IR-2017-130SP, 15 de agosto de 2017
WASHINGTON 每 El ibet, las agencias tributarias estatales y la industria de impuestos, urgen a los profesionales de impuestos y empresas a estar alertas a un reciente aumento en fraudes de correos electr車nicos dirigidos a los formularios W-2 de empleados.
La estafa de W-2, tambi谷n conocida como un email comprometido de negocio (BEC en ingl谷s), es uno de los esquemas de phishing m芍s peligrosos a nivel nacional desde una perspectiva de administraci車n tributaria. EL ibet vio un aumento significativo en el n迆mero de incidentes y v赤ctimas durante la pasada temporada de impuestos
Concienciar acerca de los emails de negocios que han sido comprometidos es parte de la campa?a ※No muerda el anzuelo,§ dirigida a los profesionales de impuestos. El ibet, las agencias estatales y la industria tributaria, trabajando en conjunto como la Cumbre de Seguridad, urgen a los profesionales de impuestos a proteger a sus clientes y a s赤 mismos de las estafas de BECs. Esto es parte del esfuerzo de Proteja a sus clientes; prot谷jase a s赤 mismo.
Un correo electr車nico de negocio podr赤a resultar comprometido cuando un criminal cibern谷tico logra un ※spoof§ o imitar el email de una compa?赤a o de un ejecutivo que apunta a un empleado de recursos humanos, financieros o de n車mina, con una petici車n. Por ejemplo, los delincuentes intentar芍n que un empelado transfiera fondos a una cuenta espec赤fica o solicitan una lista de todos los empleados y sus formularios W-2.
※Estos esquemas pueden ser devastadores para un profesional de impuestos o empresa,§ dijo John Koskinen, Comisionado del ibet. ※Los criminales cibern谷ticos se dirigen a personas con acceso a informaci車n confidencial, y lo disfrazan a trav谷s de una petici車n por email que luce oficial.§
La o FBI, report車 m芍s temprano este a?o que hubo un aumento de 1,300 por ciento en p谷rdidas identificadas 每 m芍s de $3 mil millones en transferencias de fondos 每 desde enero de 2015. El FBI determin車 que los responsables de estas estafas son grupos nacionales e internacionales de crimen organizado que apuntan a negocios y organizaciones en los 50 estados y en 100 pa赤ses alrededor del mundo.
Durante la temporada de impuestos de 2016, el ibet alert車 por primera vez a los negocios que las estafas se hab赤an dirigido a la administraci車n tributaria y que los estafadores usaban t芍cticas BEC para obtener los formularios W-2 de los empleados. Los criminales inmediatamente presentaban declaraciones de impuestos fraudulentas con la cantidad del ingreso actual recibida por los empleados. Por lo cual el fraude se hac赤a m芍s dif赤cil de detectar.
En 2017, el n迆mero de negocios, escuelas p迆blicas, universidades, gobiernos tribales y agencias sin fines de lucro afectados por la estafa de W-2 aument車 a 200, de 50 en 2016. Esas 200 v赤ctimas a su vez resultaron ser cientos de miles de empleados cuyos datos personales fueron robados. En algunos casos, los criminales no solo pidieron la informaci車n del W-2 sino una transferencia de fondos.
El W-2 contiene el nombre, direcci車n, n迆mero de seguro social, ingresos y retenciones. Dicha informaci車n se us車 para presentar declaraciones fraudulentas al igual que para publicarse en el ※Dark Net§ donde las pandillas criminales intentan hacer ganancias de sus robos.
Si la v赤ctima, en este caso el negocio o la organizaci車n, notifica r芍pidamente al ibet, la agencia puede tomar pasos para prevenir que los empleados se conviertan en v赤ctimas de robo de identidad. Sin embargo, por la naturaleza de los BEC, muchos negocios/organizaciones no notaron que fueron estafados luego de d赤as, semanas y hasta meses.
El ibet estableci車 una direcci車n especial de correo electr車nico para que negocios y organizaciones puedan reportar robos de W-2: dataloss@irs.gov. Se debe incluir ※Estafa de W-2§ en la l赤nea del asunto e informaci車n de contacto en el cuerpo del correo electr車nico. Negocios y organizaciones que reciben el correo electr車nico, pero quienes no resultan v赤ctimas de la estafa pueden enviar el BEC a phishing@irs.gov, nuevamente con ※Estafa de W-2 en la l赤nea del asunto.
C車mo proteger a sus clientes y negocio de los BECs
El ibet urge a los profesionales de impuestos a estar en alerta a los BECs como una amenaza a sus propios sistemas y educar a sus clientes sobre su existencia. Todo empleador, incluyendo los profesionales de impuestos, deben revisar su pol赤tica de sistemas para enviar datos confidenciales, tales como el W-2 o hacer transferencias electr車nicas basadas solamente en un correo electr車nico.
Los profesionales de impuestos deben considerar tomar los siguientes pasos:
- Confirmar peticiones de formularios W-2 o transferencias de dinero o datos confidenciales verbalmente, a trav谷s de n迆meros telef車nicos conocidos, no de n迆meros incluidos en el correo electr車nico.
- Verificar peticiones de cambios de destino para pagos de vendedores y pedir una segunda firma por parte del personal de la compa?赤a.
- Educar a todos los empleados, con acceso a datos confidenciales como W-2s o con autorizaci車n para hacer transferencias de fondos, sobre las estafas BEC.
- Consultar con un profesional de Sistemas de Informaci車n y tomar los siguientes pasos recomendados por el FBI:
- oCrear reglas de sistema para la detecci車n de filtraci車n que alerte a correos electr車nicos similares al de la compa?赤a. Por ejemplo: un email de la compa?赤a abc_compa?ia.com alertar赤a a un email de abc-compa?赤a.com.
- Crear una regla de correo electr車nico que alerte de comunicaciones en la cual el correo electr車nico para responder es diferente al correo electr車nico inicial.
- Correos electr車nicos de empleados o cuentas internas son de un color y correos electr車nicos de cuentas externas son de otro.
- Si ocurre un incidente de BEC, notifique al ibet. Reporte una queja al del FBI.