Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha detectado un notable incremento de la actividad maliciosa vinculada a la temporada de impuestos, uno de los periodos más atractivos del año para los ciberdelincuentes. A medida que particulares y organizaciones intercambian información financiera y datos personales sensibles a través de canales digitales, los ciberdelincuentes aprovechan este contexto para lanzar campañas de phishing y distribución de malware a correos, mensajes de texto y desde páginas web fraudulentas. Colombia no se escapa a esta práctica criminal.
Colombia vive actualmente fuerte temporada de pagos tributarios
Esta época incluye diversos procesos de declaración y pago de impuestos nacionales, municipales, distritales y especiales, cómo ventas, renta, inmuebles, vehículos, industria y comercio, patrimonio, aduanero, bienes en el exterior, entre otros. Un solo contribuyente puede llegar a declarar y pagar varios tributos y por lo general se realiza por medios digitales. Es fundamental estar muy atentos a los dominios de las páginas web de impuestos, para no tener un dolor de cabeza, perder el dinero, los datos y además recibir multas por incumplimiento.
La DIAN, entidad que recauda los tributos nacionales vivió ataque cibernético hace un mes
En Colombia, la DIAN (Dirección de Impuestos y Aduanas Nacionales) es la entidad que maneja el tema tributario desde declaraciones hasta recaudos Hace sólo un mes sufrió un ataque que afectó el sistema de agendamiento (citas) de los contribuyentes con la entidad. La información afectada incluiría nombres, cédulas, correos y números celulares. La DIAN indicó en su momento “que no tenía conocimiento de que se hubiera registrado fuga de información”. Sin embargo, el tema aún está en evaluación.
Los delincuentes planean con tiempo el paso a paso del ciberataque
Según los analistas de CPR, estas campañas no responden a acciones improvisadas, sino a operaciones cuidadosamente organizadas. Los ciberdelincuentes preparan su infraestructura con varios meses de antelación, lo que evidencia un planteamiento estratégico y bien coordinado.
Entre septiembre de 2025 y febrero de 2026, se registraron cientos de nuevos dominios cada mes que incluían palabras clave relacionadas con impuestos o nombres de autoridades fiscales. Esta actividad mostró un crecimiento progresivo hacia finales de 2025 y se intensificó especialmente a partir de noviembre, lo que evidencia una preparación deliberada para la campaña fiscal. “Un dato especialmente preocupante es que uno de cada 15 dominios recién registrados relacionados con impuestos ya ha sido clasificado como malicioso o sospechoso, lo que refleja el uso masivo de estas temáticas con fines fraudulentos”, advierte Ángel Salazar, Gerente de Ingeniería de Canales en América Latina de Check Point Software.
En marzo de 2026, tanto el volumen como el riesgo aumentaron más. El número de nuevos dominios registrados creció, mientras que la proporción de dominios maliciosos y sospechosos alcanzó su nivel más alto en lo que va de año: uno de cada 10 dominios registrados ese mes fue considerado de riesgo.
Campañas de suplantación del IRS y devolución de impuestos
Check Point Research identificó múltiples dominios de phishing que suplantaban al Servicio de Impuestos Internos de Estados Unidos (IRS) en enero de 2026, como 2025irswebsiteislive[.]live y irstax-refund[.]xyz. Estos dominios forman parte de una campaña coordinada, ya que comparten contenido y funcionalidades prácticamente idénticas. Las páginas web atraen a las víctimas con falsas ofertas de devolución de impuestos, prometiendo pagos inusualmente elevados, como transferencias semanales de 1.400 dólares o pagos únicos de hasta 38.700 dólares. Luego, se solicita a los usuarios que introduzcan nombre, número de la Seguridad Social, teléfono o correo y que completen la verificación de identidad, para recopilación masiva de datos.
Los ataques relacionados con la campaña fiscal no se limitan a páginas web fraudulentas. En febrero de 2026, CPR detectó una campaña de correo electrónico malicioso que suplantaba a la Agencia Tributaria (AEAT). Uno de estos correos fue enviado desde la dirección falsificada agenciatributaria@correo.aeat.es a una empresa industrial española, utilizando el asunto “AEAT – Notificación 2026”.
El mensaje incluía un archivo adjunto ejecutable malicioso (hash: bda5cc053c4d9eb09f6dd1c45892fb4c), clasificado como Trojan.Downloader / Trojan.Minix (NSIS). Este tipo de malware actúa como un “loader”, diseñado para descargar y ejecutar cargas maliciosas adicionales. Una vez ejecutado, el software malicioso permite la instalación de amenazas secundarias, como ladrones de credenciales o keyloggers.
“La temporada de impuestos genera condiciones ideales para el cibercrimen: alto volumen de datos sensibles, comunicaciones oficiales esperadas y presión por actuar rápidamente. Check Point Research asegura que los ciberdelincuentes continúan perfeccionando sus tácticas y ampliando su alcance, con el objetivo de aprovechar la urgencia y la confianza que caracterizan este periodo del año”, agrega Ángel Salazar.
Ante la proximidad de los plazos fiscales, tanto organizaciones como particulares deben extremar las precauciones. La monitorización de nuevos dominios, la detección temprana de intentos de phishing y la prevención de la ejecución de archivos maliciosos son medidas clave para reducir el riesgo. La seguridad proactiva y la concienciación de los usuarios siguen siendo la mejor defensa frente a las amenazas de ciberseguridad relacionadas con la campaña fiscal.
Read less 
Tabatinga
