Privacy, Inteligencia sobre amenazas

Tus formularios fiscales se venden por 20 dólares en la dark web

por Malwarebytes Labs | 19 de marzo de 2026
Estafas fiscales en la dark web

La temporada de la declaración de la renta es también la época álgida para el robo de identidad. Los delincuentes utilizan datos personales robados para presentar declaraciones de la renta falsas y solicitar devoluciones antes que el contribuyente real. A continuación te explicamos cómo funciona este fraude y cómo protegerte.

¿Qué es el fraude Identity por suplantación Identity (SIRF)?

El fraude Identity mediante suplantación Identity (SIRF) es un tipo de fraude fiscal en el que los delincuentes roban la información personal de alguien —como el número de la Seguridad Social y la fecha de nacimiento— y la utilizan para presentar una declaración de impuestos falsa a nombre de esa persona con el fin de solicitar una devolución de impuestos.

Los estafadores suelen presentar la declaración falsa al principio de la campaña fiscal, antes de que lo haga el contribuyente legítimo, de modo que la devolución se les abona a ellos en lugar de a la persona legítima.

El dinero suele enviarse a cuentas bancarias, tarjetas de débito o direcciones controladas por los delincuentes. Las víctimas suelen descubrir el fraude solo cuando se rechaza su declaración de la renta real o cuando la autoridad fiscal, como el Servicio de Impuestos Internos de EE. UU. (IRS), les informa de que ya se ha emitido una devolución a su nombre.

¿Cómo es posible? 

Mientras los estadounidenses se apresuran a cumplir con el plazo anual para presentar la declaración de la renta, un ecosistema oculto en la Dark Web en Dark Web a toda máquina, convirtiendo la temporada de la declaración de la renta en un periodo lucrativo del año para los ciberdelincuentes internacionales. Shahak Shalev, director global de Investigación sobre Estafas e Inteligencia Artificial de Malwarebytes, afirmó:

«La gente espera recibir mensajes sobre impuestos, devoluciones y declaraciones, lo que hace que los correos electrónicos de phishing y las alertas falsas del IRS resulten mucho más creíbles. Al mismo tiempo, los datos personales necesarios para cometer fraude fiscal se pueden adquirir a un precio sorprendentemente bajo en la dark web. No es de extrañar que los estafadores consideren la temporada de impuestos como una oportunidad anual».

Detrás de la repentina avalancha de solicitudes de devolución fraudulentas se esconde una cadena de suministro delictiva muy bien organizada y profundamente arraigada en foros clandestinos en lengua rusa. Estas plataformas especializadas son las principales facilitadoras del fraude fiscal.  

En lugar de recopilar datos desde cero, los estafadores pueden simplemente adquirir enormes conjuntos de datos con información de identificación personal (PII) robada, que incluyen formularios W-2 y 1040 listos para usar. Para operaciones más sofisticadas, los intermediarios de acceso inicial (IAB) subastan acceso directo a la red de contables públicos certificados (CPA) y despachos de contabilidad que han sido víctimas de ataques.  

Más allá de los datos brutos y el acceso, esta economía sumergida ofrece un conjunto completo de herramientas de «fraude como servicio», que incluyen servicios bajo demanda para falsificar documentos financieros de respaldo y centros de formación especializados con tutoriales paso a paso. 

  • Un actor malicioso que busca cómplices para cometer un fraude en las devoluciones de impuestos de EE. UU. (basándose en datos de un programa de contabilidad)
  • El autor de la amenaza está vendiendo acceso a una empresa de contabilidad con bases de datos de software de contabilidad
  • Un ciberdelincuente busca cómplices para cometer un fraude en las devoluciones de impuestos de EE. UU.

El mercado negro de la información de identificación personal 

En el epicentro de este comercio ilícito se encuentra uno de los principales foros clandestinos en lengua rusa, que funciona como el mercado de referencia para que los estafadores compren y vendan datos personales relacionados con los impuestos. La mercantilización de estos datos es asombrosa por su eficiencia, ya que funciona de manera muy similar a una plataforma tradicional de comercio electrónico.  

Nuestro equipo de investigación ha recopilado varios ejemplos reveladores de esta actividad comercial, que ponen de manifiesto una clara estructura de precios basada en la actualidad de los datos y el público objetivo. En un anuncio observado recientemente, un ciberdelincuente ofrecía un paquete de 100 formularios fiscales completos por 2 000 dólares, lo que supone que el precio de una identidad robada totalmente documentada es de tan solo 20 dólares.  

  • Un ciberdelincuente que pone a la venta formularios fiscales estadounidenses y formularios W-2
  • Un ciberdelincuente que ofrece a la venta formularios 1040, información de identificación personal y datos bancarios a precios reducidos 

Por el contrario, los archivos de datos más antiguos correspondientes al ejercicio fiscal de 2024 se venden con grandes descuentos para liquidar existencias; los registros altamente confidenciales que pertenecen específicamente a jubilados y pensionistas acaudalados de ese periodo se están comercializando actualmente por menos de 4 dólares por identidad. 

Se vende 

Este abrumador volumen de datos fiscales tiene que provenir de algún sitio, y los ciberdelincuentes han dado con el filón definitivo: las empresas estadounidenses que se dedican a la preparación de declaraciones fiscales y a los trámites contables.  

Desde el punto de vista de un atacante, resulta infinitamente más eficaz infiltrarse en una empresa especializada que actúe como almacén centralizado de esta información confidencial que lanzar una red amplia para intentar engañar a ciudadanos individuales y que estos faciliten sus datos personales. 

Comprueba si tus datos personales han sido expuestos.

Nuestro equipo de investigación ha detectado recientemente un claro ejemplo de esta estrategia en acción, al identificar un Dark Web que ofrecía acceso a la red de una empresa de servicios fiscales con sede en Estados Unidos. La organización afectada es una pequeña empresa, un objetivo habitual de los delincuentes que buscan acceder fácilmente a información que puedan aprovechar.

Aprovechando estas vulnerabilidades sistémicas, el autor del ataque logró infiltrarse discretamente en la infraestructura interna de la empresa y ahora está subastando el acceso directo a una base de datos que contiene la información de identificación personal (PII) completa y altamente confidencial de más de 1 600 clientes. 

Un ciberdelincuente está subastando el acceso a una base de datos con información de identificación personal de más de 1 600 clientes
Un ciberdelincuente está subastando el acceso a una base de datos con información de identificación personal de más de 1 600 clientes

Datos adicionales a la venta 

Incluso cuando los autores de amenazas se topan con obstáculos durante el proceso de fraude —como la falta de algún dato de identificación personal o la necesidad de un documento financiero muy específico para la verificación—, el submundo del cibercrimen ofrece un amplio abanico de servicios a la carta para resolver estos problemas sin contratiempos.  

Nuestro equipo de investigación ha rastreado un mercado negro específico conocido como «Cypher – Fullz and Docs», que se especializa en la venta de conjuntos completos y listos para usar de identidades estadounidenses robadas (lo que en el submundo se conoce comúnmente como «fullz») por tan solo 0,75 dólares por conjunto.  

  • Anunciar datos robados en la dark web
  • Otro anuncio de «fullz»: identidades completas

Sin embargo, disponer de los datos básicos a veces no basta para eludir los controles obligatorios.

Cuando se necesita documentación adicional para dar verosimilitud a una reclamación fraudulenta, los ciberdelincuentes recurren simplemente a servicios especializados en falsificaciones como «Fakelab». Por una tarifa nominal que oscila entre 20 y 40 dólares, Fakelab opera como un estudio de diseño digital ilícito, falsificando meticulosamente cualquier documento fiscal que un atacante pueda necesitar, desde formularios W-2 personalizados hasta extractos bancarios realistas, lo que garantiza que la estafa pueda llevarse a cabo sin contratiempos. 

  • Anuncio sobre documentos, incluidos formularios médicos y fiscales
  • Lista de precios de datos

Tutoriales y orientación 

La culminación del ciclo del fraude fiscal —y, a menudo, la fase más delicada para el atacante— es la retirada de fondos. Para llevar a buen término la estafa y hacerse con los fondos robados, los estafadores necesitan una infraestructura financiera sólida, por lo que suelen recurrir a cuentas bancarias «de paso» comprometidas y a herramientas financieras complementarias diseñadas para blanquear el dinero y borrar sus huellas.  

Como era de esperar, Dark Web no solo proporciona las herramientas, sino también la formación detallada necesaria para llevar a cabo esta fase crucial. Nuestro equipo de investigación identificó un recurso clandestino específico conocido como «Flava», que funciona como centro de formación centralizado. Esta plataforma está repleta de tutoriales exhaustivos y paso a paso que detallan específicamente cómo organizar estos complejos esquemas de blanqueo de dinero dirigidos a ciudadanos y residentes estadounidenses. 

Un mercado en ruso dedicado a las técnicas de fraude financiero.
Un mercado en ruso dedicado a las técnicas de fraude financiero.

Cómo mantenerse seguro

El fraude Identity por robo Identity nos recuerda que el robo de identidad no solo da lugar a compras fraudulentas. Puede afectar a algo tan fundamental como la presentación de la declaración de la renta.

Los ciberdelincuentes se valen de mercados clandestinos que venden datos personales robados, accesos a sistemas empresariales comprometidos y herramientas diseñadas para facilitar el fraude. Esto facilita a los delincuentes la presentación rápida y a gran escala de declaraciones de impuestos falsas.

Para los contribuyentes, la mejor defensa consiste en limitar la cantidad de datos personales a los que pueden acceder los delincuentes, presentar la declaración de la renta con antelación y estar atentos a cualquier señal de alerta que indique que alguien podría estar intentando suplantar su identidad.

El fraude fiscal suele depender de que los delincuentes consigan primero acceder a tu información personal. Cuantos menos datos tengan, más difícil les resultará suplantar tu identidad. A continuación te indicamos algunas medidas que pueden ayudarte a reducir el riesgo:

  • Presenta tu declaración de la renta cuanto antes. Si presentas tu declaración de la renta legítima con antelación, será mucho más difícil que los delincuentes la presenten primero en tu nombre.
  • Protege tu número de la Seguridad Social. Evita facilitar tu número de la Seguridad Social a menos que sea absolutamente necesario.
  • Ten cuidado con los correos electrónicos y mensajes de texto de phishing. Los estafadores suelen hacerse pasar por el IRS, bancos o agencias tributarias para engañar a la gente y que revele sus datos personales.
  • Utiliza contraseñas seguras y únicas. Si los delincuentes consiguen acceder a tu correo electrónico o a tus cuentas bancarias, podrían recopilar la información necesaria para suplantar tu identidad.
  • Controla tus cuentas y tus informes crediticios. Las notificaciones fiscales inesperadas, las devoluciones rechazadas o cualquier actividad financiera que no te resulte familiar pueden ser señales de alerta de un robo de identidad.
  • Considera la posibilidad de solicitar un PIN Identity del IRS (IP PIN). El IP PIN añade un paso de verificación adicional al presentar tu declaración de impuestos, lo que ayuda a evitar que los delincuentes presenten una declaración en tu nombre.

Nota: Estas capturas de pantalla de la dark web han sido traducidas de forma aproximada del ruso. 

¿Qué saben los ciberdelincuentes sobre ti?

Utiliza el análisis gratuito de huellas digitales Malwarebytes para comprobar si tu información personal ha sido expuesta en Internet.

Acerca del autor

Malwarebytes Labs

Malwarebytes Labs

ÚLTIMOS ARTÍCULOS

Móvil
DarkSword para iOS

Una «DarkSword» acecha a los iPhone sin actualizar

Marzo 19, 2026

Los investigadores han identificado múltiples ataques a nivel estatal que utilizan DarkSword, una cadena de vulnerabilidades, para infectar iPhones sin parches.

Privacidad
Estafas fiscales en la dark web

Tus formularios fiscales se venden por 20 dólares en la dark web

Marzo 19, 2026

La temporada de declaración de impuestos es también la época álgida para el robo de identidad. Malwarebytes han detectado a delincuentes que comercializan registros fiscales robados en foros de la dark web.

AI
Oculto

Unos investigadores han descubierto un truco de representación de fuentes para ocultar comandos maliciosos

Marzo 18, 2026

Los investigadores han descubierto una forma de engañar a los asistentes de IA para que pasen por alto instrucciones peligrosas para el usuario en un sitio web.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas