Trace Id is missing

Ciberseguridad en temporada de impuestos: Qué quieren los ciberdelincuentes y a quién se dirigen más. ¿Eres tú?

Compartir
Ilustración gráfica que muestra un portátil con documentos fiscales en pantalla, documentos en papel que vuelan a una carpeta marcada como "impuesto"

En el panorama actual de amenazas, los ataques de phishing, como los relacionados con fallecimientos e impuestos, son inevitables. Para los actores de amenazas con motivaciones financieras, la presión de los plazos y el frenético intercambio de formularios y documentos que se produce durante la temporada de impuestos crea una oportunidad atractiva para implementar campañas de suplantación de identidad dirigidas a datos de alto riesgo de millones de particulares y empresas estresados y distraídos.

Aunque todo el mundo puede ser objeto de suplantación de identidad en la temporada de impuestos, ciertos grupos de personas son más vulnerables que otros. Los principales objetivos son las personas que pueden estar menos informadas sobre los métodos de compromiso del IRS: titulares de la tarjeta verde, propietarios de pequeñas empresas, nuevos contribuyentes menores de 25 años y contribuyentes de más de 60 años.

Este informe especial de inteligencia sobre amenazas en la temporada de impuestos analiza las tácticas, técnicas y procedimientos (TTP) más utilizados por los actores de amenazas en las siguientes secciones:

  • Inteligencia contra amenazas Microsoft descubre una campaña de suplantación de identidad para la temporada de impuestos de 2024, en la que se describen los detalles de una nueva técnica de phishing para la temporada de impuestos que utiliza señuelos que se hacen pasar por documentos relacionados con los impuestos proporcionados por los empleadores.
  • Los actores de amenazas se hacen pasar por procesadores de pago de impuestos en correos electrónicos de phishing. En esta sección, se describe cómo Inteligencia contra amenazas Microsoft ha observado actores de amenazas que utilizan logotipos de procesadores de pago de impuestos federales de terceros.
  • Lo que quieren los ciberdelincuentes en época de impuestos. En esta sección, identificamos los diferentes tipos de datos de alto riesgo que suelen ser objetivo de los delincuentes en época de impuestos.
  • Cómo obtienen tus datos los ciberdelincuentes. En esta sección, describimos las técnicas de ingeniería social con temática de la temporada de impuestos que más utilizan los actores de amenazas.
  • Procedimientos recomendados de ciberseguridad en la temporada de impuestos En esta sección, ofrecemos los procedimientos recomendados y consejos prácticos para mantenerse alerta frente a los ataques de ingeniería social.

Inteligencia contra amenazas Microsoft ya ha observado actividad de suplantación de identidad en la temporada de impuestos, incluida una campaña de finales de enero de 2024 que utiliza señuelos que se hacen pasar por documentos relacionados con los impuestos proporcionados por los empleadores.

Las siguientes figuras muestran (1) el señuelo del correo electrónico de suplantación de identidad, (2) el sitio web malicioso, y (3) los dos ejecutables maliciosos (el malware) de esta campaña:

Un correo electrónico de phishing de la temporada de impuestos observado por Inteligencia contra amenazas Microsoft en enero de 2024.
Ilustración 1: Un correo electrónico de phishing contiene un archivo HTML adjunto que dirige al usuario a una página de aterrizaje falsa
Captura de pantalla de un sitio web malicioso
Ilustración 2: Se ha dirigido a los usuarios a una página web que los autores de la amenaza han hecho intencionadamente desenfocada, una técnica de ingeniería social destinada a aumentar la probabilidad de hacer clic. Una vez que los objetivos hacen clic en la solicitud "Descargar documentos", el malware se instala en su ordenador.
Captura de pantalla de un explorador de archivos de Windows que muestra dos archivos en la carpeta "programs": "deepvau", una aplicación
Ilustración 3: Se ha descargado un archivo ejecutable malicioso con capacidades de robo de información en la máquina del objetivo. Una vez en el entorno, intentará recopilar información, incluidas las credenciales de inicio de sesión.

Los actores de la amenaza suplantan entidades oficiales

En otras campañas, Microsoft observó que los autores de las amenazas utilizaban imágenes tomadas de sitios web legítimos de terceros procesadores de pagos de impuestos federales en sus correos electrónicos de phishing en un intento de parecer convincentes.

Aunque estos correos electrónicos parezcan legítimos, los contribuyentes deben tener en cuenta que las entidades oficiales como el IRS no se ponen en contacto por correo electrónico, mensajes de texto o llamadas telefónicas en relación con la declaración de la renta o el pago de impuestos.

En raras ocasiones, un ciberdelincuente puede utilizar la información robada para llevar a cabo un fraude en la devolución de impuestos. En este esquema concreto, los delincuentes presentan una declaración de la renta a nombre del objetivo y solicitan un reembolso.1 Este enfoque, sin embargo, tiene pocas probabilidades de éxito dadas las medidas de protección del IRS. Lo más probable es que un ciberdelincuente que acceda a tu información en época de impuestos haga lo que un ciberdelincuente haría en cualquier momento del año: buscar formas de monetizar esa información. Esto puede incluir la apertura de una tarjeta de crédito a tu nombre, la venta de los datos o el acceso a otro ciberdelincuente, el acceso directo a tu cuenta bancaria para iniciar una transferencia de fondos o las compras en línea.

A continuación, se presentan las cifras correspondientes a (1) el señuelo de correo electrónico de phishing y (2) el sitio auténtico del procesador de terceros:

Un correo electrónico de phishing con una imagen de encabezado de IRS autorizado tomada de un sitio web auténtico de un procesador de pagos externo.
Ilustración 4: Un correo electrónico de phishing usa una imagen de encabezado (IRS autorizado) tomada de ACI Payments, Inc., un procesador de pagos que aparece en la lista del sitio web de IRS.
Captura de pantalla de una página web que utiliza una imagen de encabezado de Authorized IRS tomada de un sitio web real de ACI Payments, Inc.
Ilustración 5: Ejemplo de cómo se resalta la imagen auténtica "Authorized IRS" en el sitio web real de ACI Payments, Inc.

Lo que quieren los ciberdelincuentes en época de impuestos

Durante la temporada de impuestos, enormes cantidades de datos financieros y de identidad confidenciales fluyen de un lado a otro entre particulares y organizaciones como el IRS y diferentes tipos de proveedores de servicios fiscales, como software de declaración de impuestos o marcas de preparadores de declaraciones de impuestos o empresas locales de contabilidad e impuestos a empresarios individuales.

Algunos de los datos de mayor riesgo2 son:

  • Identidad: Números del seguro social, carné de conducir o identificación estatal, datos del pasaporte, números de identificación de la empresa (EIN), números del Archivo Centralizado de Autorizaciones (CAF)
  • Cuentas financieras: Números de cuentas financieras y de tarjetas de crédito y débito (con o sin código de seguridad)
  • Contraseñas y acceso: Contraseñas de correo electrónico, números de identificación personal (PIN) y códigos de acceso

En cuanto al riesgo general que suponen las ingentes cantidades de información personal que pueden encontrarse en las bandejas de entrada de los correos electrónicos personales de una persona promedio, el experto en ciberdelincuencia de Inteligencia contra amenazas Microsoft Wes Drone explica: "En las bandejas de entrada de los correos electrónicos personales, los usuarios pueden convertirse en acaparadores de información digital, y la información que almacenan es extremadamente valiosa para los delincuentes".

Este riesgo no se limita a la época de impuestos. Drone señala que la cuenta de correo electrónico de una persona promedio contiene correspondencia y documentos de casi todos los aspectos de su vida personal, y la temporada de impuestos es solo una de las muchas ocasiones para intentar robarlos.

"Mucha información personal acaba en nuestras dirección de correo electrónico", explica Drone, "y si un actor de amenazas consigue acceder a la dirección de correo electrónico, puede restablecer las contraseñas de todas tus otras cuentas".

El riesgo para los particulares puede convertirse también en un riesgo para las empresas. Según Drone, si un actor de amenaza consigue acceder al buzón de correo electrónico de un empleado, podría instalar malware en el entorno de la empresa.

"Ahora estamos hablando de todo tipo de posibles problemas", dice Drone. "Una cuestión importante es el compromiso del correo empresarial, en cuyo caso empezarán a interactuar con tus proveedores o personas con las que haces negocios. Cambian los números de las facturas, envían facturas falsas y redirigen el dinero, y eso puede salir muy caro".

Cómo obtienen tus datos los ciberdelincuentes

Aunque las técnicas de phishing utilizadas por los ciberdelincuentes no son nuevas, siguen siendo tremendamente eficaces. Independientemente de las variaciones, los ataques de phishing contra particulares durante la temporada de impuestos conducirán principalmente a uno de estos dos resultados: la descarga de infostealers (un tipo de malware troyano) o que los usuarios introduzcan sus credenciales en páginas de aterrizaje suplantadas. Con menor frecuencia, los phishers pueden estar buscando acceso para descargar ransomware.

Las campañas de suplantación de identidad en la temporada de impuestos intentan engañar a los usuarios haciéndoles creer que representan fuentes legítimas, como empleadores y personal de recursos humanos, el Servicio de Impuestos Internos (IRS), organizaciones estatales relacionadas con los impuestos o proveedores de servicios relacionados con los impuestos, como contables y servicios de preparación de impuestos (a menudo utilizando grandes marcas y logotipos de confianza).

Entre las tácticas habituales que utilizan los ciberdelincuentes para engañar a sus objetivos se encuentran la suplantación electrónica de páginas de aterrizaje de servicios o sitios web auténticos, el uso de URL que visualmente parecen correctas aunque no lo sean (dominios homoglifos) y la personalización de los vínculos de phishing para cada usuario.

Drone explica: "la razón por la que estas campañas de phishing de la temporada de impuestos siguen funcionando, y llevan años funcionando, es que nadie quiere recibir algo del IRS". Drone observa que recibir mensajes relacionados con los impuestos puede causar ansiedad nada más llegan a la bandeja de entrada.

"La gente no quiere perderse la devolución o que se la roben", continúa. "Los delincuentes aprovechan estos miedos y emociones en su ingeniería social para provocar ansiedad, creando la voluntad de hacer clic urgentemente y hacer lo que tienen que hacer".

Aunque los actores de las amenazas utilizan distintos señuelos que representan a diferentes organizaciones, los correos electrónicos de phishing comparten ciertas características comunes.

  • Elemento A: personalización de marca: Una característica diseñada para bajar tus defensas. Los delincuentes utilizan marcas que reconoces y esperas ver en esta época del año, como la del IRS o la de empresas y servicios de preparación de impuestos.
  • Elemento B: contenido emocional: Los señuelos de phishing más eficaces son aquellos cuyos mensajes despiertan emociones. Durante la temporada de impuestos, los delincuentes se aprovechan tanto de la esperanza (te van a devolver mucho dinero de forma inesperada) como del miedo (tu devolución está en espera o te van a imponer una multa enorme).
  • Elemento C: urgencia: Para un ciberdelincuente, la urgencia es lo que a menudo hace que la gente actúe de un modo que de otro modo no lo haría. Con la urgencia, ocurrirá lo contrario de lo que quieres que ocurra o no ocurra si no actúas antes de la fecha límite.
  • Elemento D: hacer clic: Ya sea un vínculo, un botón o un código QR, lo que los delincuentes quieren en última instancia es que el usuario haga clic para salir de la bandeja de entrada y acceder a su sitio web malicioso.
Un ordenador portátil muestra un ejemplo de correo electrónico de phishing con iconos que indican aspectos de la imagen que se explicarán en el artículo.
Ilustración 6: Las llamadas con letras resaltan algunas de las características distintivas de un señuelo de correo electrónico de phishing.

La mejor defensa contra los ciberdelincuentes, tanto en temporada de impuestos como a lo largo de todo el año, es la educación y una buena higiene cibernética. Educación significa concienciación sobre el phishing, es decir, saber qué apariencia tienen los intentos de phishing y qué hacer cuando te los encuentras. Una buena higiene cibernética significa aplicar medidas de seguridad básicas como la autenticación multifactor para las cuentas financieras y de correo electrónico.

A medida que se acerca el 15 de abril, Día de los Impuestos en Estados Unidos, se ofrecen algunas recomendaciones adicionales para ayudar a usuarios y defensores a mantenerse alerta frente a las amenazas centradas en los impuestos.

7 formas de protegerse de la suplantación de identidad

Caer en un ataque de phishing puede dar lugar a la filtración de información confidencial, redes infectadas, demandas financieras, datos corruptos o algo peor, así que aquí te explicamos cómo evitarlo.3
  • Inspecciona la dirección de correo electrónico del remitente. ¿Está todo en orden? Un carácter mal colocado o una ortografía inusual podrían indicar una falsificación.
  • Desconfía de los correos electrónicos con saludos genéricos ("Estimado cliente", por ejemplo) que te piden que actúes con urgencia.
  • Busca información de contacto verificable del remitente. En caso de duda, no respondas. En su lugar, inicia un nuevo correo electrónico para responder.
  • Nunca envíes información confidencial por correo electrónico. Si tienes que dar información privada, utiliza el teléfono.
  • Piensa dos veces antes de hacer clic en vínculos inesperados, especialmente si te piden que accedas a tu cuenta. Para mayor seguridad, inicia sesión desde el sitio web oficial.
  • Evita abrir archivos adjuntos de correos electrónicos de remitentes desconocidos o de amigos que no suelen enviarte archivos adjuntos.
  • Instala un filtro de phishing para tus aplicaciones de correo electrónico y activa el filtro de spam en tus cuentas de correo.

Habilitar la autenticación multifactor (MFA)

¿Quieres reducir la probabilidad de que tus cuentas sufran ataques? Activa la MFA. La autenticación multifactor, como su nombre indica, requiere dos o más factores de verificación.

Al habilitar la MFA, aunque un atacante consiga tu nombre de usuario y contraseña, no podrá acceder a tus cuentas ni a tu información personal. Comprometer más de un factor de autenticación supone un reto importante para los atacantes, ya que conocer (o descifrar) una contraseña no será suficiente para acceder a un sistema. Con la MFA habilitada, puedes evitar el 99,9 % de los ataques a tus cuentas.4

Artículos relacionados

Una ciberhigiene básica evita el 99 % de los ataques

La ciberhigiene básica sigue siendo la mejor manera de defender las identidades, dispositivos, datos, aplicaciones, infraestructuras y redes de una organización frente al 98 % de las ciberamenazas. Descubre consejos prácticos en una guía completa.
Más información

Desmontando el compromiso del correo empresarial

Matt Lundy, experto en delitos digitales, proporciona ejemplos de ataques contra el correo empresarial y analiza una de las formas más comunes y costosas de ciberataque.
Más información

Aprovechar la economía de confianza: el fraude de la ingeniería social

Explora un entorno digital en evolución donde la confianza es una moneda de cambio y una vulnerabilidad. Descubre las tácticas de fraude mediante ing que usan más los ciberatacantes y revisa las estrategias que te pueden ayudar a identificar y evitar las amenazas de ingeniería social diseñadas para manipular la naturaleza humana.
Más información

Seguir a Seguridad de Microsoft