Microsoft advierte sobre campañas de phishing dirigidas a usuarios del IRS: 29,000 afectados

Microsoft ha alertado sobre nuevas campañas de phishing (engaños online) que aprovechan la temporada de impuestos en Estados Unidos para robar información personal y propagar malware (software malicioso). Los correos electrónicos fraudulentos simulan ser avisos de reembolso, formularios de nómina o recordatorios de presentación de impuestos, engañando a los destinatarios para que abran archivos adjuntos maliciosos, escaneen códigos QR o hagan clic en enlaces sospechosos.

Cómo funciona el ataque

Estas campañas de phishing utilizan varias técnicas para engañar a las víctimas:

• Páginas de phishing: Algunos correos dirigen a los usuarios a páginas web falsas diseñadas para robar sus credenciales (nombre de usuario y contraseña) a través de plataformas PhaaS (Phishing-as-a-service, o 'phishing como servicio'). Un ejemplo es el kit Energy365, que envía cientos de miles de correos maliciosos al día.
• Códigos QR y archivos W2 falsos: Se utilizan códigos QR y formularios W2 (documento fiscal estadounidense) falsos para dirigir a los usuarios a páginas de inicio de sesión falsas de Microsoft 365, creadas con la plataforma SneakyLog (también conocida como Kratos), con el objetivo de robar sus credenciales y códigos de autenticación de dos factores (2FA).
• Dominios temáticos de impuestos: Se utilizan dominios web que simulan ser oficiales para engañar a los usuarios y hacer que hagan clic en enlaces fraudulentos bajo el pretexto de acceder a formularios de impuestos actualizados. Estos enlaces instalan ScreenConnect, un software de acceso remoto que permite a los atacantes controlar el dispositivo de la víctima.
• Suplantación del IRS con señuelos de criptomonedas: Se suplanta al Servicio de Impuestos Internos (IRS) con un señuelo de criptomonedas, pidiendo a las víctimas que descarguen un formulario de impuestos sobre criptomonedas desde dominios maliciosos.
• Herramientas RMM: En algunos casos, los ataques instalan herramientas legítimas de monitorización y gestión remota (RMM), como ConnectWise ScreenConnect, Datto y SimpleHelp, para obtener acceso persistente a los dispositivos comprometidos.

A quién afecta

Una campaña a gran escala el 10 de febrero de 2026 afectó a más de 29,000 usuarios en 10,000 organizaciones. El 95% de los objetivos estaban ubicados en Estados Unidos, abarcando sectores como servicios financieros (19%), tecnología y software (18%) y comercio minorista y bienes de consumo (15%). Se observó que algunos ataques se dirigían específicamente a contadores y organizaciones relacionadas.

Cómo protegerse

Microsoft recomienda las siguientes medidas para protegerse contra estos ataques:

• Activar la autenticación de dos factores (2FA) para todos los usuarios.
• Implementar políticas de acceso condicional.
• Monitorear y escanear los correos electrónicos entrantes y los sitios web visitados.
• Impedir que los usuarios accedan a dominios maliciosos conocidos.

Qué significa esto para ti

Estos ataques demuestran la importancia de estar alerta ante correos electrónicos sospechosos, especialmente durante la temporada de impuestos. Verifica siempre la legitimidad de los remitentes y los enlaces antes de proporcionar información personal o descargar archivos. Activar la autenticación de dos factores (2FA) añade una capa extra de seguridad a tus cuentas. Mantente informado sobre las últimas estafas y comparte esta información con tus conocidos.