El IRS y sus socios de la Cumbre de Seguridad iniciarán otra campaña de concienciación sobre ciberseguridad esta semana dirigida a los profesionales de la fiscalía, centrándose esta vez en los fraudes de correo electrónico de phishing en los que los ciberladrones se identifican como amigos, clientes o empresas.
Apodada «No muerdas el anzuelo», la campaña de 10 semanas comienza el 11 de julio y cubrirá correos electrónicos de «spear phishing», robo de identidad empresarial, toma de cuentas, ataques de rescate, toma de posesión remota, compromisos de correo electrónico empresarial y robos de números de identificación de archivos electrónicos.
El lanzamiento coincide con el primer Foro de Impuestos Nacionales del IRS en Orlando, FL. Concluye el 12 de septiembre con el último foro en San Diego.
Este último esfuerzo es parte de la serie educativa «Proteja a sus clientes; protéjase» para profesionales de impuestos que fue lanzada el año pasado por la Cumbre de Seguridad, una asociación entre el IRS, las agencias estatales de impuestos y la industria fiscal para combatir el robo de identidad y el fraude de reembolsos relacionados con los impuestos.
«Seguimos viendo nuevas y cambiantes amenazas que implican violaciones de datos, intrusiones y diversas tomas de posesión que ponen en riesgo la información personal de las personas», dijo el Comisionado del IRS John Koskinen en una declaración preparada. «Estos esfuerzos se dirigen cada vez más a los profesionales de los impuestos y a las empresas con información fiscal. Demasiados todavía pasan por alto las medidas de seguridad básicas necesarias para proteger sus datos. Como parte de esto, instamos a la comunidad de profesionales de impuestos: Tengan cuidado con su bandeja de entrada. No muerda el anzuelo de estas estafas de phishing».
La campaña «No muerdas el anzuelo» también ofrecerá consejos recomendados por el IRS, el FBI y el Instituto Nacional de Normas y Tecnología, que establece marcos de seguridad cibernética seguidos por el IRS y otros organismos reguladores.
Además, la nueva campaña sigue una recomendación reciente del Comité Asesor de la Administración Tributaria Electrónica al IRS para concienciar a los profesionales de la fiscalía sobre la seguridad.
Según el IRS, el objetivo principal del phishing es que los ladrones cibernéticos moneticen su información robada. Pero debido a que el IRS, las agencias estatales y la industria fiscal han obtenido ganancias contra el robo de identidad relacionado con los impuestos, los ladrones ahora necesitan más información para mejorar su suplantación de los contribuyentes, afirma el IRS. A su vez, los profesionales de impuestos con acceso a dicha información son objetivos críticos.
Debido a que la información en las declaraciones de impuestos permite a los ladrones hacerse pasar mejor por contribuyentes, se ha vuelto más difícil para el IRS y los estados identificar las declaraciones de impuestos falsas. Eso hace imperativo que los profesionales de impuestos que noten una violación de datos notifiquen al IRS y a los estados inmediatamente para ayudar a prevenir la presentación de declaraciones fraudulentas.
Entonces, ¿qué tan malo es? De enero a mayo, hubo 177 profesionales o firmas de impuestos que reportaron robos de información de clientes que involucraban a miles de personas, según el IRS. La agencia actualmente recibe de tres a cinco reportes de robo de datos por semana de profesionales de impuestos.
«Hemos estado advirtiendo a los profesionales de la fiscalía que son cada vez más los objetivos de los círculos cibernéticos nacionales e internacionales. Estos sindicatos están bien financiados, tienen conocimientos y son creativos. Nos va a llevar a todos a trabajar juntos para combatir a estos ladrones de identidad», dijo Koskinen. «Pero no hacer nada o hacer un esfuerzo mínimo ya no es una opción. Cualquiera que maneje información de los contribuyentes tiene la responsabilidad legal de protegerla».
El Grupo de Trabajo Anti-Phishing (APWG), una asociación industrial sin fines de lucro centrada en la eliminación del robo de identidad y el fraude que crea el phishing, informó de 1,2 millones de ataques de phishing en 2016, un aumento del 65 por ciento con respecto a 2015. Además, el APWG ahora ve 92.564 ataques de phishing por mes – un aumento del 5.753 por ciento en los últimos 12 años – y cada ataque puede involucrar millones de correos electrónicos.
Pero eso no es todo. Phishing.org informa que se envían más de 100 mil millones de correos electrónicos de spam diariamente, y más del 85 por ciento de las organizaciones han encontrado esfuerzos de phishing. Los daños del phishing cuestan más de mil millones de dólares.
Verizon, que publica un informe anual de investigación de violación de datos, indica en su estudio de 2017 que el 95 por ciento de los ataques de phishing exitosos incluyen una instalación de malware que permite a los ciberdelincuentes exportar datos o tomar el control de los sistemas informáticos. La mayoría de los ataques (81%) utilizan contraseñas robadas o acceden a través de contraseñas débiles.
Artículo relacionado:
El IRS revela la iniciativa de seguridad de datos dirigida a los preparadores de impuestos