«Así es, 50 dólares sólo por el derecho a ver mi propia declaración», dijo Kasper. «Y una vez más la mano derecha no sabe lo que hace la izquierda, porque me ha costado sólo 50 dólares conseguir que ignoren sus propias normas de privacidad». Lo más interesante de esta extraña norma es que Hacienda también se niega a mirar los datos de la cuenta en sí hasta que se investigue a fondo. Los bancos están obligados por ley a informar de los depósitos de reembolso sospechosos, pero el IRS ni siquiera se molesta en ponerse en contacto con los bancos para hacerles saber que un depósito de reembolso fue denunciado como fraudulento, al menos en el caso de los contribuyentes individuales que llaman, confirman su identidad y lo denuncian, como hice yo.»
Kasper dijo que la transcripción indica que los defraudadores presentaron su solicitud de reembolso utilizando el propio sitio web del IRS de presentación electrónica gratuita para aquellos con ingresos superiores a 60.000 dólares. También mostraba el número de ruta del First National Bank of Pennsylvania y el número de cuenta corriente de la persona que obtuvo el depósito, además de la fecha en que lo presentaron: 31 de enero de 2015.
La transcripción sugiere que los defraudadores que reclamaron su reembolso lo habían hecho copiando todos los datos de su W2 del año anterior, y aumentando ligeramente las cantidades del año anterior. Kasper dijo que no puede probarlo, pero cree que los estafadores obtuvieron esos datos del W2 directamente del propio IRS, después de crear una cuenta en el portal del IRS a su nombre (pero utilizando una dirección de correo electrónico diferente) y solicitar su transcripción.
«La persona que lo presentó de alguna manera accedió a mi declaración de impuestos del año anterior 2013 con el fin de enumerar mi empleador y el salario de ese año, 2013, y luego utilizarlo en la declaración de 2014, en su lugar», dijo Kasper. «Además, también presentaron un W-2 corregido que aumentaba la cantidad de retenciones en exactamente 6.000 dólares para aumentar su reembolso total debido a 8.936 dólares.»
MONTAJE
El miércoles 18 de marzo de 2015, Kasper se puso en contacto con el First National Bank of Pennsylvania, cuyo número de ruta aparecía en la solicitud de reembolso de impuestos falsa, y se puso en contacto con su jefe de seguridad de cuentas. Esa persona confirmó que el 9 de febrero de 2015 se realizó un depósito directo del IRS por 8.936,00 dólares en una cuenta corriente individual en la que se especificaba el nombre completo y el SSN de Kasper en los metadatos con el depósito.
«Me dijo que también podía ver que se habían realizado transacciones en una o más sucursales de la ciudad de Williamsport, PA para desembolsar o retirar esos fondos y que también se habían realizado varias compras con tarjeta de débito en la ciudad de Williamsport, por lo que en ese momento una parte sustancial de los fondos había desaparecido», dijo Kasper. «Me dijo además que nadie del IRS se había puesto en contacto con su banco para plantear cualquier pregunta sobre esta cuenta, a pesar de mi informe de fraude presentado el 9 de febrero de 2015.»
La jefa de seguridad de la cuenta en el banco declaró que estaría encantada de cooperar con la Policía de Williamsport si proporcionaban la solicitud legal requerida para permitirle liberar el nombre, la dirección y los detalles de la cuenta. La funcionaria del banco ofreció a Kasper su número de teléfono de la oficina y su teléfono móvil para que lo compartiera con los policías. La empleada del First National también mencionó que el sospechoso vivía en la ciudad de Williamsport, PA, y que este individuo parecía seguir utilizando la cuenta.
Kasper dijo que la policía local de su ciudad natal de Nueva York no se había molestado en responder a su solicitud de ayuda, pero que el teniente del departamento de policía de Williamsport que escuchó su historia se apiadó de él y le pidió que escribiera un correo electrónico sobre el incidente a su capitán, que Kasper dijo que envió esa misma mañana.
Sólo dos horas después, recibió una llamada de un investigador que había sido asignado al caso. El detective se entrevistó con el individuo que tenía la cuenta ese mismo día y le dijo a Kasper que el departamento de fraudes del banco estaba investigando y había pedido a la persona que devolviera el dinero en efectivo.
«Mi caso de fraude en la devolución de impuestos había pasado de estar atascado en el barro a ser un caso abierto, casi de la noche a la mañana», dijo Kasper con tristeza. «O al menos parecía ser así de sencillo. Resultó ser mucho más complejo».
Para empezar, la mujer propietaria de la cuenta bancaria que recibió su reembolso falso -una estudiante de una universidad local de Pensilvania- dijo que obtuvo la transferencia tras responder a un anuncio de Craigslist sobre una oportunidad de ganar dinero.
Kasper dijo que el detective se enteró de que el dinero fue depositado en su cuenta, y que ella envió el dinero a lugares en Nigeria a través de la transferencia de Western Union, manteniendo algunos como un beneficio, y aparentemente nunca sospechar que podría estar haciendo algo ilegal.
«Ella ha proporcionado hasta ahora una cantidad significativa de información, y me inclino a creer su historia», dijo Kasper. «¿Quién estaría tan loco como para depositar un reembolso de impuestos fraudulento en su propia cuenta corriente, en lugar de una tarjeta de débito imposible de rastrear que podría obtener en una tienda de conveniencia. Al mismo tiempo, ¿alguien que pudiera hacer esto no tendría preparada una explicación como ésta?»
La mujer en cuestión, cuyo nombre se mantiene en secreto en esta historia, declinó múltiples peticiones para hablar con KrebsOnSecurity, amenazando con presentar demandas por acoso si no dejaba de intentar contactar con ella. Sin embargo, parece haber sido una mula involuntaria -si no involuntaria- en una estafa que busca reclutar a los incautos para los esquemas de hacer dinero.
ANÁLISIS
El proceso del IRS para verificar a las personas que solicitan transcripciones es vulnerable a la explotación por parte de los estafadores porque se basa en identificadores estáticos y en la llamada «autenticación basada en el conocimiento» (KBA, por sus siglas en inglés), es decir, preguntas de desafío que pueden ser fácilmente derrotadas con información ampliamente disponible a la venta en el subsuelo del cibercrimen y/o con una pequeña búsqueda en línea.
Para obtener una copia de su transcripción de impuestos más reciente, el IRS requiere la siguiente información: El nombre del solicitante, la fecha de nacimiento, el número de la Seguridad Social y el estado de la declaración. Después de suministrar estos datos, el IRS utiliza un servicio de la oficina de crédito Equifax que hace cuatro preguntas KBA. Cualquiera que consiga suministrar las respuestas correctas puede ver la transcripción fiscal completa del solicitante, incluidos los W2 anteriores, los W2 actuales y más o menos todo lo que uno necesitaría para solicitar fraudulentamente una devolución de impuestos.
Las preguntas KBA -que implican preguntas de opción múltiple, «fuera de la cartera», como la dirección anterior, los importes de los préstamos y las fechas- pueden ser enumeradas con éxito con adivinanzas al azar. Pero en la práctica es mucho más fácil, dijo Nicholas Weaver, investigador del Instituto Internacional de Ciencias de la Computación (ICSI) y de la Universidad de California en Berkeley.
«Lo hice dos veces, y la primera vez estaba relacionada con mi dirección actual, una pregunta de dirección antigua y otra de ‘qué tarjeta de crédito has conseguido'», dijo Weaver. «La segunda vez fueron dos preguntas relacionadas con mi dirección actual, y dos relacionadas con un préstamo de coche que pagué en 2007.»
La segunda vez, Weaver dijo que unos minutos en Zillow.com le dieron todas las respuestas que necesitaba para las preguntas de KBA. Spokeo le resolvió las preguntas sobre la «dirección antigua» con una precisión del 100%.
«Zillow, con mi dirección, respondió a las cuatro, si sólo se asume que se mudó cuando compró la casa», dijo. «De hecho, NECESITABA usar Zillow la segunda vez, porque maldita sea si recuerdo cuándo se construyó mi casa. Así que con los datos de Zillow y Spokeo, ni siquiera es 1 de cada 256, es 1 de cada 4 la primera vez y 1 de cada 16 la segunda, y tampoco hace falta adivinar a ciegas con un poco más de búsqueda en Google.»
Si algún lector de aquí duda de lo fácil que es comprar datos personales de casi cualquier persona, echa un vistazo a la historia que escribí en diciembre de 2014, en la que pude encontrar el nombre, la dirección, el número de la Seguridad Social, la dirección anterior y el número de teléfono de todos los miembros actuales del Comité de Comercio del Senado de Estados Unidos. Esta información ya no es secreta (como tampoco lo son las respuestas a las preguntas basadas en la KBA), y todos somos vulnerables al robo de identidad mientras las instituciones sigan confiando en la información estática como autentificadores. Ver mi reciente historia sobre Apple Pay para otro recordatorio de este hecho.
Desgraciadamente, el IRS no es la única agencia gubernamental cuya confianza en los identificadores estáticos en realidad los hace cómplices en facilitar el robo de identidad contra los estadounidenses. El mismo proceso descrito para obtener una transcripción de impuestos en irs.gov funciona para obtener un informe crediticio gratuito de annualcreditreport.com, un sitio web ordenado por el Congreso. Además, los estadounidenses que aún no han creado una cuenta en la Administración de la Seguridad Social con su número de la Seguridad Social son vulnerables a que los delincuentes se apropien de las prestaciones de la SSA ahora o en el futuro. Para saber más sobre cómo los ladrones están desviando los beneficios de la Seguridad Social a través de los sitios del gobierno, consulte esta historia.
Kasper dijo que está agradecido por el informe policial que pudo obtener de las autoridades de Pensilvania porque le permite obtener un congelamiento en su archivo de crédito sin tener que pagar la tarifa habitual de 5 dólares en Nueva York para colocar y descongelar un congelamiento.
La congelación del crédito impide que los posibles acreedores aprueben nuevas líneas de crédito a su nombre -y que incluso puedan ver o «tirar» de su expediente de crédito-, pero una congelación no impedirá necesariamente que los estafadores presenten declaraciones de impuestos falsas a su nombre.
A menos, por supuesto, que los estafadores en cuestión cuenten con obtener sus transcripciones de impuestos a través del propio sitio web del IRS. Según el IRS, las personas con un congelamiento de crédito en su archivo deben levantar el congelamiento (con Equifax, al menos) antes de que la agencia pueda continuar con las preguntas de KBA como parte de su proceso de verificación.
Actualización, 10:46 p.m., ET: El enlace incluido en el primer párrafo de esta historia que dirige a los lectores a crear una cuenta con el IRS está actualmente devolviendo el mensaje: «Actualmente estamos experimentando problemas técnicos y no podemos procesar nuevos registros».