Temporada de impuestos 2026: principales estafas del IRS y cómo protegerse

Introducción

«Es hora de presentar la declaración de la renta. Y los ciberdelincuentes acechan para hacer un periodo ya de por sí estresante aún más inquietante.»

La llegada de la temporada de presentación de impuestos suele traer un aumento sostenido de intentos de fraude: correos electrónicos de phishing, llamadas telefónicas fraudulentas, suplantación de páginas web y reclamaciones de reembolsos falsas. Aunque muchas de estas técnicas no son nuevas, su sofisticación y la capacidad de los atacantes para aprovechar datos filtrados y servicios automatizados las convierten en una amenaza persistente cada año.

Panorama y contexto: por qué importa y breve historia

El fraude relacionado con impuestos existe desde que se comenzaron a gestionar devoluciones y pagos a gran escala. Con la digitalización del proceso de declaración y la proliferación de servicios de e‑filing y contabilidad en línea, los atacantes han desplazado buena parte de sus esfuerzos hacia vectores digitales (phishing, páginas clonadas, robo de credenciales). Instituciones como la Internal Revenue Service (IRS) y agencias de protección al consumidor publican avisos periódicos —incluyendo listas anuales de fraudes comunes, como la conocida «Dirty Dozen» del IRS— para alertar a contribuyentes y profesionales.

¿Por qué importa? Las consecuencias son directas y graves: pérdidas económicas, robo de identidad, reclamaciones de reembolsos inexistentes y cargas administrativas para rectificar daños. Para empresas y despachos que manejan datos fiscales de clientes, el riesgo también incluye pérdida de reputación, sanciones regulatorias y compromisos legales.

Tipos de estafas más frecuentes y cómo operan

• Phishing por correo electrónico y SMiShing (SMS phishing): mensajes que simulan provenir del IRS o de servicios de impuestos, con enlaces a formularios falsos o archivos adjuntos con malware.
• Llamadas y robocalls de suplantación: llamadas que exigen pago inmediato, amenazan con arresto o reclaman deudas fiscales inexistentes. Es importante recordar que el IRS, por regla general, inicia contacto por correo postal antes de tomar medidas de cobro.
• Páginas web y portales falsos: dominios que imitan a servicios de impuestos o softwares de contabilidad para capturar credenciales y datos bancarios.
• Robo de reembolsos y robo de identidad fiscal: presentación fraudulenta de declaraciones para reclamar reembolsos; los atacantes usan datos personales sustraídos para presentar declaraciones en nombre de víctimas legítimas.
• Compromiso de preparadores de impuestos: si un despacho o preparador es comprometido, el actor malicioso puede acceder a datos de numerosos contribuyentes.

Análisis experto: qué deben hacer los profesionales de seguridad y los despachos fiscales

Para equipos de seguridad y despachos que gestionan información fiscal, la defensa requiere medidas técnicas y operativas coordinadas. A continuación se recogen prácticas recomendadas con orientación técnica y organizativa.

• Fortificar el correo electrónico: implementar SPF, DKIM y DMARC con políticas firmes (p=quarantine o p=reject) para reducir la posibilidad de spoofing; activar monitorización de informes DMARC y analizar fallos comunes.
• Filtrado avanzado y sandboxing: usar soluciones de filtrado que reescriban URLs, inspeccionen enlaces en tiempo real y ejecuten adjuntos sospechosos en entornos aislados.
• Protección de identidades y acceso: exigir autenticación multifactor (MFA) en cuentas de clientes y empleados; aplicar políticas de acceso mínimo y revisión periódica de privilegios.
• Detección de suplantación de dominio: vigilar la aparición de dominios lookalike mediante servicios de registro y monitorización —utilizar alertas de Certificate Transparency para detectar nuevos certificados asociados a dominios impersonadores.
• Formación y simulación: realizar campañas de concienciación y ejercicios de phishing dirigidos; asegurar que personal administrativo y preparadores sepan verificar comunicaciones legítimas del IRS.
• Plan de respuesta a incidentes: disponer de un playbook específico para fraude fiscal que incluya notificación a autoridades, bloqueo de EFIN si procede, comunicación con clientes y remediación de credenciales comprometidas.

Comparables y datos relevantes (generales y no controvertidos)

Es bien conocido entre profesionales que los intentos de fraude relacionados con impuestos se concentran en la temporada de declaraciones, y que la sofisticación de las campañas va en aumento a medida que los actores integran datos de filtraciones públicas y técnicas de ingeniería social más pulidas. Agencias como la Federal Trade Commission (FTC) y el propio IRS mantienen catálogos de quejas y avisos que muestran picos estacionales de reportes.

«No facilite información personal por teléfono, correo electrónico o mensaje de texto; el IRS habitualmente inicia el contacto por correo postal.»

Además, existen mecanismos preventivos promovidos por el IRS como el Identity Protection PIN (IP PIN), un número que protege contra la presentación fraudulenta de declaraciones en nombre del contribuyente; su uso está recomendado para personas que hayan sido víctimas de robo de identidad o que deseen prevenirlo.

Riesgos, implicaciones y recomendaciones prácticas

Los riesgos van desde pérdidas directas de fondos hasta el uso de identidad robada para cometer fraudes en otros servicios. Para organizaciones, además, existe el riesgo reputacional y el coste de remediación. Las siguientes recomendaciones están pensadas para minimizar exposición y mejorar la habilidad de respuesta.

• Para usuarios particulares:
  • Presentar la declaración cuanto antes: facilitará detectar y bloquear intentos de fraude de reembolso.
  • Verificar comunicaciones: ante una llamada o mensaje que solicita datos, colgar y contactar al IRS o al servicio legítimo por canales oficiales.
  • Usar IP PIN cuando esté disponible y activar MFA en cuentas relacionadas con impuestos.
  • No abrir adjuntos o pulsar enlaces de correos sospechosos; comprobar el remitente y la URL completa antes de interactuar.
• Para despachos y profesionales fiscales:
  • Adoptar controles de seguridad de correo y web, y exigir MFA para el acceso a datos sensibles.
  • Implementar procedimientos de verificación al recibir solicitudes de cambios de cuenta o de información bancaria por parte de clientes.
  • Ofrecer formación específica sobre suplantación y simulacros de phishing para todo el personal.
  • Disponer de procesos para notificar rápidamente a clientes y autoridades en caso de sospecha de compromiso.
• Para equipos de seguridad: configurar reglas SIEM para detectar patrones de acceso inusuales, monitorizar nuevos dominios que imiten marcas propias, y mantener listas de indicadores de compromiso (IoC) actualizadas.

Conclusión

La temporada de impuestos atrae a actores maliciosos que emplean tácticas conocidas (phishing, suplantación telefónica, páginas falsificadas) pero cada año refinan su ingeniería social y su uso de datos filtrados. La protección eficaz combina medidas técnicas (SPF/DKIM/DMARC, MFA, sandboxing), procedimientos operativos (verificación de cambios, planes de respuesta) y formación continua de usuarios y profesionales. Presentar la declaración con antelación, activar mecanismos como el IP PIN, y desconfiar de comunicaciones no solicitadas son medidas prácticas y de alto impacto para reducir el riesgo.

Source: www.welivesecurity.com