Microsoft alerta sobre phishing del IRS que afecta a 29,000 usuarios
Publicado el
Alerta de phishing del IRS
Microsoft ha emitido una advertencia sobre recientes campañas de phishing que han afectado a más de 29,000 usuarios en Estados Unidos, aprovechando la proximidad de la temporada de impuestos. Estas campañas utilizan correos electrónicos que simulan ser notificaciones de reembolsos, formularios de nómina y recordatorios de presentación, con el objetivo de engañar a los destinatarios para que abran archivos adjuntos maliciosos o interactúen con enlaces sospechosos.
Según los equipos de Microsoft Threat Intelligence y Microsoft Defender Security Research, muchos de estos ataques están dirigidos tanto a individuos como a profesionales contables que manejan datos sensibles. Estos correos buscan robar información personal y financiera, explotando la urgencia que caracteriza a la época fiscal.
Técnicas utilizadas en las campañas
Las tácticas incluyen el uso de páginas de phishing diseñadas a través de plataformas de Phishing-as-a-Service (PhaaS). Algunos de los métodos destacados son: - CPA lures: Utilizan señuelos relacionados con contadores públicos certificados para enviar páginas de phishing asociadas al kit Energy365, que se estima envía cientos de miles de correos maliciosos diariamente. - QR codes y W2 lures: Apuntan a aproximadamente 100 organizaciones en sectores como fabricación, retail y salud, redirigiendo a páginas que imitan las de inicio de sesión de Microsoft 365 para robar credenciales y códigos de autenticación de dos factores (2FA). - Dominios temáticos fiscales: Engañan a los usuarios para que hagan clic en enlaces falsos bajo la premisa de acceder a formularios fiscales actualizados, distribuyendo herramientas como ScreenConnect. - Suplantación del IRS: Utilizando un señuelo de criptomoneda, se envían instrucciones a las universidades para descargar un "Formulario de Impuestos de Criptomonedas 1099" desde dominios maliciosos como "irs-doc[.]com" o "gov-irs216[.]net".
Campaña masiva detectada
El 10 de febrero de 2026, Microsoft detectó una campaña de phishing masiva que afectó a más de 29,000 usuarios en 10,000 organizaciones. Aproximadamente el 95% de los objetivos se encontraban en Estados Unidos, abarcando sectores como servicios financieros (19%), tecnología y software (18%), y retail (15%). Los correos electrónicos se hacían pasar por el IRS, alegando irregularidades en las declaraciones fiscales presentadas bajo el Número de Identificación de Presentación Electrónica (EFIN) del destinatario.
Al hacer clic en el botón "Descargar IRS Transcript View 5.1", los usuarios eran redirigidos a smartvault[.]im, un dominio que se disfrazaba de SmartVault, una plataforma de gestión de documentos conocida. Este sitio de phishing utilizaba Cloudflare para eludir bots y escáneres automatizados, asegurando que solo los usuarios humanos recibieran el payload malicioso: un ScreenConnect empaquetado maliciosamente que otorgaba acceso remoto a los atacantes.
Recomendaciones de seguridad
Para protegerse contra estos ataques, se recomienda a las organizaciones implementar 2FA para todos los usuarios, establecer políticas de acceso condicional, y monitorizar y escanear correos electrónicos y sitios web visitados. Además, se debe prevenir el acceso a dominios maliciosos.
Conclusión
Esta serie de ataques pone de manifiesto la creciente sofisticación de las amenazas en el entorno digital, especialmente durante períodos críticos como la temporada de impuestos. Las organizaciones deben estar alerta y adoptar medidas proactivas para salvaguardar sus datos y los de sus clientes.