Desde el inicio de 2026, se ha registrado un preocupante incremento en las campañas de phishing relacionadas con impuestos, con más de 100 ataques documentados en lo que va del año. El último informe mensual de amenazas de la empresa Hornetsecurity, publicado en abril, destaca esta tendencia coincidiendo con el comienzo de la temporada de declaración de impuestos y la Campaña de la Renta.
La presión financiera y la urgencia asociadas a los plazos de presentación de impuestos crean un contexto favorable para que los delincuentes cibernéticos lleven a cabo sus tácticas de engaño. Según Carlos Vieira, Country Manager de Hornetsecurity para Iberia, Italia y Latinoamérica, «los delincuentes aprovechan la presión financiera y la gran cantidad de comunicaciones sensibles que circulan entre particulares, empresas y organismos públicos». Este escenario subraya la importancia de que las empresas implementen soluciones de protección para el correo electrónico que sean efectivas y modernas.
Las estrategias de phishing observadas se centran principalmente en suplantar a las autoridades fiscales. Los cibercriminales emplean señuelos vinculados a documentos caducados, reembolsos pendientes o verificaciones de cuentas, dirigiéndose tanto a los contribuyentes individuales como a instituciones financieras y proveedores de servicios. Estos ataques no se limitan a una sola región, sino que se ejecutan en diversas áreas simultáneamente, ajustando los mensajes y tácticas según las entidades y periodos de declaración correspondientes.
El informe también señala un cambio significativo en las metodologías de los atacantes. Algunos de ellos parecen estar más enfocados en recolectar credenciales y tokens a gran escala, en lugar de acceder directamente a las cuentas. Para lograrlo, han comenzado a utilizar herramientas de gestión y monitorización remota (RMM), que permiten un acceso remoto persistente y discreto a los sistemas infectados. Este enfoque representa una desviación importante respecto a las tradicionales tácticas de robo de credenciales que han caracterizado estas campañas históricamente, permitiendo a los atacantes explotar el acceso mucho después de que la campaña original haya concluido.
Este panorama resalta la urgente necesidad de que tanto los usuarios como las instituciones estén alertas y adopten medidas de seguridad adecuadas para protegerse de estas amenazas crecientes en el ámbito digital.
