Netcrook Logo
👤 CRYSTALPROXY
🗓️ 23 Mar 2026   🌍 North America

Temporada de Impuestos Convertida en Trampa: 29,000 Usuarios Atrapados en Sofisticada Ola de Phishing del IRS

Atacantes explotan la ansiedad fiscal para desplegar malware remoto, apuntando a miles con correos falsos del IRS y esquemas de robo de credenciales.

Mientras millones de estadounidenses se apresuran para cumplir con los plazos fiscales, los ciberdelincuentes orquestan una frenética campaña de phishing que se aprovecha del miedo financiero y la confianza en las comunicaciones oficiales. En una escalofriante nueva ola de ataques, Microsoft ha descubierto una campaña masiva que suplanta al IRS, atrapando a más de 29,000 usuarios en 10,000 organizaciones mediante una combinación de ingeniería social y malware sigiloso.

Estas campañas de phishing están meticulosamente programadas para lograr el máximo impacto, explotando la urgencia de la temporada de impuestos y el intercambio rutinario de documentos sensibles. Los atacantes elaboran correos que parecen provenir del IRS, de profesionales fiscales o de departamentos de nómina, atrayendo a las víctimas a abrir archivos adjuntos maliciosos o hacer clic en enlaces que prometen reembolsos o exigen acción inmediata ante supuestas irregularidades.

Una operación particularmente audaz, detectada el 10 de febrero de 2026, aprovechó la infraestructura de correo electrónico de Amazon para distribuir notificaciones falsas del IRS. Los mensajes advertían a los destinatarios sobre posibles declaraciones de impuestos fraudulentas presentadas bajo su Número de Identificación de Presentación Electrónica (EFIN), instándolos a descargar un falso “Visor de Transcripciones del IRS”. Este engaño redirigía a los usuarios a un sitio web falso que se hacía pasar por SmartVault - una plataforma de gestión documental de confianza - donde las víctimas instalaban sin saberlo ScreenConnect, una herramienta legítima de RMM reutilizada para el cibercrimen.

No conformes con cebos genéricos, los atacantes también apuntaron a contadores, profesionales de finanzas e incluso instituciones de educación superior. Algunas campañas utilizaron códigos QR o “formularios W2” para capturar credenciales, mientras que otras ofrecían falsos formularios de impuestos sobre criptomonedas. El objetivo subyacente permanecía constante: recolectar direcciones de correo, contraseñas e incluso códigos de autenticación de dos factores, y luego aprovechar el software RMM para mantener un acceso prolongado y desapercibido a los sistemas comprometidos.

Los equipos de inteligencia de amenazas de Microsoft también observaron un fuerte aumento en las plataformas de “Phishing-como-Servicio” (PhaaS) como Energy365 y SneakyLog, que automatizan la creación y distribución de sitios de phishing convincentes. Estos kits envían cientos de miles de correos maliciosos diariamente, facilitando que atacantes menos sofisticados lancen campañas a gran escala.

Investigadores de seguridad advierten que las herramientas RMM, comúnmente utilizadas por personal legítimo de TI, suelen pasar desapercibidas para los equipos de seguridad - lo que hace que su abuso por parte de atacantes sea especialmente peligroso. El uso de RMM en el cibercrimen ha aumentado un 277% año tras año, según Huntress, lo que subraya la necesidad de una vigilancia constante y controles de acceso estrictos.

Con los ataques de phishing volviéndose cada vez más sofisticados y aprovechando software de confianza, se insta a las organizaciones a aplicar autenticación multifactor, examinar cuidadosamente los correos entrantes, restringir el acceso a dominios maliciosos conocidos y auditar regularmente el uso no autorizado de RMM. Mientras continúa la temporada de impuestos, la línea entre los negocios rutinarios y el engaño digital nunca ha sido tan delgada.

WIKICROOK

  • Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Monitoreo y Gestión Remota (RMM): El Monitoreo y Gestión Remota (RMM) son herramientas de TI que permiten a los profesionales controlar, monitorear y mantener computadoras de forma remota - útiles para soporte, pero riesgosas si se usan indebidamente.
  • Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Dos: La autenticación de dos factores (2FA) es un método de seguridad que requiere dos tipos diferentes de identificación para acceder a una cuenta, dificultando los ataques.
  • Robo de Credenciales: El robo de credenciales es la sustracción de datos de inicio de sesión, como nombres de usuario y contraseñas, a menudo mediante sitios web falsos o correos electrónicos engañosos.
Phishing IRS Scam Credential Theft
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news