Aumentan los ciberataques en la campaña fiscal 2026: vectores, riesgos y cómo protegerse

Introducción

La campaña fiscal representa tradicionalmente un periodo crítico para la actividad cibercriminal, y este año 2026 no ha sido la excepción. Según el último informe de Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd., se ha detectado un incremento significativo en los ciberataques dirigidos tanto a particulares como a organizaciones durante la actual temporada de impuestos. Este fenómeno responde a la elevada circulación de información financiera y datos personales, así como a la presión de los plazos administrativos, factores que los actores maliciosos no dudan en explotar.

Contexto del Incidente o Vulnerabilidad

La campaña fiscal supone un punto álgido en el intercambio de documentación sensible —declaraciones de la renta, justificantes bancarios y credenciales de acceso a plataformas tributarias— entre ciudadanos, empresas y la Agencia Tributaria. Este contexto genera una superficie de ataque especialmente atractiva para los ciberdelincuentes, que despliegan campañas masivas de phishing, envío de malware y explotación de vulnerabilidades en sistemas de gestión tributaria. Las organizaciones, por su parte, enfrentan el reto añadido de custodiar grandes volúmenes de información fiscal de sus clientes y empleados, cumpliendo con normativas como el RGPD y la inminente NIS2.

Detalles Técnicos: CVE, vectores de ataque y TTP

El informe de Check Point Research identifica un aumento del 38% en los intentos de ataque relacionados con ingeniería social en comparación con el mismo periodo del año anterior. Se han documentado diversas campañas de phishing a través de correo electrónico y SMS (smishing), suplantando a la Agencia Tributaria y entidades bancarias, con enlaces a sites fraudulentos desarrollados con frameworks como Evilginx y kits de phishing comercializados en foros clandestinos.

Entre las amenazas detectadas destacan:

– Exploit de credenciales mediante spear phishing con archivos adjuntos maliciosos —principalmente documentos de Microsoft Office con macros, aprovechando vulnerabilidades recientes como CVE-2023-36884 (ejecución remota de código en Microsoft Office).
– Ataques de malware bancario, con familias como Emotet y Qakbot, que utilizan técnicas de Living off the Land (LotL) y herramientas como PowerShell para la persistencia y exfiltración de datos.
– Uso de Cobalt Strike y Metasploit para movimiento lateral y establecimiento de C2 (Command and Control), especialmente en entornos corporativos que manejan grandes volúmenes de datos fiscales.
– Técnicas MITRE ATT&CK observadas: T1566 (phishing), T1059 (Command and Scripting Interpreter), T1071 (Application Layer Protocol para C2), T1027 (obfuscación de scripts).

Indicadores de compromiso (IoC) relevantes incluyen dominios de phishing recién registrados, direcciones IP asociadas a campañas previas de ransomware, y hashes de malware detectados en plataformas como VirusTotal durante el mes de mayo de 2026.

Impacto y Riesgos

Las consecuencias de estos ataques son especialmente graves en el contexto fiscal. El robo de credenciales puede derivar en fraude fiscal, suplantación de identidad, acceso a cuentas bancarias y extorsión. Para las empresas, una brecha de datos fiscales puede implicar sanciones severas bajo el RGPD y, a partir de octubre de 2024, bajo la directiva NIS2, con multas de hasta el 2% del volumen de negocio global.

Según Check Point Research, el 21% de las pymes españolas han reportado intentos de acceso no autorizado a sus plataformas fiscales durante las primeras semanas de la campaña, y se estima que el impacto económico directo supera los 15 millones de euros solo en el sector privado.

Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, los expertos recomiendan:

– Implementar autenticación multifactor (MFA) en todos los accesos a plataformas tributarias y bancarias.
– Actualizar y parchear sistemas, especialmente suites ofimáticas y navegadores, para prevenir la explotación de vulnerabilidades como CVE-2023-36884.
– Desplegar soluciones de EDR/NDR para la detección de actividad anómala y movimiento lateral.
– Realizar simulacros de phishing y formación continua del personal en técnicas de ingeniería social.
– Monitorizar IoC proporcionados por CERT y organismos oficiales.
– Establecer políticas de mínimo privilegio y segmentación de red.
– Verificar siempre la legitimidad de las comunicaciones recibidas, especialmente las relativas a la Agencia Tributaria.

Opinión de Expertos

Ramón Castillo, CISO de una consultora líder en servicios fiscales, señala: “La campaña fiscal es uno de los momentos más críticos para la seguridad de la información en el sector financiero. Los atacantes están cada vez más sofisticados, combinando técnicas de spear phishing con la explotación de vulnerabilidades zero-day y herramientas avanzadas de pentesting como Cobalt Strike. La colaboración entre departamentos de TI, legal y compliance es esencial para minimizar el riesgo.”

Implicaciones para Empresas y Usuarios

El refuerzo de las políticas de ciberseguridad durante la campaña fiscal es ahora una obligación legal y operativa. Las empresas deben demostrar un enfoque proactivo y documentado en la protección de datos fiscales, bajo sanción en caso de incumplimiento (RGPD, NIS2). Para los usuarios, la concienciación y la verificación de la autenticidad de las comunicaciones son clave para evitar caer en fraudes cada vez más sofisticados.

Conclusiones

El incremento de la actividad cibercriminal durante la campaña fiscal 2026 subraya la necesidad de un enfoque integral y actualizado en materia de ciberseguridad. La combinación de ingeniería social, malware avanzado y explotación de vulnerabilidades obliga a empresas y particulares a extremar las precauciones, reforzar sus defensas y mantenerse informados sobre las últimas amenazas y mejores prácticas en el sector.

(Fuente: www.cybersecuritynews.es)