigidos a líderes u otros ejecutivos con acceso a grandes cantidades de información segura en una organización o negocio. Los ataques whaling también pueden dirigirse a personas en oficinas de nómina, personal de recursos humanos y oficinas financieras.
Los socios de la Cumbre de Seguridad continúan viendo casos en los que los profesionales de impuestos han sido particularmente vulnerables a los correos electrónicos que se hacen pasar por clientes potenciales. Los delincuentes utilizan esta técnica para engañar a los profesionales para que abran enlaces de correo electrónico o archivos adjuntos que infectan los sistemas informáticos con el potencial de robar información del cliente. Se observan esquemas similares con situaciones de whaling en las que los estafadores intentan obtener una gran cantidad de información con solicitudes de correo electrónico de aspecto legítimo.
“La complejidad y el realismo de todos estos esquemas realmente pueden tomar por sorpresa a los profesionales de impuestos y a muchos otros”, dijo Werfel. “Los estafadores pueden ser bastante creativos e ingeniosos. Instamos a la comunidad tributaria a permanecer vigilante, así como a los contribuyentes y a cualquier otra persona con información financiera confidencial”.
Señales de advertencia de estafas
Independientemente del tipo de intento de phishing, los profesionales de impuestos pueden protegerse a sí mismos o a su organización al estar al tanto de estas estafas y buscar señales de advertencia como:
- Un correo electrónico o texto inesperado que dice provenir de una fuente conocida o confiable, como un colega, banco, compañía de tarjetas de crédito, proveedor de almacenamiento en la nube, proveedor de software de impuestos o incluso el IRS y otras agencias gubernamentales.
- Una narrativa falsa a menudo con un tono urgente instando al receptor a abrir un enlace o archivo adjunto.
- Una dirección de correo electrónico, número o enlace que esté mal escrito o que tenga un nombre de dominio o URL diferente (irs.com vs a IRS.gov).
Los esquemas basados en la nube pueden arruinar un día de verano
Los profesionales de impuestos que utilizan sistemas basados en la nube que almacenan información o ejecutan software de preparación de impuestos deben usar la autenticación de múltiples factores para ayudar a proteger esos datos.
Específicamente, la Cumbre de Seguridad continúa viendo ataques que aprovechan los sistemas basados en la nube y comprometen la información personal. Las opciones de autenticación de múltiples factores proporcionan una capa adicional de seguridad para acceder a un sistema mediante el uso de un teléfono, mensajes de texto u otra forma de autenticación para verificar la identidad. Dado que el correo electrónico es más fácil de acceder para los ladrones de identidad, tener estas capas de seguridad ayuda a protegerse contra posibles vulnerabilidades.
Recursos adicionales
Para los profesionales de impuestos que son víctimas de cualquiera de estos esquemas o robo de identidad, el IRS los insta a comunicarse rápidamente con su Enlace de Partes Interesadas del IRS para proporcionar detalles de la situación. Reportar rápidamente estos incidentes no solo puede proteger a los clientes del profesional de impuestos, sino que también puede ayudar a proporcionar información crítica oportuna que puede ayudar a evitar que estos ataques afecten a otros en la comunidad tributaria.
Los profesionales de impuestos deben revisar la Publicación 4557, Protección de los datos de los contribuyentes del IRS, en ingles del IRS, para obtener más información.
Otros recursos incluyen Seguridad de la información de las pequeñas empresas: los fundamentos, del Instituto Nacional de Estándares y Tecnología, en inglés y las páginas del Centro informativo sobre el robo de identidad para profesionales de impuestos.
La Publicación 5293, Guía de recursos de seguridad de datos para profesionales de impuestos, en inglés, proporciona una compilación de información acerca del robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben mantenerse conectados con el IRS a través de suscripciones a noticias electrónicas para profesionales de impuestos y sus sitios de medios sociales.