Alerta IRS sobre posibles estafas. Formulario W-2 convirtió en víctimas a cientos

El Servicio de Impuestos Internos (IRS), las agencias tributarias estatales y la industria de impuestos exhortaron a todos los empleadores a educar a su personal de nómina sobre una estafa de phishing de Formulario W-2 que el año pasado convirtió en víctimas a cientos de organizaciones y miles de empleados.

La estafa se ha convertido en uno de los correos electrónicos de phishing más peligrosos en la comunidad tributaria.

Durante las dos últimas temporadas de impuestos, los delincuentes cibernéticos engañaron al personal de nómina o a quienes tenían acceso a la información, para que la revelaran. La estafa afectó a todo tipo de empleadores, desde pequeñas y grandes empresas hasta escuelas públicas y universidades, hospitales, gobiernos tribales y organizaciones benéficas.

Los reportes a phishing@irs.gov de víctimas y no víctimas aumentaron a aproximadamente 900 en 2017, en comparación con un poco más de 100 en 2016. El año pasado, más de 200 empleadores fueron víctimas, lo que se tradujo en cientos de miles de identidades comprometidas.

Al alertar a los empleadores ahora, el IRS y sus socios en el esfuerzo de la Cumbre de Seguridad esperan limitar el éxito de esta estafa en 2018.

El año pasado, el IRS también creó un nuevo proceso por el cual reportar estos engaños. Hay pasos que el empleador puede tomar para proteger a los empleados, pero sólo si notifica inmediatamente a la agencia.

Así es como funciona la estafa: los delincuentes cibernéticos hacen su tarea, identificando a los directores de operaciones, a los ejecutivos de la escuela u otras personas en puestos de autoridad.

Usan una técnica conocida como compromiso de correo electrónico comercial (BEC) o suplantación de correo electrónico comercial (BES), los estafadores que se hacen pasar por ejecutivos envían correos al personal de nómina solicitando copias de los formularios W-2 de todos los empleados.

El W-2 contiene el nombre, dirección, número de seguro social, ingresos y retenciones del empleado. Los delincuentes usan esa información para presentar declaraciones de impuestos fraudulentas, o la publican para su venta en la red oscura (Dark Web).

El correo el inicial puede ser un intercambio amistoso, “hola, estás trabajando hoy” antes de que el estafador solicite toda la información del Formulario W-2. En varios casos reportados, después de adquirir la información, siguieron inmediatamente la estafa con una solicitud de transferencia bancaria.

Además de educar al personal, el IRS y los socios de la Cumbre también instan a los empleadores a considerar una política para limitar el número de empleados con autoridad para manejar solicitudes W-2 y que requieran verificaciones adicionales para validar las solicitudes antes de enviar por correo electrónico datos confidenciales.

Si la empresa u organización afectada notifica al IRS, el IRS puede tomar medidas para ayudar a evitar los robos relacionados con impuestos. Sin embargo, debido a la naturaleza de estas estafas, algunas empresas y organizaciones no se dieron cuenta durante días, semanas o meses de que habían sido estafados.

El IRS estableció una dirección especial de notificación por correo electrónico específicamente para que los empleadores reporten robos de datos del Formulario W-2. Las empresas y organizaciones que sean víctimas de la estafa y/o las organizaciones que sólo reciban un correo electrónico sospechoso pero que no sean víctimas de estafa deberán enviar los encabezados completos de correo electrónico a phishing@irs.gov y usar “Fraude de Formulario W-2” en el asunto.

Los empleadores pueden obtener más información en Robo de Datos de Formulario W-2/SSN: Información para empresas y proveedores de servicios de nómina, en inglés.

Los empleadores deben estar conscientes de que las estafas de los delincuentes cibernéticos evolucionan constantemente. El personal de finanzas y nómina debe estar atento a cualquier solicitud inusual de datos de empleados.

---

NOTIFICAR

A continuación se detalla cómo las víctimas de estafa pueden notificar:

Envíe un correo electrónico a dataloss@irs.gov para notificar al IRS sobre la pérdida de datos del Formulario W-2 y brinde información de contacto, tal como se detalla a continuación.

En la línea de asunto, escriba “W2 Data Loss” para que el correo electrónico se pueda enrutar correctamente. No adjunte ningún dato de información de identificación personal del empleado.

Incluya lo siguiente:

Nombre del negocio

Número de identificación comercial del empleador (EIN) asociado con la pérdida de datos

Nombre de contacto

Teléfono de contacto

Resumen de cómo ocurrió la pérdida de datos

Número de empleados afectados