Los Beatles compusieron la canción The Taxman (el recaudador de impuestos) en 1966, cuando los impuestos en Gran Bretaña a los ricos eran mucho más altos que ahora.
Era la era donde el impuesto sobre la renta se reducía a “usted frente a sus ingresos”, el ahorrador contra el gobierno, el individuo contra la sociedad.
¡Cómo han cambiado las cosas!
En estos días, hay un tercer jugador en el juego del impuesto sobre la renta: los ciberdelincuentes.
Los impuestos ahora incluyen un nuevo tipo de campo de batalla, con los contribuyentes y el IRS como aliados inesperados en un lado y los ciberdelincuentes en el otro.
Esto se debe a lo que se conoce muy como estafas de reembolso de impuestos.
Hemos escrito sobre estafas de reembolso de impuestos muchas veces antes, y la forma en que funcionan se explica fácilmente.
En pocas palabras, los ciberdelincuentes averiguan lo suficiente sobre su víctima como para presentar una declaración de impuestos de aspecto realista en su nombre y luego hacen exactamente eso, excepto que subestiman sus ingresos de manera tan convincente que el IRS paga un reembolso, en una cuenta bancaria proporcionada por los ciberdelincuentes que rápidamente desaparecen con el dinero.
Eso significa que los delincuentes han robado ese dinero no solo a la víctima, no solo al gobierno, sino esencialmente de todos nosotros: el dinero reembolsado se drena del sistema y nunca se volverá a ver.
Al final tenemos una declaración de impuestos fraudulenta presentada, el gobierno termina con un gran hueco en sus ingresos fiscales y resolver el fraude puede llevar años.
Una ventaja injusta
Los ciberdelincuentes tienen una ventaja injusta, solo por la forma en que la mayoría de nosotros, de manera razonable, legal y comprensible, gestionamos nuestras declaraciones de impuestos.
Muchos países otorgan una cantidad de tiempo bastante generosa para presentar declaraciones de impuestos, prefiriendo respuestas lentas pero correctas a las presentaciones apresuradas que necesitan una revisión constante. Muchos contribuyentes dedican una cantidad bastante generosa de tiempo para completar el papeleo.
Como resultado, los estafadores de reembolso de impuestos no tienen muchos problemas para obtener sus declaraciones falsas antes de que los contribuyentes reales presenten la suya.
Además, muchos, si no la mayoría de los países, prefieren que las presentes online, para reducir los costes que conlleva hacerlo de manera presencial.
Y muchos, si no la mayoría de los contribuyentes, prefieren hacer exactamente eso, porque es más fácil y menos estresante que manejar páginas y páginas de formularios manuscritos como antiguamente.
Como resultado, los estafadores de reembolso de impuestos tienen una gran cantidad de terreno para estafar de manera remota, no necesitan correr el riesgo de visitar una oficina de impuestos en persona por cada contribuyente que quieran suplantar.
Por ejemplo, los estafadores afirman que sus víctimas, por supuesto, no pudieron trabajar durante una parte significativa del año, por ejemplo debido a una lesión o enfermedad, y por lo tanto, los impuestos que pagaron hasta ese momento son más de los que debían pagar.
Si los ciberdelincuentes pueden proporcionar documentación falsa pero creíble, las oficinas de impuestos en muchos países generalmente emitirán un reembolso de forma automática y bastante rápida.
Después de todo, la oficina de impuestos sabe dónde vives, por lo que puede y lo procesará y devolverá el dinero si se proporciona información falsa, por lo que un sistema de reembolso eficiente puede considerarse justo y bastante seguro.
A menos que el dinero reembolsado se drene completamente del sistema, por supuesto.
Tapar las fugas
El IRS está decidido a tapar las fugas, especialmente durante el brote de coronavirus, donde la presentación remota de todo se ha convertido en la norma.
El IRS se encuentra actualmente en el medio de una serie de cinco pasos llamada Trabajar virtualmente: proteger los datos fiscales en el hogar y en el trabajo, con la ayuda de los departamentos gubernamentales a nivel estatal y federal, profesionales de impuestos e instituciones financieras.
La parte 2 de la serie de cinco partes acaba de salir y podemos informar que su consejo principal es realmente simple:
Use autenticación de múltiples factores para proteger cuentas.
De hecho, a partir de 2021, el IRS exigirá que todos los proveedores de software de impuestos ofrezcan autenticación multifactor y espera que todos los profesionales de impuestos que preparen declaraciones utilicen esta función:
A partir de 2021, todos los proveedores de software de impuestos deberán ofrecer opciones de autenticación de múltiples factores en sus productos que cumplan con estándares más altos. Muchos ya lo hacen. Una autenticación de múltiples factores o de dos factores ofrece una capa adicional de protección para el nombre de usuario y la contraseña usados por el profesional de impuestos. A menudo implica un código de seguridad enviado por texto.
El uso de la autenticación de múltiples factores es el segundo de una serie de cinco partes llamada Trabajo virtual: Protección de datos tributarios en el hogar y trabajo. La iniciativa de concienciación pública del IRS, las agencias tributarias estatales y la industria tributaria del sector privado que trabaja en conjunto como la Cumbre de Seguridad, destaca los pasos básicos de seguridad para todos los profesionales, pero especialmente aquellos que trabajan a distancia o distanciamiento social en respuesta a COVID-19.
[…]
De los numerosos robos de datos reportados al IRS por las oficinas de profesionales de impuestos este año, la mayoría pudo haberse evitado si el profesional hubiera usado la autenticación de múltiples factores para proteger las cuentas de software de impuestos.
¿Qué hacer?
Sabemos que lo hemos repetido más de mil veces, pero no nos cansamos de hacerlo: 2FA no resolverá los problemas de phishing y fraude, pero ralentiza significativamente a los cibercriminales.
Sabemos que es un inconveniente: 2FA agrega un poco de molestia adicional a la experiencia online, pero a cambio, hace las cosas mucho más difíciles para los delincuentes.
Y sabemos que hay muchas excusas para no hacerlo: podrían robar el teléfono, la tarjeta SIM podría intercambiarse para que los delincuentes reciban los mensajes de texto, o podría bloquearse si se deja el teléfono en casa.
Pero en la mayoría de los casos, no robaran tu teléfono (o si lo hacen, estarás protegido por una contraseña e inaccesible de todos modos), tu tarjeta SIM no se intercambiará (e incluso si lo hacen, los ladrones también necesitan tu contraseña), y no te bloquearás (o al menos no después de la primera vez que sucede).
Por qué vale la pena
Hemos descubierto que 2FA se parece un poco a los cinturones de seguridad y los cascos de bicicleta.
Al principio, son bastante molestos de usar, y sientes que son un voto de desconfianza que supone que fracasarás en lugar de respaldarte para tener éxito.
Sin embargo, después de un tiempo, no solo se sienten aceptables sino altamente deseables, porque el esfuerzo involucrado en usarlos es casi cero, y comienzas a sentirte desnudo sin ellos.
El fraude de reembolso de impuestos en EEUU es un claro ejemplo de que los cibercriminales pueden llegar cada vez más lejos y que no solo atacan a las grandes corporaciones, sino que pueden afectarnos personalmente. El 2FA es una medida que ha llegado para quedarse y cada vez será más frecuente en nuestro día a día.