No muerda el anzuelo: Evite los correos electrónicos de tipo "phishing"
El IRS comienza una nueva campaña dirigida a los profesionales preparadores de impuestos para evitar el robo de datos de los contribuyentes

WASHINGTON.– El IRS, las agencias estatales de impuestos y la industria tributaria advirtieron a los profesionales de impuestos a tener cuidado con los correos electrónicos de tipo phishing, táctica común usada por los delincuentes cibernéticos para atacar a los profesionales.

Los correos electrónicos de tipo phishing, a menudo están diseñados para los profesionales individuales y resultan en el robo de datos de contribuyentes y en declaraciones fraudulentas de impuestos presentadas a nombre de clientes individuales y empresariales.

Así se inicia la nueva campaña de concienciación llamada "No muerda el anzuelo," dirigida a profesionales de impuestos y que incluye información acerca de correos de tipo phishing. Este es el primero de 10 comunicados de prensa en una serie especial que se publicará semanalmente hasta mediados de septiembre.

“Estamos viendo un sinnúmero de casos en que los criminales cibernéticos se dirigen a los profesionales de impuestos y obtienen información confidencial de sus clientes que puede usar para presentar declaraciones fraudulentas. Los correos electrónicos de tipo phishing son una táctica común de acercarse a los profesionales de impuestos,” dijo John Koskinen, Comisionado del IRS. “Exhortamos a los profesionales a que revisen esta información y tomen los pasos para protegerse y proteger a sus clientes.”

El IRS, las agencias estatales de impuestos y la industria tributaria, trabajando juntos como la Cumbre de Seguridad, instan a los profesionales a aprender a reconocer y evitar los emails de phishing. Visite: Proteja a sus clientes; protéjase a sí mismo.

Los emails de phishing se dirigen a un amplio grupo de usuarios con la esperanza de atrapar a algunas víctimas. Estos correos se identifican como entidades conocidas, ya que los delincuentes cibernéticos han hecho su tarea de investigación para dirigirse a un público específico. Los profesionales de impuestos y los contribuyentes están entre los grupos que regularmente reciben correos electrónicos de este tipo.

La empresa de software de seguridad Trend Micro informa que el 91 por ciento de todos los ataques cibernéticos y filtraciones de datos subsecuentes comienzan con un correo electrónico de phishing. El email, disfrazado como una fuente de confianza, insta a las víctimas a que divulguen voluntariamente información confidencial como contraseñas. O, puede animarles a abrir un enlace o archivo adjunto que realmente descargue un malware infeccioso en sus computadoras.

Por ejemplo, un correo electrónico de phishing escrito en inglés dirigido a un profesional de impuestos durante la pasada temporada de taxes usó como anzuelo la expresión "declaración de impuestos" en la línea del asunto para atraer la atención del preparador. El remitente aparenta ser un cliente potencial.

En realidad el criminal que envió el mail hizo su investigación, obtuvo el correo electrónico del preparador de impuestos. Los textos son amigables, pero muchas veces contienen errores gramaticales y están construido de forma extraña. Esto es una señal de que el inglés es el segundo idioma de quien lo envió. Por último, el enlace usado es un URL "pequeño," para disimular el destino real.

Hay varias versiones de correos electrónicos de phishing en las que el criminal se presenta como un cliente potencial. En una versión, el prospecto "cliente" se dirige al profesional de impuestos para que abra un archivo adjunto y vea la información tributaria de 2016, necesaria para preparar una declaración. Sin embargo, el archivo adjunto en realidad descarga malware que rastrea cada pulsación del teclado hecha por el profesional de impuestos, permitiéndole al criminal robar contraseñas y datos confidenciales.

La mayoría de los correos electrónicos de phishing tienen un "llamado a la acción" como parte de sus tácticas, un esfuerzo para animar al destinatario a abrir un enlace o archivo adjunto. El ejemplo anterior pide al preparador que revise su información tributaria y proporcione un estimado del costo.

Otros correos electrónicos de este tipo aparentan provenir del IRS, como las herramientas de servicios electrónicos (e-Services) para profesionales de impuestos, o de un proveedor de software de impuestos del sector privado. En esos ejemplos, se les advierte a los preparadores que deben actualizar inmediatamente su información de cuenta o sufrirán una consecuencia. El enlace puede ir a un sitio web disfrazado por los ladrones para que se parezca a las páginas de inicio de sesión del IRS o su proveedor de impuestos.

Los delincuentes criminales son muy creativos. Este año, algunos ladrones de identidad filtraron cuentas de correos electrónicos de individuos. Al notar que los individuos se habían comunicado por correo electrónico con los preparadores de impuestos, los delincuentes usaron la dirección de email del individuo para enviar una nota a su preparador pidiendo que se cambiara el número de cuenta para el depósito directo del reembolso. La estafa provocó un alerta del IRS dirigido a los preparadores acerca de estos cambios de última hora. Ver IR-2017-64SP.

Cómo proteger a sus clientes y negocio contra correos electrónicos de phishing

No hay una sola acción para proteger a sus clientes o negocio contra correos de phishing. Se requiere una serie de pasos defensivos. Los profesionales de impuestos deben considerar estos pasos básicos:

  • Eduque a todo el personal acerca de phishing.
  • Use contraseñas fuertes y únicas. Mejor aún, use una frase en lugar de una palabra. Use contraseñas diferentes para cada cuenta y que incluyan una combinación de letras, números y caracteres especiales.
  • Nunca abra un correo electrónico de una fuente familiar por considerarlo auténtico; ejemplo: un correo electrónico de "IRS e-Services." Si le pide que abra un enlace o un archivo adjunto, o si incluye una amenaza para cerrar su cuenta, piense dos veces. Visite el sitio web de e-Services para confirmarlo.
  • Si un correo electrónico contiene un enlace, coloque el cursor sobre el enlace para ver el destino del URL. Si no es un URL que reconoce o si está abreviado, no lo abra.
  • Considere una confirmación verbal por teléfono si recibe un correo electrónico de un cliente nuevo que le envía información tributaria, o de un cliente que solicita cambios de última hora para el depósito de su reembolso.
  • Use software de seguridad para defenderse contra el malware, los virus y los sitios conocidos de phishing, y actualice el software automáticamente.
  • Use las opciones de seguridad incluidas con su software de preparación de impuestos.
  • Envíe correos electrónicos sospechosos de phishing relacionados con impuestos a phishing@irs.gov.

Alejandra Castro-Nuñez

Internal Revenue Service

Media Relations Specialist

Media Inquiries: (202) 317-4000

Spanish Media: (305) 982-5316

Email: newsroom@irs.gov

Spanish Media: alejandra.p.nunez@irs.gov

Follow me on Twitter: @acnIRS

To opt out of all email news media messages from IRS, you must send an email to Alejandra.p.nunez@irs.gov from the email address you wish to unsubscribe. Please clearly state in your email, "Unsubscribe me from all IRS news media email messages."