las empresas estadounidenses deben tener cuidado con una estafa de phishing de Formulario W-2 que hizo víctimas de cientos de organizaciones y miles de empleados el año pasado.

el IRS dice que la estafa del Formulario W-2 ha surgido como uno de los correos electrónicos de phishing más peligrosos en la comunidad tributaria. Durante las dos últimas temporadas de impuestos, los ciberdelincuentes engañaron al personal de nómina o a las personas con acceso a la información de nómina para que revelaran información confidencial para toda la fuerza de trabajo., La estafa afectó a todo tipo de empleadores, desde pequeñas y grandes empresas hasta escuelas y universidades públicas, hospitales, gobiernos tribales y organizaciones benéficas.

informa a [email protected] de víctimas y no víctimas sobre esta estafa saltó a aproximadamente 900 en 2017, en comparación con un poco más de 100 en 2016. El año pasado, más de 200 empleadores fueron victimizados, lo que se tradujo en cientos de miles de empleados que tenían sus identidades comprometidas.al alertar a los empleadores ahora, el IRS y sus socios en el esfuerzo de la Cumbre de seguridad esperan limitar el éxito de esta estafa en 2018., El año pasado el IRS también creó un nuevo proceso por el cual los empleadores deben reportar estas estafas. Hay pasos que el IRS puede tomar para proteger a los empleados, pero solo si la agencia es notificada inmediatamente por los empleadores sobre el robo.

así es como funciona la estafa: los ciberdelincuentes hacen su tarea, identificando a los directores de operaciones, ejecutivos de escuelas u otros en posiciones de autoridad. Utilizando una técnica conocida como Business email compromise (BEC) o business email spoofing (BES), los estafadores que se hacen pasar por ejecutivos envían correos electrónicos al personal de nómina solicitando copias de los formularios W-2 para todos los empleados.,

el Formulario W-2 contiene el nombre, dirección, número de Seguro Social, ingresos y retenciones del empleado. Los delincuentes usan esa información para presentar declaraciones de impuestos fraudulentas, o la ponen a la venta en la red oscura.

el correo electrónico inicial puede ser un intercambio amistoso de «Hola, estás trabajando hoy» antes de que el estafador solicite toda la información del Formulario W-2. En varios casos denunciados, después de que los estafadores obtuvieran la información sobre la fuerza de trabajo, inmediatamente siguieron esa solicitud con una solicitud de transferencia bancaria.,

además de educar al personal de nómina o finanzas, el IRS y los Socios de Security Summit también instan a los empleadores a considerar la creación de una política para limitar el número de empleados que tienen autoridad para manejar las solicitudes del Formulario W-2 y que requieren procedimientos de verificación adicionales para validar la solicitud real antes de enviar por correo electrónico datos confidenciales, como los formularios W-2 de los empleados.

si la empresa u organización víctima de estos ataques notifica al IRS, el IRS puede tomar medidas para ayudar a evitar que los empleados sean víctimas de robo de identidad relacionado con impuestos., Sin embargo, debido a la naturaleza de estas estafas, algunas empresas y organizaciones no se dieron cuenta durante días, semanas o meses de que habían sido estafados.

el IRS estableció una dirección especial de notificación por correo electrónico específicamente para que los empleadores reporten los robos de datos del Formulario W-2. Así es como las víctimas de la estafa del Formulario W-2 pueden notificar al IRS:

• Correo electrónico [email protected] para notificar al IRS de una pérdida de datos del Formulario W-2 y proporcionar información de contacto, como se indica a continuación.
• En la línea de Asunto, escriba «W2 Data Loss» para que el correo electrónico se pueda enrutar correctamente., No adjunte ningún dato de información de identificación personal del empleado.
• incluya lo siguiente:
• Nombre de la empresa
• Número de identificación del empleador de la empresa (ein) asociado con la pérdida de datos
• Nombre de contacto
• Número de teléfono de contacto
• Resumen de cómo se produjo la pérdida de datos
• envíe encabezados por correo electrónico a phishing@IRS.,gov y utilizar «estafa W2» en la línea de asunto.

  Los empleadores pueden obtener más información en el Formulario W-2/SSN robo de Datos: información para empresas y proveedores de servicios de nómina.

  Los empleadores deben ser conscientes de que las estafas de los ciberdelincuentes evolucionan constantemente. El personal de Finanzas y nómina debe estar alerta ante cualquier solicitud inusual de datos de los empleados.