Check Point Research, la división Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionera y líder mundial en soluciones de ciberseguridad, ha detectado un notable aumento de la actividad maliciosa vinculada a la temporada de impuestos, uno de los periodos más atractivos del año para los ciberdelincuentes. A medida que personas y organizaciones intercambian información financiera y datos personales confidenciales a través de canales digitales, los ciberdelincuentes aprovechan este contexto para lanzar campañas de phishing y distribución de malware a correos electrónicos, mensajes de texto y sitios web fraudulentos. Colombia no escapa a esta práctica criminal.
Colombia vive actualmente una fuerte temporada de pago de impuestos
Este período incluye diversos procesos de declaración y pago de impuestos nacionales, municipales, distritales y especiales, tales como sobre ventas, renta, inmuebles, vehículos, industria y comercio, patrimonio, aduanas, bienes en el exterior, entre otros. Un solo contribuyente puede declarar y pagar varios impuestos y generalmente lo hace a través de medios digitales.. Es fundamental estar muy atento a los dominios de las webs tributarias, para no tener dolor de cabeza, perder dinero, datos y además recibir multas por incumplimiento.
La DIAN, entidad recaudadora de impuestos nacionales, sufrió un ciberataque hace un mes
En Colombia, la DIAN (Dirección de Impuestos y Aduanas Nacionales) es la entidad que maneja los temas tributarios desde las declaraciones hasta los cobros. Hace apenas un mes sufrió un ataque que afectó el sistema de programación de contribuyentes con la entidad. La información afectada incluiría nombres, identificaciones, correos electrónicos y números de teléfonos celulares. La DIAN indicó en su momento “que no tenía conocimiento de que se hubiera registrado alguna filtración de información”. Sin embargo, el tema aún está bajo evaluación.
Los delincuentes planifican el ciberataque paso a paso con antelación
Según los analistas del CPR, estas campañas no responden a acciones improvisadas, sino a operaciones cuidadosamente organizadas. Los ciberdelincuentes preparan su infraestructura con varios meses de antelación, lo que demuestra un enfoque estratégico y bien coordinado.
Entre septiembre de 2025 y febrero de 2026, se registraron cientos de nuevos dominios cada mes que incluían palabras clave relacionadas con impuestos o nombres de autoridades fiscales. Esta actividad mostró un crecimiento progresivo hacia finales de 2025 y se intensificó especialmente a partir de noviembre, lo que demuestra una preparación deliberada de la campaña fiscal. “Un dato especialmente preocupante es que uno de cada 15 dominios recién registrados relacionados con impuestos ya ha sido clasificado como malicioso o sospechoso, lo que refleja el uso masivo de estos temas con fines fraudulentos.”, advierte Ángel Salazar, Channel Engineering Manager en América Latina de Check Point Software.
En marzo de 2026, tanto el volumen como el riesgo aumentaron aún más. El número de nuevos dominios registrados creció, mientras que la proporción de dominios maliciosos y sospechosos alcanzó su nivel más alto en lo que va del año: uno de cada 10 dominios registrados ese mes fue considerado riesgoso.
Campañas de suplantación de identidad y reembolso de impuestos del IRS
Check Point Research identificó varios dominios de phishing que se hacían pasar por el Servicio de Impuestos Internos (IRS) de EE. UU. en enero de 2026, como 2025irswebsiteislive.[.]reembolso en vivo e irstax[.]xyz. Estos dominios forman parte de una campaña coordinada, ya que comparten contenidos y funcionalidades prácticamente idénticos. Los sitios web atraen a las víctimas con ofertas falsas de reembolso de impuestos, prometiendo pagos inusualmente grandes, como transferencias semanales de 1.400 dólares o pagos únicos de hasta 38.700 dólares. Luego se solicita a los usuarios que ingresen su nombre, número de Seguro Social, número de teléfono o correo electrónico y completen la verificación de identidad, para la recopilación masiva de datos.
Los ataques relacionados con la campaña fiscal no se limitan a sitios web fraudulentos. En febrero de 2026, el CPR detectó una campaña de correo electrónico malicioso que suplantaba a la Agencia Tributaria (AEAT). Uno de estos correos electrónicos fue enviado desde la dirección falsificada. [email protected] a una empresa industrial española, utilizando el asunto “AEAT – Notificación 2026”.
El mensaje incluía un archivo adjunto ejecutable malicioso (hash: bda5cc053c4d9eb09f6dd1c45892fb4c), clasificado como Trojan.Downloader/Trojan.Minix (NSIS). Este tipo de malware actúa como un «cargador», diseñado para descargar y ejecutar cargas útiles maliciosas adicionales. Una vez ejecutado, el malware permite la instalación de amenazas secundarias, como ladrones de credenciales o registradores de pulsaciones de teclas.
“La temporada de impuestos crea condiciones ideales para el ciberdelito: gran volumen de datos confidenciales, comunicaciones oficiales esperadas y presión para actuar con rapidez. Check Point Research asegura que los ciberdelincuentes siguen perfeccionando sus tácticas y ampliando su alcance, con el objetivo de aprovechar la urgencia y confianza que caracterizan esta época del año“añade Ángel Salazar.
Ante la proximidad de los plazos fiscales, tanto las organizaciones como los particulares deben extremar las precauciones. Monitorear nuevos dominios, detectar tempranamente intentos de phishing y evitar que se ejecuten archivos maliciosos son medidas clave para reducir el riesgo. La seguridad proactiva y la concienciación de los usuarios siguen siendo la mejor defensa contra las amenazas a la ciberseguridad relacionadas con las campañas fiscales.
88
