El Servicio de Impuestos Internos (IRS) de los Estados Unidos advirtió a los contribuyentes que los casos de phishing y malware aumentaron un 400% desde que comenzó la temporada de declaración de impuestos - es decir, desde el 19 de enero de 2016 hasta la semana pasada, cuando se emitió el alerta oficial.

Solo en enero, se reportaron 1.026 incidentes, lo que representa un aumento de 254 casos en comparación con el año anterior. Y al sumar los casos de febrero, que duplican a los del mismo mes un año atrás, se llega a 1.389 incidentes en lo que va del año; más que el total anual de 2014, que fue de 1.361, y casi la mitad del total anual de 2015, que fue 2.748.

En esta época, y hasta el 18 de abril, se deben enviar las declaraciones de impuestos a este organismo y es por eso que, aprovechando el ajetreo, los cibercriminales propagan engaños que buscan robar información de los usuarios. Se trata de correos electrónicos que aparentan provenir del propio IRS o de alguna otra autoridad de la industria tributaria, que solicitan datos relativos a reembolsos, estado civil, confirmación de información personal, orden de transcripciones y verificación de información del número de identificación personal (PIN, por sus siglas en inglés).

También se han detectado mensajes de texto que aplican la misma técnica, y los casos han sido reportados en todo el país. En consecuencia, el Comisionado del IRS John Koskinen dijo: "Esté atento a los estafadores que le envían a su correo electrónico información que aparenta ser oficial y que intenta confundir a las personas justo en el momento en que están preparando sus declaraciones de impuestos.  Exhortamos a las personas a que no abran estos correos”.

El problema detrás de estos engaños

De obtener información personal, los cibercriminales podrían utilizarla para presentar declaraciones de impuestos falsas. Así, los contribuyentes legítimos se quedarían sin sus devoluciones."El gran cambio hacia la presentación electrónica de declaraciones de impuestos en los Estados Unidos durante los últimos 10 años ha permitido que el robo de identidad tributaria prospere, como una forma relativamente fácil para los delincuentes de robar dinero del gobierno", explicó Stephen Cobb, investigador de ESET.

Según Cobb, si un scammer envía una solicitud utilizando la identidad de un contribuyente (básicamente, su número de Seguridad Social), este podría no enterarse hasta que presente su declaración por sí mismo, momento en el cual el IRS la rechazará. Este rechazo puede ser bastante rápido si fue presentada en forma electrónica, algo que según estimaciones del organismo, se espera que más de 150 millones de personas hagan. Si se presenta por correo y ya hay una declaración fraudulenta en el archivo, cualquier reembolso que se esperaba recibir dejará de aparecer. Eventualmente, el IRS enviará una carta explicando la situación.

Cómo funcionan los engaños diseñados para contribuyentes

Los correos electrónicos contienen enlaces que llevan a los usuarios a sitios que imitan páginas oficiales, como por ejemplo IRS.gov, explica la entidad. Estas páginas solicitan números de seguro social y otra información personal. También pueden contener malware que, en caso de infectar las computadoras de los contribuyentes, permitiría a los criminales acceder a sus archivos; además, podrían instalarse keyloggers que registren las pulsaciones del teclado para robar credenciales y otros datos sensibles.

"Continuamos trabajando conjuntamente con nuestros socios en este tema, y hemos tomado medidas para fortalecer nuestros sistemas de procesamiento y filtros de fraude, para vigilar a los estafadores mientras utilizan información robada para presentar declaraciones de impuestos falsas", dijo Koskinen.

Naturalmente, el IRS recordó a los contribuyentes que bajo ningún punto de vista iniciará una comunicación con ellos a través de correos electrónicos solicitando información personal o financiera. Tampoco solicitará que se actualice información importante haciendo clic en un enlace.

Para saber cómo evitar este tipo de engaños, aprende a reconocer un correo de phishing.