¿Cómo están robando fácilmente datos financieros de millones de personas a través de cheque de estímulo?

Diariamente el Departamento del Tesoro de E.U. y la Administración de Pequeñas Empresas deben enviar miles de dólares en estímulos y préstamos para pequeños y medianos negocios, por lo que la automatización de este proceso se ha vuelto una prioridad. No obstante, expertos en cómputo forense consideran que esta modernización expone tanto a las agencias gubernamentales como a los emprendedores a toda clase de ciberataques.

La Ley de Ayuda, Alivio y Seguridad Económica de Coronavirus (CARES) establece algunos lineamientos para mitigar el impacto económico que la pandemia ha generado en algunos individuos y pequeños negocios, contemplando un pago de hasta 1,200 dólares por contribuyente, además de 500 dólares adicionales por cada niño. Los contribuyentes recibirán este pago de forma automática mediante un sistema de transferencias electrónicas empelado para pagar beneficios de Seguro Social y otros programas de asistencia pública.

El problema, mencionan los expertos en cómputo forense, es que millones de ciudadanos no podrán solicitar el pago por esta vía, por lo que deberán buscar otra forma de obtener el dinero. Para acelerar el proceso, el IRS presentó una plataforma en línea que permite a quienes no declararon impuestos solicitar este pago en forma digital, para recibir el depósito de fondos directamente a su cuenta bancaria o a través de un servicio como PayPal.

No obstante, cualquiera de estos métodos carece de protecciones adicionales contra el robo de identidad y fraude. Para calificar para un pago, la herramienta del IRS solicita a las personas que presenten un comprobante de identidad en forma de su nombre, fecha de nacimiento, número de Seguro Social, dirección postal, dirección de correo electrónico y cuenta bancaria, tipo y números de ruta. También se aceptan otros identificadores, como una licencia de conducir. Incluso antes de la promulgación de CARES, la Comisión Federal de Comercio (FTC) advirtió acerca de la probabilidad de que los actores de amenazas intenten hacerse pasar por organizaciones oficiales para obtener credenciales y lograr interceptar fondos de ayuda.

Especialistas en cómputo forense consideran que el uso de datos de autenticación vigente en estas plataformas (números de seguridad social, entre otros) contribuye a la exposición de las personas y organizaciones privadas a diversos riesgos de ciberseguridad, como phishing. Además, consideran que los riesgos de depender de esta clase de información para autenticar la identidad de los usuarios son muy similares a los riesgos relacionados con el fraude fiscal tradicional, especialmente en un entorno en el que el gobierno busca transferir fondos de forma más eficiente.

El Instituto Internacional de Seguridad Cibernética (IICS) considera que el ISR, y cualquier agencia relacionada con la recaudación de dinero, debe reservar recursos para la implementación de sistemas de monitoreo y detección de fraude para prevenir esta clase de actividades.