Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd., pionero y líder global en soluciones de ciberseguridad, ha detectado un notable incremento de la actividad maliciosa vinculada a la temporada de impuestos, uno de los periodos más atractivos del año para los ciberdelincuentes. A medida que particulares y organizaciones intercambian información financiera y datos personales sensibles a través de canales digitales, los ciberdelincuentes aprovechan este contexto para lanzar campañas de phishing, crear páginas web fraudulentas y distribuir malware.

Según los analistas de CPR, estas campañas no responden a acciones improvisadas, sino a operaciones cuidadosamente organizadas. Los ciberdelincuentes preparan su infraestructura con varios meses de antelación, lo que evidencia un planteamiento estratégico y bien coordinado.

Entre septiembre de 2025 y febrero de 2026, se registraron cientos de nuevos dominios cada mes que incluían palabras clave relacionadas con impuestos o nombres de autoridades fiscales. Esta actividad mostró un crecimiento progresivo hacia finales de 2025 y se intensificó especialmente a partir de noviembre, lo que evidencia una preparación deliberada para la campaña fiscal.

Un dato especialmente preocupante es que uno de cada 15 dominios recién registrados relacionados con impuestos ya ha sido clasificado como malicioso o sospechoso, lo que refleja el uso masivo de estas temáticas con fines fraudulentos.

En marzo de 2026, tanto el volumen como el riesgo aumentaron aún más. El número de nuevos dominios registrados creció respecto a meses anteriores, mientras que la proporción de dominios maliciosos y sospechosos alcanzó su nivel más alto en lo que va de año: uno de cada 10 dominios registrados ese mes fue considerado de riesgo.

Campañas de suplantación del IRS

En línea con esta tendencia, Check Point Research identificó múltiples dominios de phishing que suplantaban al Servicio de Impuestos Internos de Estados Unidos (IRS) en enero de 2026, como 2025irswebsiteislive[.]live y irstax-refund[.]xyz. Estos dominios forman parte de una campaña coordinada, ya que comparten contenido y funcionalidades prácticamente idénticas. Las páginas web atraen a las víctimas con falsas ofertas de devolución de impuestos, prometiendo pagos inusualmente elevados, como transferencias semanales de 1.400 dólares o pagos únicos de hasta 38.700 dólares.

Posteriormente, se solicita a los usuarios que introduzcan información personal sensible —nombre completo, número de la Seguridad Social, teléfono o correo electrónico— y que completen un proceso de verificación de identidad, lo que apunta a una operación de recopilación masiva de datos.

Los ataques relacionados con la campaña fiscal no se limitan a páginas web fraudulentas. En febrero de 2026, CPR detectó una campaña de correo electrónico malicioso que suplantaba a la Agencia Tributaria (AEAT). Uno de estos correos fue enviado desde la dirección falsificada agenciatributaria@correo.aeat.es a una empresa industrial española, utilizando el asunto “AEAT – Notificación 2026”.

El mensaje incluía un archivo adjunto ejecutable malicioso (hash: bda5cc053c4d9eb09f6dd1c45892fb4c), clasificado como Trojan.Downloader / Trojan.Minix (NSIS). Este tipo de malware actúa como un “loader”, diseñado para descargar y ejecutar cargas maliciosas adicionales. Una vez ejecutado, el software malicioso permite la instalación de amenazas secundarias, como ladrones de credenciales o keyloggers, lo que puede derivar en un compromiso completo del sistema y en la exposición de datos sensibles.

La temporada de impuestos genera condiciones ideales para el cibercrimen: alto volumen de datos sensibles, comunicaciones oficiales esperadas y presión por actuar rápidamente. Check Point Research asegura que los ciberdelincuentes continúan perfeccionando sus tácticas y ampliando su alcance, con el objetivo de aprovechar la urgencia y la confianza que caracterizan este periodo del año.

Ante la proximidad de los plazos fiscales, tanto organizaciones como particulares deben extremar las precauciones. La monitorización de nuevos dominios, la detección temprana de intentos de phishing y la prevención de la ejecución de archivos maliciosos son medidas clave para reducir el riesgo. La seguridad proactiva y la concienciación de los usuarios siguen siendo la mejor defensa frente a las amenazas de ciberseguridad relacionadas con la campaña fiscal.