Check Point Research, la división de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder mundial en soluciones de ciberseguridad, ha observado un aumento significativo en la actividad maliciosa relacionada con la temporada de impuestos, una de las épocas más atractivas del año para los ciberdelincuentes. A medida que personas y organizaciones intercambian información financiera y datos personales confidenciales a través de canales digitales, los ciberdelincuentes aprovechan este contexto para lanzar campañas de phishing y difundir malware a través de correos electrónicos, mensajes de texto y sitios web fraudulentos. Colombia no escapa a esta práctica criminal.

Colombia vive actualmente una fuerte temporada de pago de impuestos

Este período comprende diversos procesos de declaración y pago de impuestos nacionales, municipales, distritales y especiales, tales como: B. Ventas, rentas, bienes inmuebles, vehículos, industria y comercio, patrimonio, aduanas, bienes en el exterior y otros. Un solo contribuyente puede presentar y pagar múltiples impuestos, y esto generalmente se hace de forma digital.. Es importante prestar mucha atención a los dominios de sitios web fiscales para no tener dolores de cabeza, perder dinero y datos, y además no recibir multas por incumplimiento.

La DIAN, organismo que recauda los impuestos nacionales, sufrió un ciberataque hace un mes

En Colombia, la DIAN (Dirección de Impuestos y Aduanas Nacionales) es el organismo que se encarga de los asuntos tributarios desde la declaración hasta el cobro. Hace apenas un mes se produjo un ataque que comprometió el sistema de planificación fiscal de la empresa. La información afectada incluye nombres, identificaciones, correos electrónicos y números de teléfonos celulares. La DIAN afirmó en su momento “que desconocía que se registraran fugas de información”. Sin embargo, el asunto aún está bajo investigación.

Los delincuentes planifican el ciberataque paso a paso con antelación

Según los analistas del CPR, estas campañas no se basan en acciones improvisadas, sino en operaciones cuidadosamente organizadas. Los ciberdelincuentes preparan su infraestructura con varios meses de antelación, lo que demuestra un enfoque estratégico y bien coordinado.

Entre septiembre de 2025 y febrero de 2026, cada mes se registraron cientos de nuevos dominios que contenían palabras clave relacionadas con impuestos o nombres de autoridades tributarias. Esta actividad registró un crecimiento progresivo hacia finales de 2025 y aumentó especialmente a partir de noviembre, mostrando una preparación consciente para la campaña fiscal. “Un hecho particularmente preocupante es que uno de cada 15 dominios relacionados con impuestos recién registrados ya ha sido identificado como malicioso o sospechoso, lo que refleja el uso masivo de estos temas con fines fraudulentos.“advierte Ángel Salazar, Channel Engineering Manager en Latinoamérica de Check Point Software.

En marzo de 2026, tanto el volumen como el riesgo continuaron aumentando. El número de nuevos dominios registrados aumentó, mientras que la proporción de dominios maliciosos y sospechosos alcanzó su nivel más alto en lo que va del año: uno de cada diez dominios registrados este mes se consideró riesgoso.

Campañas de reembolso de impuestos y robo de identidad del IRS

Check Point Research identificó varios dominios de phishing que se hacen pasar por el Servicio de Impuestos Internos (IRS) de EE. UU. en enero de 2026, como 2025irswebsiteislive.[.]reembolso de vida e irstax[.]xyz. Estos dominios son parte de una campaña coordinada porque tienen contenido y funcionalidad prácticamente idénticos. Los sitios web atraen a las víctimas con ofertas falsas de reembolso de impuestos y promesas de pagos inusualmente grandes, como transferencias semanales de 1.400 dólares o pagos únicos de hasta 38.700 dólares. Para la recopilación masiva de datos, se solicita a los usuarios que ingresen su nombre, número de seguro social, número de teléfono o dirección de correo electrónico y verifiquen su identidad.

Los ataques relacionados con la campaña fiscal no se limitan a sitios web fraudulentos. En febrero de 2026, CPR descubrió una campaña de correo electrónico malicioso haciéndose pasar por el Servicio de Impuestos Internos (AEAT). Uno de estos correos electrónicos fue enviado desde una dirección falsa. [email protected] a una empresa industrial española con el asunto “AEAT – Notificación 2026”.

El mensaje contenía un archivo adjunto ejecutable malicioso (hash: bda5cc053c4d9eb09f6dd1c45892fb4c), clasificado como Trojan.Downloader/Trojan.Minix (NSIS). Este tipo de malware actúa como un «cargador» diseñado para descargar y ejecutar cargas útiles maliciosas adicionales. Una vez ejecutado, el malware permite la instalación de amenazas secundarias como: B. Ladrones de credenciales o registradores de pulsaciones.

“La temporada de impuestos crea condiciones ideales para el cibercrimen: grandes cantidades de datos confidenciales, comunicaciones oficiales esperadas y presión para actuar con rapidez. Check Point Research asegura que los ciberdelincuentes continúan perfeccionando sus tácticas y ampliando su alcance, con el objetivo de explotar la urgencia y confianza que caracterizan esta época del año.“añade Ángel Salazar.

A medida que se acercan las fechas límite de impuestos, tanto las organizaciones como los individuos deben extremar las precauciones. Monitorear nuevos dominios, detectar temprano intentos de phishing y evitar la ejecución de archivos maliciosos son medidas importantes de mitigación de riesgos. La seguridad proactiva y la concienciación de los usuarios siguen siendo la mejor defensa contra las amenazas a la ciberseguridad relacionadas con las campañas fiscales.