Declaraciones de impuestos libres de phishing, estafas o malware

En muchos países, la primavera es la época tradicional para la presentación de las declaraciones de impuestos. Estos documentos son ideales para los delincuentes porque contienen una gran cantidad de datos personales, como historial de empleo, ingresos, activos, detalles de cuentas bancarias; la lista continúa. No es de extrañar que los estafadores redoblen sus esfuerzos en esta época. Actualmente, Internet está plagado de sitios web falsos diseñados para parecerse exactamente a los recursos del gobierno y las autoridades fiscales.

Con fechas límite que se avecinan y cifras limitadas, la prisa por hacer todo a tiempo puede hacer que las personas bajen la guardia. En la confusión, es fácil pasar por alto los indicios de que el sitio donde estás introduciendo datos detallados de tus finanzas no tiene ninguna conexión con el servicio de ingresos o que el archivo que acabas de descargar, supuestamente de un inspector de impuestos, es en realidad malware.

En esta publicación, desglosamos cómo operan estos sitios de agencias tributarias fraudulentas en diferentes países y qué debes evitar hacer para mantener seguros tu dinero e información confidencial.

Phishing para contribuyentes

Esta temporada, los atacantes han estado falsificando los sitios web de las autoridades fiscales en numerosos países, incluidos los portales oficiales del gobierno de Alemania, Francia, Austria, Suiza, Brasil, Chile y Colombia. En estos sitios fraudulentos, los estafadores recolectan credenciales para servicios legítimos y roban datos personales antes de ofrecer procesar una deducción de impuestos, siempre que la víctima introduzca los datos de su tarjeta de crédito. En algunos casos, incluso cobran una tarifa por este servicio fraudulento.

Un sitio que imita a la autoridad tributaria chilena. Se solicita a la víctima que introduzca la información de su tarjeta de crédito para recibir un reembolso de impuestos sustancial, aproximadamente 375 USD. En cambio, los fondos se desvían de la cuenta de la víctima directamente a los estafadores

A veces, la táctica implica acusaciones emitidas en nombre de organismos gubernamentales. En la imagen a continuación, por ejemplo, un “jefe de auditoría fiscal” en París informa a la víctima que proporcionó información incompleta sobre los ingresos. Para evitar sanciones, se le indica al usuario que descargue un documento y realice las correcciones de inmediato. Sin embargo, el archivo PDF esconde algo mucho peor: malware.

En lugar de un documento oficial de la Agencia Tributaria francesa, el usuario se encuentra con un programa malicioso oculto en el PDF

En Colombia, un sitio falso de la Dirección Nacional de Impuestos y Aduanas de manera similar solicita a los usuarios que descarguen los documentos que deben ser “desbloqueados con una clave de seguridad”. En realidad, se trata simplemente de un archivo comprimido ZIP malicioso protegido por contraseña.

Después de introducir la contraseña, el usuario abre un archivo comprimido malicioso que infecta su dispositivo

Más allá de los sitios de phishing que imitan recursos legítimos, nuestros expertos han descubierto sitios web fraudulentos que prometen servicios de pago para completar y auditar documentos fiscales y, en cambio, roban datos de alto valor, como los números de identificación del contribuyente (TIN).

Ganancias en criptomonedas libres de impuestos

Unas supuestas autoridades fiscales alemanas exigen a los propietarios de monederos que “verifiquen sus activos digitales”, alegando la normativa de la UE a efectos del cálculo de impuestos. Y, por supuesto, hay un “beneficio”: ¡resulta que, supuestamente, las ganancias en criptomonedas están exentas de impuestos! Sin embargo, para reclamar este generoso beneficio, los usuarios deben pasar por un procedimiento de “verificación”. El sitio incluso promete el cifrado de datos mediante un “protocolo SSL de 2048 bits”.

Para completar el proceso de “verificación”, se solicita a los usuarios que introduzcan su clave de recuperación secreta, la secuencia única de palabras vinculada a una cartera de criptomonedas que otorga acceso de recuperación total. Esta solicitud va acompañada de una amenaza: la negativa a facilitar los datos conllevará graves consecuencias legales, como multas de hasta un millón de euros o enjuiciamiento penal.

Los atacantes también realizaron un truco similar con los usuarios franceses. Crearon un “Portal de cumplimiento fiscal de criptoactivos” que no existe, que imita el diseño del sitio web del Ministerio de Economía y Finanzas de Francia. El sitio de phishing exige enérgicamente que los residentes franceses presenten una “declaración de activos digitales”.

Después de que el usuario introduzca su información personal, los estafadores le piden que introduzca manualmente su clave de recuperación secreta o que “enlace” su cartera de criptomonedas al portal. Si continúa, se vaciarán sus carteras de MetaMask, Binance, Coinbase, Trust Wallet o WalletConnect.

¿Puede la IA ayudarte con tus declaraciones de impuestos?

Cuando tienes a tu alcance una IA que puede generar texto al instante y completar hojas de cálculo, la tentación de delegarle todo es muy fuerte. Desafortunadamente, esto puede tener consecuencias graves. Primero, todos los chatbots populares procesan tus datos en sus servidores, lo que pone tu información confidencial en riesgo de filtración. En segundo lugar, a veces cometen errores increíblemente absurdos, y eso puede acarrear problemas reales con los recaudadores de impuestos.

Antes de decirle a un chatbot o un agente de IA cuánto dinero ganaste el año pasado, con información personal y bancaria detallada, recuerda con qué frecuencia ocurren las filtraciones dentro de los servicios impulsados por IA y considera los riesgos. No compartas tus ingresos con la IA, no le des datos personales como tu nombre o dirección y, bajo ninguna circunstancia, cargues fotos o números de documentos vitales como pasaportes, información del seguro o números de seguridad social. Los archivos que contienen información confidencial deben guardarse en contenedores cifrados, como Kaspersky Password Manager.

Si aún estás decidido a usar herramientas de IA, ejecútalas localmente. Esto se puede hacer de forma gratuita incluso en un ordenador portátil estándar, y ya hemos cubierto cómo configurar modelos de idioma local usando DeepSeek como ejemplo. Sin embargo, la calidad de los resultados de estos modelos a menudo es deficiente. Es muy posible que verificar dos veces cada dígito en una respuesta generada por IA tome más tiempo que simplemente completar el papeleo manualmente. Recuerda, eres el único responsable ante la oficina de impuestos de cualquier error, no la IA.

Por último, ten cuidado con los modelos de IA de phishing que ofrecen “asistencia” con la declaración de impuestos. Los expertos de Kaspersky han descubierto sitios web donde se solicita a los usuarios que carguen facturas de impuestos, supuestamente para la generación automática de devoluciones y reclamos de deducción. En cambio, los atacantes recopilan estos datos personales para revenderlos en la dark web o para usarlos en futuros ataques de phishing, chantaje y extorsión.

Los creadores de una herramienta de IA falsa instan a los usuarios a cargar documentos fiscales y les aseguran que el sitio no almacena ningún dato de usuario. En realidad, cada información introducida (nombre, dirección, documentos, persona de contacto y número de teléfono) termina en manos de los ciberdelincuentes

Recuerda que todos los servicios legítimos de IA advierten explícitamente a los usuarios que no compartan datos confidenciales, y los documentos fiscales ciertamente caen en esta categoría. Cualquier herramienta de IA que prometa ayudarte a manejar tu documentación fiscal es simplemente una estafa.

¿Cómo puedes protegerte y proteger tus datos?

• Presenta tus impuestos por ti mismo. El riesgo de encontrarse con estafadores es extremadamente alto. Incluso si una empresa de consultoría es legítima, inevitablemente estas entregando un expediente completo sobre ti: detalles del pasaporte, información de empleo e ingresos, tu dirección y más. Recuerda que incluso los servicios más honestos no son inmunes a los ataques y las filtraciones de datos.
• Ten cuidado con los sitios web falsos. Utiliza una solución de seguridad fiable que te impida visitar sitios de phishing y bloquee la descarga de archivos maliciosos.
• Mantén todos los documentos importantes cifrados. Almacenar fotos, notas o archivos en tu ordenador de sobremesa o mensajes destacados en una aplicación de mensajería, no es una forma segura de administrar datos confidenciales. Un almacén seguro como Kaspersky Password Manager puede almacenar más que solo contraseñas e información de tarjetas de crédito; también puede proteger documentos e incluso fotos.
• No confíes en la IA. Incluso los chatbots más avanzados son propensos a errores y alucinaciones y, en teoría, los desarrolladores pueden leer cualquier conversación que tengas con su IA. Si es absolutamente necesario usar IA, instala y ejecuta una versión local en tu propio ordenador.
• Usa solo los canales oficiales. El “inspector jefe de Hacienda” no te enviará un mensaje: los funcionarios de alto rango tienen cosas más importantes que hacer. Solo ponte en contacto con las autoridades fiscales a través de canales oficiales y verifica cuidadosamente el remitente de los correos electrónicos que recibas. La mayoría de las veces, incluso una pequeña desviación en el nombre o la dirección es un indicio revelador de una campaña de phishing.

Más información sobre phishing y seguridad de los datos:

• Phishing y spam: las campañas más descabelladas de 2025
• Cómo usan la Inteligencia Artificial los phishers y estafadores
• ¿Qué sucede con los datos que se roban mediante phishing?
• Cómo desaparecer de Internet
• Por qué los brokers de datos crean dosieres sobre ti y cómo evitar que lo hagan