Cuidado con el resurgimiento de este tipo de estafa de phishing. La farsa del formulario W-2 del año pasado que victimizó a cientos de organizaciones y miles de empleados se predice que será uno de los problemas más onerosos de este año, según el IRS y sus socios en la Cumbre de Seguridad.
El IRS dijo que los informes sobre la estafa a su dirección de correo electrónico [correo electrónico protegido] ascendieron a unos 900 en 2017, un aumento considerable en comparación con los aproximadamente 100 de 2016. Los estafadores engañaron a los empleados de la nómina para que revelaran información sensible sobre toda la compañía.
¿Cómo lo hicieron? Los ladrones averiguan quiénes son los grandes jefes y usan el correo electrónico empresarial para hacerse pasar por esos ejecutivos en los correos electrónicos enviados a los empleados de la nómina, pidiendo copias de los formularios W-2 para todos los empleados. Los formularios, por supuesto, incluyen los nombres de los empleados, direcciones, números de seguridad social, ingresos y retenciones.
Los ladrones usan la información para presentar declaraciones de impuestos falsas – o la venden en la llamada Red Oscura. En algunos casos, los estafadores pidieron una transferencia electrónica después de recibir la información de los empleados.
Los socios de la Cumbre de Seguridad – que también incluyen agencias estatales de impuestos y la industria tributaria – quieren que los empleadores creen una política que limite el número de personas que tienen autoridad para manejar las solicitudes del Formulario W-2 y que deben exigir una verificación adicional para validar las solicitudes.
Eso es para evitar el problema que algunos negocios enfrentaron cuando no supieron de la estafa durante días o incluso meses.
Este es el procedimiento para los empleadores que reportan los robos de datos del formulario W-2 al IRS:
- Enviar por correo electrónico [correo electrónico protegido] una pérdida de datos del formulario W-2 y proporcionar información de contacto, como se indica a continuación.
- En la línea de asunto, escriba «W2 Data Loss» para que el correo electrónico pueda ser enrutado correctamente. Los empleadores no deben incluir ningún dato de información identificable de los empleados.
- El correo electrónico debe incluir el nombre de la empresa, el número de identificación del empleador relacionado con la pérdida de datos, el nombre y el número de teléfono del contacto, la descripción de cómo se produjo la pérdida de datos y cuántos empleados se vieron afectados.
Aquellas empresas que sólo reciben un correo electrónico sospechoso pero que en realidad no entregan ninguna información de sus empleados, deben enviar los encabezados completos del correo electrónico a [email protegido] y utilizar «W2 Scam» en la línea de asunto.
El IRS ofrece más información sobre la estafa y cómo reportarla a las diferentes agencias en el formulario W-2/SSN Robo de Datos: Información para Empresas y Proveedores de Servicios de Nómina.