En plena temporada de declaraciones de impuestos en Estados Unidos, Microsoft ha identificado una serie de campañas de phishing altamente dirigidas que explotan el miedo a inspecciones fiscales y problemas con el IRS para robar credenciales y desplegar software malicioso. Los correos fraudulentos apelan a la urgencia de reembolsos, revisiones y plazos fiscales para inducir a las víctimas a abrir adjuntos, hacer clic en enlaces o incluso escanear códigos QR.
Cómo operan las campañas de phishing en temporada de impuestos
Según análisis de Microsoft Threat Intelligence y Microsoft Defender, los atacantes envían mensajes que imitan con gran fidelidad a la comunicación legítima relacionada con impuestos: notificaciones de devolución, formularios de nómina, recordatorios de presentación de declaraciones y supuestas peticiones de asesores fiscales. Este contexto resulta totalmente creíble en época de campaña fiscal y reduce significativamente la probabilidad de que el usuario detecte el engaño.
Una parte de estas campañas se dirige a contribuyentes individuales y busca obtener datos personales y financieros (identificadores fiscales, credenciales bancarias, información de contacto). Sin embargo, el objetivo prioritario son contables, auditores y asesores fiscales, que gestionan documentación confidencial de múltiples clientes y tienen acceso directo a sistemas financieros corporativos. La toma de control de sus cuentas abre una vía de entrada a la infraestructura de numerosas organizaciones de forma simultánea.
Para escalar y profesionalizar estas operaciones, los grupos criminales recurren a servicios de Phishing-as-a-Service (PhaaS), plataformas que permiten generar de forma rápida páginas fraudulentas que copian la apariencia de bancos, portales del IRS, servicios fiscales en la nube o repositorios de documentos. Este modelo “como servicio” reduce la barrera técnica de entrada y facilita campañas de gran volumen con un alto grado de realismo.
Campaña masiva del 10 de febrero de 2026: suplantación del IRS y despliegue de ScreenConnect
El 10 de febrero de 2026, Microsoft detectó una oleada de phishing a gran escala que afectó a más de 29.000 usuarios en unas 10.000 organizaciones, de las cuales aproximadamente el 95% se encontraban en Estados Unidos. Los sectores más afectados fueron servicios financieros (19%), tecnología y software (18%) y comercio minorista y bienes de consumo (15%).
En esta campaña, los atacantes se hicieron pasar por el Internal Revenue Service (IRS) y alegaban que, bajo el identificador electrónico de presentación del destinatario (EFIN, Electronic Filing Identification Number), se habían tramitado declaraciones sospechosas. Para “verificar” estas presentaciones, se invitaba a descargar una supuesta herramienta oficial denominada “IRS Transcript Viewer”.
Los correos se enviaban mediante Amazon Simple Email Service (SES), lo que favorecía que superaran controles antispam básicos y aumentaba su apariencia de legitimidad. El botón “Download IRS Transcript View 5.1” redirigía a las víctimas al dominio smartvault[.]im, diseñado para hacerse pasar por la conocida plataforma de gestión documental SmartVault.
El sitio malicioso se protegía con Cloudflare, de forma que filtraba gran parte de los escáneres automatizados y mostraba el contenido peligroso principalmente a usuarios reales. La descarga entregaba un cliente de ConnectWise ScreenConnect especialmente empaquetado: una herramienta legítima de monitorización y gestión remota (RMM, Remote Monitoring and Management) que, en este contexto, se empleaba como backdoor encubierto para obtener acceso remoto persistente a los equipos comprometidos.
Una vez instalado, ScreenConnect ofrecía a los atacantes la capacidad de controlar el dispositivo de la víctima, robar información sensible, secuestrar cuentas, instalar herramientas adicionales y avanzar en fases posteriores de la intrusión dentro de la red corporativa.
Abuso de herramientas RMM legítimas: una tendencia en fuerte crecimiento
Esta campaña no es un caso aislado. Distintos informes, entre ellos los de Huntress y Elastic Security Labs, destacan un uso cada vez mayor de soluciones RMM legítimas en actividades maliciosas. Además de ScreenConnect, se han observado abusos de herramientas como Datto y SimpleHelp. Huntress estima que el uso indebido de RMM ha crecido un 277% interanual, un indicador claro de que los atacantes prefieren técnicas discretas basadas en software de confianza.
El problema central reside en que estos productos de administración remota están ampliamente desplegados en entornos empresariales y, en muchos casos, se consideran aplicaciones “confiables”. Como señalan los investigadores de Elastic Security Labs, su actividad suele estar permitida por defecto o incluso incluirse en listas de exclusión de las herramientas de seguridad. Esto facilita que la actividad maliciosa se confunda con tareas rutinarias de soporte IT y pase inadvertida para muchos sistemas de detección y respuesta.
Medidas clave para mitigar el phishing y el abuso de RMM
Para reducir el riesgo durante la temporada de impuestos y más allá, Microsoft recomienda habilitar la autenticación multifactor (MFA/2FA) para todas las cuentas, con especial énfasis en usuarios con privilegios administrativos y en equipos financieros. El uso de políticas de acceso condicional que bloqueen o desafíen los accesos desde dispositivos no gestionados o ubicaciones geográficas inusuales añade una capa adicional de protección frente al robo de credenciales.
En paralelo, resulta crítico reforzar la seguridad del correo electrónico y del tráfico web: desplegar filtros avanzados de contenido y sandboxing para adjuntos y enlaces, verificar la reputación de dominios y configurar correctamente SPF, DKIM y DMARC para dificultar la suplantación de remitentes. Es recomendable monitorizar con especial atención los accesos a dominios recién registrados o con escasa reputación vinculados a temas fiscales, así como tratar los códigos QR en emails de “urgencia” del IRS con el mismo nivel de desconfianza que cualquier enlace.
Respecto a las herramientas RMM, se aconseja mantener un inventario exhaustivo de todas las soluciones de acceso remoto autorizadas, limitar su instalación a fuentes de confianza, restringir la capacidad de instalación a usuarios sin privilegios de administrador y auditar regularmente el uso de ConnectWise ScreenConnect, Datto, SimpleHelp y productos similares. El registro detallado de sesiones remotas y la integración con soluciones EDR/XDR facilita detectar conexiones anómalas o fuera de horario.
La formación del personal sigue siendo un pilar esencial. El personal contable, de tesorería y los asesores fiscales externos deben recibir capacitación periódica para identificar correos de phishing relacionados con el IRS: comprobar cuidadosamente dominios de origen, evitar abrir adjuntos inesperados, validar por canales alternativos cualquier solicitud urgente y desconfiar de descargas de supuestas herramientas de “verificación” de declaraciones.
La combinación de ingeniería social, servicios en la nube legítimos y abuso de herramientas RMM convierte a la temporada de impuestos en un periodo especialmente atractivo para los ciberdelincuentes. Las organizaciones que manejan datos financieros y personales sensibles deberían revisar de forma proactiva sus controles de autenticación, su vigilancia sobre el correo y la web, y su gobierno de accesos remotos. Invertir ahora en medidas técnicas y en concienciación reducirá de forma significativa la probabilidad de que el próximo correo “urgente” del IRS marque el inicio de un incidente grave de ciberseguridad.
