Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    Las empresas de contabilidad en el punto de mira con la estafa fiscal RAT

    Los ciberdelincuentes aprovechan la temporada de impuestos para aprovecharse de los contables mediante sofisticadas estafas por correo electrónico

    by Samantha Clarke

    Key Points

    • Según la inteligencia de amenazas de Mimecast, los métodos avanzados de entrega de malware que explotan mega.nz, ScreenConnect, y ESPs como Sendgrid se utilizan para eludir las medidas de seguridad tradicionales durante la temporada de cierre de impuestos en Estados Unidos. 
    • Los contables son el principal objetivo de los ciberdelincuentes durante la temporada fiscal estadounidense; sufren ataques de ingeniería social en combinación con troyanos de acceso remoto, conocidos como la estafa fiscal RAT, que se aprovechan de su cansancio y agobio durante esta ajetreada época de trabajo.
    • Los investigadores de amenazas de Mimecast descubrieron estafas fiscales con RAT, lo que demuestra cómo los ciberdelincuentes encuentran el camino hacia la víctima. En la segunda quincena de febrero de 2025, las empresas de contabilidad fueron atacadas de forma significativa con correos electrónicos de ingeniería social relacionados con los impuestos. 

    Durante la temporada de impuestos, las empresas de contabilidad, a menudo agitadas y sobrecargadas de trabajo, se convierten en objetivos principales de los ciberataques. Uno de los esquemas más insidiosos es la estafa fiscal RAT (troyano de acceso remoto), que aprovecha la ingeniería social y el malware para robar credenciales críticas y datos confidenciales de los clientes. Siga leyendo para desentrañar la mecánica de la estafa fiscal RAT, examinar las técnicas que utilizan los atacantes y obtener consejos para defenderse de este tipo de amenazas.

    El arma de doble filo de la temporada de impuestos 

    Para muchos estadounidenses, la temporada de impuestos supone un alivio (o un pavor), dependiendo de si se avecinan reembolsos o cuotas. Pero para los contables, este ajetreo anual significa largas horas haciendo malabarismos con grandes cargas de trabajo y plazos ajustados. Durante este periodo, las empresas de contabilidad suelen generar una parte importante de sus ingresos anuales, al tiempo que gestionan una afluencia tanto de declaraciones periódicas como de nuevos clientes en busca de asistencia. 

    Por desgracia, este periodo lleno de estrés ofrece una oportunidad a los ciberdelincuentes, que aprovechan las distracciones típicas de la temporada de impuestos para lanzar ataques. 

    Por qué los contables son el principal objetivo 

    Los contables son objetivos atractivos debido a su acceso tanto a los sistemas financieros como a la IIP (Información de Identificación Personal). Desde pequeñas empresas de contadores públicos hasta corporaciones contables multinacionales, las recompensas para los ciberdelincuentes son inmensas. Para agravar el riesgo, la temporada de impuestos suele implicar la generación de nuevos negocios, lo que hace que los contables se sientan más inclinados a confiar en consultas aparentemente legítimas de clientes potenciales. 

    ¿Qué es la estafa fiscal RAT? 

    En el corazón del esquema se encuentra el uso de troyanos de acceso remoto (RAT). Las RAT son programas maliciosos avanzados que, una vez descargados, permiten a los atacantes hacerse con el control del dispositivo de la víctima. Esto les permite supervisar la actividad en tiempo real, registrar las pulsaciones de teclas y realizar capturas de pantalla. ¿El objetivo final? Obtenga acceso a cuentas sensibles o datos de clientes. 

    Lo que hace a las RAT especialmente peligrosas es su naturaleza sigilosa. Una vez activas, operan en segundo plano, a menudo sin ser detectadas por el usuario.

    Cómo funciona la estafa fiscal RAT 

    Paso 1: El correo cebo 

    Los actores de las amenazas comienzan investigando a los contables y encontrando sus direcciones de correo electrónico a través de fuentes públicas o bases de datos violadas. Armados con esta información, envían un correo electrónico de consulta inicial que parece legítimo, normalmente haciéndose pasar por un cliente potencial. 

    Por ejemplo, un estafador podría afirmar que su contable habitual se ha jubilado y que necesita ayuda urgente para declarar los impuestos. El correo electrónico no incluye enlaces ni archivos adjuntos maliciosos, por lo que parece inofensivo y sortea los filtros de seguridad del correo. 

    Ejemplo de una campaña actual Mimecast detenido:

    En la segunda quincena de febrero de 2025, Mimecast detectó un repunte significativo de la ingeniería social dirigida a empresas de contabilidad. 

    Los estafadores suelen guardar su carga útil para correos electrónicos posteriores. Proponen adjuntar los documentos fiscales anteriores en la correspondencia de seguimiento. En esta fase, están probando sobre todo la receptividad de los contables. 

     

    Paso 2: Enganchar el objetivo 

    Los contables, deseosos de sacar provecho de un nuevo cliente durante su periodo de mayor actividad, suelen responder con prontitud. En este punto, han sido "enganchados" - el atacante tiene ahora su confianza. 

    Paso 3: El seguimiento malicioso 

    El actor de la amenaza envía un segundo correo electrónico en el que afirma incluir la documentación prometida (por ejemplo, declaraciones de la renta o documentos de identidad anteriores). Incrustado dentro del segundo correo electrónico hay un archivo malicioso con un nombre de archivo engañoso como "ClientTaxDocument.pdf.exe". 

    El archivo podría conducir a un sitio de alojamiento compartido, como mega.nz, para ocultar aún más sus intenciones. Tras su descarga, el archivo ejecuta malware como ScreenConnect, una herramienta que facilita el control remoto sobre el dispositivo de la víctima. 

    Un montaje engañoso 

    Una variante de este ataque incluye incluso una grabación inventada del supuesto "contable anterior de la víctima." Este nivel de ingeniería social crea la ilusión de legitimidad, atrayendo a usuarios desprevenidos para que activen el malware. 

    Paso 4: Acceso remoto y violación de datos 

    Una vez que la RAT está activa, el atacante comienza a recopilar datos. Esto puede incluir las credenciales de inicio de sesión, la IIP del cliente (por ejemplo, números de la Seguridad Social, registros financieros) e incluso los códigos de acceso al sistema del contable. 

    Los atacantes también podrían aprovechar ScreenConnect para desplegar malware adicional, como ladrones de información o ransomware. Este último podría encriptar los sistemas de la empresa, paralizando las operaciones hasta que se pague un rescate. 

    Una visión más amplia 

    Las consecuencias de una estafa fiscal RAT exitosa pueden ser catastróficas. Las credenciales robadas permiten a los piratas informáticos infiltrarse en las organizaciones, interrumpir las operaciones y comprometer los datos de los clientes. Para los atacantes, estas credenciales también pueden desbloquear cuentas bancarias sensibles, bases de datos de clientes y sistemas financieros. 

    El papel de las modernas campañas de phishing 

    Cabe destacar que 2024 ha traído consigo campañas de phishing más sofisticadas enviadas a través de proveedores de servicios de correo electrónico (ESP) de confianza como Sendgrid. El uso de ESP legítimos enmascara aún más la intención maliciosa de estos correos electrónicos. 

    Esto subraya la necesidad de que los contables comprueben dos veces las fuentes de los archivos compartidos por correo electrónico y ejerzan la diligencia debida al incorporar nuevos clientes digitalmente. 

    Estrategias defensivas contra los ataques RAT 

    1. Eduque a su equipo 

    La formación en ciberseguridad es primordial, especialmente durante las temporadas de alto riesgo como la época de impuestos. Enseñe a los empleados a detectar los intentos de phishing y a verificar la identidad de los clientes por teléfono u otros métodos antes de hacer clic en enlaces sospechosos o descargar archivos. 

    2. Implemente una sólida seguridad del correo electrónico 

    Implemente soluciones que puedan detectar intentos de phishing, incluso cuando no existan enlaces o archivos adjuntos maliciosos. Los protocolos de autenticación de correo electrónico, como DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework), pueden ayudar a reducir la suplantación de dominios. Es importante utilizar soluciones que puedan identificar los correos electrónicos empresariales comprometidos y detenerlos antes de su entrega para evitar cualquier posible compromiso.

    3. Desconfíe de las extensiones de archivo 

    Anime a su equipo a inspeccionar las extensiones de los archivos antes de abrir los adjuntos. Los archivos que terminan en ".exe" son programas ejecutables y deberían levantar banderas rojas de inmediato a menos que se verifiquen a través de fuentes de confianza. 

    4. Limitar las herramientas de acceso remoto 

    Muchos ciberdelincuentes se aprovechan de herramientas legítimas como ScreenConnect para acceder a los dispositivos. Restrinja este tipo de programas y sólo autorice su uso a través de protocolos informáticos aprobados. 

    5. Realice auditorías periódicas del sistema 

    Audite de cerca los sistemas de red en busca de actividad inusual durante la temporada de impuestos. El tráfico de red sospechoso o los cambios repentinos en el comportamiento de los archivos deben desencadenar investigaciones inmediatas. 

    6. Garantizar la seguridad de las copias de seguridad de los datos 

    Realice con frecuencia copias de seguridad de todos los archivos y datos confidenciales de los clientes, almacenándolos en ubicaciones seguras y sin conexión. Esto garantiza la resistencia de la empresa ante un ataque de ransomware. 

    7. Utilice software de protección de puntos finales 

    Las soluciones avanzadas de detección y respuesta para puntos finales (EDR) pueden identificar actividades maliciosas como las RAT antes de que causen daños significativos.

    Para llevar

    La estafa fiscal RAT ejemplifica la creciente sofisticación de las ciberamenazas dirigidas a las empresas de contabilidad. Aprovechando el caos de la temporada de impuestos, los atacantes utilizan la ingeniería social y el malware para infiltrarse en las empresas, robar datos valiosos e interrumpir las operaciones.

    Para contrarrestar estas amenazas, las empresas de contabilidad deben dar prioridad a la ciberresiliencia, adoptando medidas sólidas de seguridad del correo electrónico, implantando programas de concienciación sobre ciberseguridad para los empleados y manteniendo prácticas de vigilancia durante los periodos de alto riesgo. 

    Manteniéndose un paso por delante, su empresa puede asegurarse de que, mientras la temporada de impuestos sigue siendo ajetreada, los piratas informáticos se mantienen firmemente a raya. Para obtener información práctica sobre cómo reforzar la postura de ciberseguridad de su empresa, explore el Hub de Inteligencia sobre Amenazas o descargue el último Informe Global de Inteligencia sobre Amenazas

     

    16BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    6 formas en que Mimecast protege el correo electrónico en Microsoft 365

    Related Articles

    Email Collaboration Threat Protection
    Investigación de conductas indebidas en Slack y Microsoft Teams: Qué hacer, qué no hacer y consideraciones de privacidad
    Email Collaboration Threat Protection
    Australia Under Siege: The Alarming Scale of Government Impersonation Scams
    Email Collaboration Threat Protection
    Por qué Mimecast lidera la lucha contra el fraude por correo electrónico en 2024

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top