Ataque de Spear Phishing Expone la Información Fiscal de 3 mil Empleados de una Institución Educativa

Al parecer no hay nada que detenga a la racha de fraudes cometidos con la forma W-2. Un reporte reciente da cuenta de otro ataque que afecta a la información de impuestos, esta ocasión del Tidewater Community College (TCC). Este colegio ubicado en la ciudad de Norfolk del estado de Virginia, Estados Unidos, dio a conocer en una publicación que la información de impuestos de más de 3,000 de sus empleados fue afectada, refiriéndose a “los empleados de tiempo completo y de medio tiempo, adjuntos y titulares actuales y anteriores”.

Esto significa que la información de quienes hayan recibido ingresos gravables de dicha institución en 2015 podría haberse expuesto. De acuerdo con la publicación del TCC, el ataque comprometió información personal que incluía nombres, número de empleado, número de seguridad social, salarios e impuestos federales, salarios e impuestos del seguro social, salarios e impuestos estatales, e incluso deducciones por seguros médicos, fondos de retiro y cuidado de personas dependientes. Sin embargo, el TCC también aclaró que los datos robados no incluyen direcciones, fechas de nacimiento, información de los cónyuges, direcciones de correo electrónico ni credenciales bancarias.

Por su parte, Marian Anderfuren, Directora de Información Pública del colegio, dijo que las investigaciones iniciaron después de que la autoridad fiscal de Estados Unidos, el IRS, le notificó a varios empleados que ya se les había hecho la devolución de impuestos usando sus números de seguridad social. Posteriormente se descubrió que el 2 de marzo de 2016, un empleado envío un correo electrónico a un receptor desconocido que parecía haber provenido de una cuenta legítima del TCC. Se identificó entonces que la solicitud fue una treta y que el archivo que contenía la información fiscal del empleado se había enviado a una cuenta controlada por un cibercriminal – una táctica clásica utilizada en los ataques de spear-phishing.

Apenas hace una semana, una táctica similar fue utilizada por los atacantes que estuvieron detrás de la brecha que sufrió la cadena de supermercados Sprouts Farmers Market, en el mismo estado de Virginia. Un mensaje de correo electrónico que se hizo pasar como la solicitud de un ejecutivo logró engañar al empleado del departamento de nómina para que éste enviara las declaraciones hechas con la forma W-2 de 2015 a una cuenta fraudulenta, exponiendo así la información de impuestos de más de 21,000 empleados. En el último mes, Seagate y Snapchat también se agregaron a la larga lista de corporaciones que fueron blanco de ataques de phishing similares.

De acuerdo con un análisis que abarcó una década de brechas de datos que afectaron a los Estados Unidos, el sector educativo es la segunda industria más afectada por este tipo de ataques, y representa 17% de todos los casos reportados. Sin embargo, aquí la pregunta más importante es: ¿A dónde van a parar los datos robados?

Los ataques de phishing y los fraudes mediante el Compromiso del Correo Electrónico Comercial (BEC) normalmente están diseñados para persuadir engañosamente a un objetivo para que envíe dinero desde una compañía a una cuenta controlada por los cibercriminales. Sin embargo, los incidentes recientes también muestran lo valiosa que puede ser la información fiscal y la información personalmente identificable (PII) de los empleados para los atacantes.

Anderfuren señaló, “Esto afecta a todos, comenzando por la presidente del colegio. Esta es una época de tensión en el año ya que es la temporada en la que se presentan las declaraciones de impuestos, lo cual agrega otra dosis de tensión a lo que la gente ya está enfrentando. Por supuesto, estamos muy sensible a eso porque lo estamos viviendo nosotros mismos”. 

En un comunicado separado dirigido a los empleados del colegio, Edna Kolovani, la Presidente del TCC, confirmó que el IRS le ha notificado a por lo menos 15 empleados que se había realizado la devolución utilizando sus números de seguridad social.

Los datos que lograron hurtarse – ya sea en la forma de expedientes médicos o de información de impuestos – es un producto muy valorado en los mercados clandestinos. Además de tener valor como producto que pueden venderse en el mundo subterráneo, los datos también se pueden utilizar para perpetrar ataques futuros.

En una alerta emitida a principios de este año, el IRS le advirtió al público de un incremento de las causas de fraudes relacionadas con impuestos de 400% reportados este año, lo que representa un crecimiento importante respecto al año pasado. De hecho, de enero a febrero ya se han reportado 1,389 incidentes, más de los 2,748 incidentes reportados a lo largo de 2015. Además de los usuarios y las organizaciones, se reportó que se utilizaban las mismas técnicas para atacar también a los asesores fiscales en un intento por robar credenciales del servicio del IRS. En una declaración, John Koskinen, comisionado del IRS, indicó, “Tenga cuidado con los defraudadores que logran colar estos correos electrónicos con apariencia oficial a los buzones con el fin de confundir a la gente que trabaja en sus impuestos. Invitamos a la gente a no abrir estos correos”. 

Como lo señala el TCC, “Ninguna tecnología evitará el phishing, el spear-phishing u otros intentos de cometer fraudes electrónicos. El viejo adagio ‘Piensa antes de actuar’ se aplica aquí”. 

Los ejecutivos del TCC actualmente están colaborando con las autoridades para encontrar a la fuente del ataque. Además, se emitió una normativa para que los empleados que manejan información altamente confidencial reciban capacitación en seguridad cibernética. Los empleados afectados recibirán servicios gratuitos de monitoreo de crédito, y se ha abierto una línea telefónica dedicada para los empleados que pudieran haber sido afectados por la brecha.


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.