Como parte de su campaña «No muerdas el anzuelo», el IRS está advirtiendo a los profesionales de los impuestos sobre los correos electrónicos que apuntan a los formularios W-2 de los empleados, tras haberse cuadruplicado en estos casos durante la temporada de presentación de declaraciones de 2017.
La estafa, llamada compromiso de correo electrónico empresarial (BEC), «es uno de los esquemas de correo electrónico de phishing más peligrosos de la nación desde la perspectiva de la administración fiscal», dijo el IRS.
Un BEC ocurre cuando un ladrón se hace pasar por la dirección de correo electrónico de un ejecutivo de la empresa y hace una solicitud a un empleado de nómina, finanzas o recursos humanos. Los estafadores, por ejemplo, intentarán engañar al empleado para que transfiera fondos a una cuenta específica o solicitarán una lista de empleados y sus W-2.
«Estos son esquemas increíblemente complicados que pueden ser devastadores para un profesional de impuestos o un negocio», dijo el Comisionado del IRS John Koskinen en una declaración. «Los ciberdelincuentes apuntan a personas con acceso a información sensible, y astutamente disfrazan su esfuerzo a través de una solicitud de correo electrónico de aspecto oficial».
A principios de este año, el FBI informó de un aumento del 1.300 por ciento en las pérdidas, incluyendo más de 3.000 millones de dólares en transferencias electrónicas, desde enero de 2015. Se descubrió que los culpables eran grupos de delincuencia organizada nacionales e internacionales que tenían como objetivo empresas de todo el país y de otros 100 países.
Durante la temporada de impuestos del año pasado, el IRS advirtió que la estafa estaba dirigida a la administración de impuestos y usando BECs para obtener los W-2 de los empleados. Los estafadores inmediatamente presentaron declaraciones de impuestos falsas que reflejaban los ingresos reales de los empleados. Eso, a su vez, hizo que el fraude fuera más difícil de detectar.
Este año, el IRS ha visto la estafa del W-2 aumentar a 200 desde 50 en 2016. Los objetivos incluyen empresas, escuelas públicas, universidades, gobiernos tribales y organizaciones sin fines de lucro. Las estafas resultaron en el robo de datos personales de varios cientos de miles de empleados.
Además, los W-2 pueden ser publicados en lo que se llama la «Red Oscura» para beneficio de los criminales.
Aunque el IRS puede ayudar a evitar que los empleados sean víctimas, el problema es que los negocios a menudo no se dan cuenta durante semanas o meses de que han sido estafados.
Las empresas que se han encontrado con BECs pueden reportar los robos del W-2 al IRS en [email protegido]. Ponga «estafa W-2» en la línea de asunto e incluya un nombre de contacto en el correo electrónico.
Las empresas que se encuentren con un BEC sin ser estafadas pueden reenviarlo a [correo electrónico protegido] con W-2 en el asunto.
Los profesionales de los impuestos que se encuentran o tratan de evitar las BEC deben hacer lo siguiente:
- Confirmar las solicitudes de formularios W-2, transferencias electrónicas o cualquier intercambio de datos confidenciales verbalmente, utilizando los números de teléfono conocidos, no los números de teléfono que figuran en el correo electrónico.
- Verificar las solicitudes de cambios de ubicación en los pagos a los proveedores y exigir una segunda firma del personal de la empresa.
- Eduque a los empleados sobre esta estafa, en particular a los que tienen acceso a datos confidenciales como los W-2 o que tienen autorización para hacer transferencias electrónicas.
- Consulte con un profesional de la informática y cree un sistema de detección de intrusos que marque los correos electrónicos con extensiones similares a las del correo electrónico de la empresa, como el legítimo abc_company.com en lugar del falso abc-company.com; establezca una regla de correo electrónico que marque una dirección de correo electrónico de «respuesta» que difiera de la dirección de «procedencia»; y codifique con colores los correos electrónicos para que los de los empleados y las cuentas internas sean de un color y los de fuentes externas o no empleados sean de otro.
Además de notificar al IRS, las víctimas del BEC deben presentar una denuncia al FBI en el Centro de Denuncias de Crímenes en Internet (IC3).