Hoy en día, todos debemos estar atentos para evitar que nuestra información fiscal y financiera caiga en las manos equivocadas. A medida que los procesos de declaración de impuestos se vuelven cada vez más digitales e instantáneos para satisfacer los nuevos hábitos de los usuarios, la superficie de ataque de los contribuyentes se amplía exponencialmente, especialmente si no se aplican precauciones básicas de seguridad y no se mantiene una conciencia cibernética adecuada.
En medio de la creciente preocupación por preservar la integridad de nuestras identidades digitales, un tipo de ataque se ha proliferado: el fraude fiscal y las estafas en línea, cuya gravedad y frecuencia se han convertido en una verdadera epidemia en los últimos años.
La transformación digital está acelerándose en muchos servicios gubernamentales nacionales e internacionales. En Estados Unidos, la mayoría de las personas (136 millones hasta la fecha) ya han presentado sus declaraciones de impuestos en línea en 2025, y el Reino Unido ha anunciado que las obligaciones de Making Tax Digital (MTD) para el registro digital de ingresos y gastos serán obligatorias a partir de abril de 2026. Otros países están implementando medidas similares, pero eso no reduce la necesidad de contar con una ciberseguridad y protección de identidad digital sólidas. De hecho, resalta la urgencia de adoptar medidas más estrictas y proactivas.
Para los contribuyentes, no basta con dejarse llevar por la comodidad y el ahorro de tiempo que ofrecen los procesos digitales de declaración de impuestos. Por muy tediosos que fueran antes, sigue siendo esencial mantener una vigilancia cibernética constante en cada paso.
Y para los profesionales de la ciberseguridad, comprender la anatomía de un proceso de declaración aparentemente legítimo que en realidad es una sofisticada estafa de ingeniería social y robo de información resulta fundamental. Se trata de dar a todos las herramientas para proteger su información personal con confianza, mientras se promueve una conducta de seguridad adecuada en un componente esencial de la infraestructura nacional.
Estafas comunes relacionadas con la declaración de impuestos
Uno de los tipos más comunes de fraude fiscal implica campañas de phishing, que suelen presentarse como correos electrónicos que aparentan provenir de organismos oficiales como el IRS (en Estados Unidos) o HMRC (en el Reino Unido). Estos correos crean un sentido de urgencia con su redacción, tentando al usuario a reclamar un reembolso o responder a supuestos cargos criminales o legales (que en realidad no existen). Sin embargo, las tendencias recientes muestran que las tácticas de phishing han evolucionado hasta el punto de explotar la psicología humana.
Según la inteligencia de seguridad de Microsoft, entre el 12 y el 28 de febrero de 2025, se enviaron correos electrónicos de phishing con temática fiscal a más de 2.300 organizaciones, principalmente en Estados Unidos y en los sectores de ingeniería, TI y construcción. Estos ataques se ejecutan de manera estratégica, dirigidos a organizaciones con propiedad intelectual valiosa y datos financieros sensibles.
Los expertos en ciberseguridad advierten sobre un aumento en el uso de la inteligencia artificial (IA) para crear mensajes y correos electrónicos de phishing cada vez más convincentes, que parecen más “legítimos” y humanos en su persuasión. Se prevé que, con el tiempo, aparezcan más comunicaciones falsas del IRS o HMRC generadas mediante IA, lo que hará que los métodos tradicionales de detección sean menos efectivos.
Señales de advertencia comunes en las estafas de declaración de impuestos
La primera línea de defensa contra cualquier intento de fraude financiero o de declaración de impuestos se basa en comprender los certificados digitales y las conexiones seguras.
Los sitios web fiscales legítimos, incluidos el IRS, las agencias tributarias estatales y los proveedores de software fiscal autorizados, implementan certificados SSL/TLS de Validación Extendida (EV), que ofrecen el más alto nivel de autenticación. Estos certificados pasan por rigurosos procesos de verificación para confirmar la existencia legal de la organización y su control operativo.
Al acceder a cualquier sitio web relacionado con impuestos, los profesionales de ciberseguridad deben verificar inmediatamente la presencia de certificados SSL/TLS en la barra de direcciones del navegador (indicados por un símbolo de candado), cadenas de certificados válidas que se remonten a Autoridades Certificadoras (CA) confiables y nombres de dominio correctos que coincidan con los del gobierno o con proveedores fiscales reconocidos.
Por lo general, se puede identificar si un sitio fiscal es fraudulento al detectar certificados de Validación de Dominio (DV) o incluso certificados falsificados. Los certificados DV proporcionan cifrado, pero no verifican la identidad de la organización que aloja el sitio. Aquí es donde los protocolos de autenticación de correo electrónico, como SPF, DKIM y DMARC, resultan útiles para confirmar la autenticidad de las comunicaciones relacionadas con impuestos. Los organismos y autoridades legítimos utilizan estos protocolos, y su ausencia debe considerarse una señal de alerta.
Además, los documentos fiscales auténticos suelen incluir firmas digitales respaldadas por una infraestructura PKI válida. Estas firmas criptográficas proporcionan no repudio y verificación de integridad, y son prácticamente imposibles de falsificar sin acceso a las claves privadas.
Amenazas emergentes de estafas financieras
-
Aprendizaje automático (ML) en la detección de fraudes: A medida que los actores maliciosos despliegan más ataques impulsados por IA, las organizaciones deben responder de manera similar, con capacidades de detección más sólidas. Los sistemas contemporáneos de detección de fraudes deben estar equipados con tecnología de respuesta rápida que analice patrones de comportamiento, detecte anomalías en documentos (a menudo a nivel de píxel), contraste información con múltiples fuentes de datos y proporcione inteligencia de amenazas en tiempo real. Esto permite a los responsables de la toma de decisiones actuar sobre información que podrían pasar por alto en revisiones manuales.
-
Fraude de identidad sintética: Un desafío emergente en el fraude fiscal moderno implica la creación de identidades y personas falsas, construidas combinando información real y ficticia. Estas identidades pueden pasar verificaciones de nivel básico, continuando actividades fraudulentas al haber eludido esencialmente los protocolos de seguridad iniciales. Las capacidades de detección deben mejorarse exponencialmente a través de múltiples fuentes de datos y plataformas, para permitir la monitorización continua de la actividad de usuarios sospechosos de ser falsos y diferenciarlos de aquellos que son auténticos.
¿Qué pueden hacer las organizaciones para combatir el aumento del fraude en las declaraciones de impuestos?
Las organizaciones que manejan datos fiscales a gran escala deberían considerar la implementación de marcos de trabajo integrales, que incluyan:
- Módulos de Seguridad de Hardware (HSM) para proteger las claves criptográficas utilizadas en el procesamiento de documentos fiscales y en firmas digitales.
- Autenticación Multifactor (MFA), incluyendo la autenticación basada en certificados como uno de los factores, proporcionando una capa sólida de verificación de identidad.
- Arquitectura de Confianza Cero (Zero Trust Architecture, ZTA) que valide continuamente cada transacción y solicitud de acceso, sin importar la ubicación de origen.
- Seguridad avanzada de correo electrónico con detección de amenazas impulsada por inteligencia artificial.
- Procedimientos de respuesta a incidentes 24/7 en toda la infraestructura de la organización, junto con ejercicios regulares de red team y pruebas de penetración para validar la efectividad de la respuesta de los equipos de seguridad.
Además, el tráfico de red requiere una supervisión extensa y minuciosa, manteniendo los estándares de protección. Esto incluye certificate pinning para cualquier comunicación con autoridades fiscales confiables y validadas (para prevenir ataques de intermediario o MITM), filtrado de DNS para bloquear el acceso a dominios conocidos como fraudulentos o sospechosos, y segmentación de red para aislar los sistemas de procesamiento fiscal de las redes de código abierto, creando una capa adicional de seguridad.
Los profesionales fiscales deben asegurarse de que los detalles de los certificados de todos los sitios web fiscales y el software asociado puedan ser verificados. Siempre que sea posible, se deben implementar protocolos de transferencia de archivos seguros para los documentos y medidas de autenticación basadas en certificados. También les conviene compartir inteligencia de amenazas actualizada entre sus colegas y con el sector en general, para fortalecer los esfuerzos contra el fraude y el lavado de dinero.
Elige GlobalSign para mejorar la postura de seguridad en toda la organización
A medida que la administración fiscal digital se vuelve más aceptada globalmente, la convergencia entre ciberseguridad y cumplimiento fiscal se hará más evidente. Las organizaciones que inviertan en infraestructura PKI robusta, detección avanzada de amenazas y marcos de seguridad integrales estarán, más temprano que tarde, en una posición privilegiada para afrontar desafíos más complejos.
Mantener una sólida higiene de ciberseguridad requiere la disposición de adaptarse a nuevos escenarios y desarrollos con confianza, aprovechando lo último en tecnología PKI, gestión de certificados e inteligencia de amenazas para mantenerse un paso adelante de ataques cibernéticos cada vez más sofisticados y de actores maliciosos decididos.
Para obtener más información sobre la implementación de soluciones PKI y certificados digitales para mejorar la seguridad fiscal, explora las soluciones de seguridad empresarial y las plataformas de gestión de certificados de GlobalSign.
Contacta a nuestro equipo para obtener más información
Nota: Este artículo de blog fue escrito por un colaborador invitado con el objetivo de ofrecer una mayor variedad de contenido a nuestros lectores. Las opiniones expresadas en este artículo de autor invitado son exclusivamente del colaborador y no reflejan necesariamente las de GlobalSign
