Qué hacer después de una brecha de datos en su firma

Descubrir que su firma ha sufrido una brecha de datos (robo o acceso no autorizado a información de sus clientes) es una de las situaciones más estresantes que puede enfrentar. Cada minuto cuenta, pero actuar con precipitación puede destruir evidencia crítica o agravar el daño. Esta guía le indica qué hacer, en qué orden y a quién contactar.

Antes de actuar: lo que no debe hacer

El impulso natural es apagar equipos, borrar archivos sospechosos o reinstalar sistemas de inmediato. Resista ese impulso. El IRS y los investigadores forenses necesitan evidencia intacta para determinar el alcance del ataque y ayudarle a cerrar la vulnerabilidad.
 Crítico — No destruya evidencia
No apague, reinicie ni limpie los sistemas comprometidos hasta que un profesional forense lo autorice. Hacerlo puede eliminar rastros del atacante que son esenciales para la investigación.

Los primeros 60 minutos

Tan pronto confirme o sospeche que ha ocurrido una brecha, active este protocolo de respuesta inmediata:
1
Inmediato
Contenga la brecha sin destruir evidencia
Desconecte de internet los sistemas afectados desenchufando el cable de red (no apague el equipo). Si es una red inalámbrica, deshabilite el Wi-Fi desde el router. Esto limita la exposición sin borrar la evidencia en memoria.
2
Primeros 30 min
Designe a su Coordinador de Seguridad de Datos
Active a la persona responsable de su Plan de Seguridad de Información Escrito (WISP). Si no tiene un WISP formal, designe ahora mismo a alguien de confianza para coordinar todas las comunicaciones internas y externas sobre el incidente.
3
Antes de la hora 1
Contacte a un especialista forense digital
Llame a un profesional de ciberseguridad o a su proveedor de servicios de TI antes de hacer cualquier cambio en los sistemas. Ellos deben preservar los registros (logs), imágenes del disco y otra evidencia antes de iniciar cualquier limpieza.

Notificaciones inmediatas y obligatorias

Una vez contenida la brecha y con un especialista en camino, comience el proceso de notificación siguiendo este protocolo de prioridades establecido por el IRS y la FTC

Inmediato · Paso 1

Fuerzas del orden

Llame a la policía local de inmediato. Si no conocen la investigación de compromisos de información, contacte al FBI o Servicio Secreto de EE. UU.

Reporte el incidente y guarde el número de caso. El FBI tiene competencia federal sobre delitos que cruzan jurisdicciones estatales.

Antes de avisar a clientes, consulte con las fuerzas del orden sobre el momento adecuado para no interferir con la investigación.

Primeras horas · Paso 2

IRS y agencias gubernamentales

Notifique al Enlace de Seguridad de los Socios (Stakeholder Liaison) del IRS de su área para bloquear declaraciones fraudulentas.

Contacte a las agencias tributarias de cada estado donde prepare declaraciones y a su Junta Estatal de Contabilidad Pública.

Si el evento afecta a 500+ personas, reporte a la FTC (Safeguards Rule Form) en máximo 30 días tras el descubrimiento.

Con autorización · Paso 3

Sus clientes afectados

Una vez autorizado por las fuerzas del orden, envíe notificación formal —preferiblemente por escrito— a cada cliente cuyos datos fueron comprometidos.

La carta debe detallar qué datos fueron expuestos, cuándo ocurrió y las medidas que su firma está tomando.

Dirija a sus clientes a IdentityTheft.gov. El IRS y la FTC tienen modelos de carta para notificar robo de números de Seguro Social.

 Nota sobre las leyes estatales
La mayoría de los estados tienen leyes de notificación de brechas con plazos específicos, generalmente entre 30 y 72 horas. Verifique la ley de su estado con un asesor legal, ya que las penalidades por incumplimiento pueden ser significativas.

Lista de verificación post-brecha

Una vez pasada la fase de emergencia, le sugerimos complete estas acciones en los días siguientes:
 Documente todo en un registro del incidente con fechas, horas y nombres de personas contactadas.
 Cambie todas las contraseñas de los sistemas afectados y active autenticación multifactor (MFA) en todas las cuentas.
 Revise y actualice su Plan de Seguridad de Información Escrito (WISP) para cerrar la vulnerabilidad que permitió la brecha.
 Notifique a la FTC en IdentityTheft.gov si hubo robo de números de Seguro Social u otra PII financiera.
 Considere ofrecer a los clientes afectados un servicio de monitoreo de crédito como medida de buena fe.
 Capacite a todo su personal sobre las lecciones aprendidas del incidente antes de reanudar operaciones normales.

¿Sin WISP durante una brecha? Su firma enfrenta consecuencias graves

Operar sin un Plan de Seguridad de Información Escrito (WISP) no es solo un descuido administrativo. Si su firma sufre un ataque y no contaba con un WISP implementado, usted pasa de ser una víctima a ser un responsable ante la ley. Estas son las consecuencias concretas:
Investigaciones de la FTC
La FTC exige que todo preparador de impuestos cuente con un plan de seguridad por escrito. La falta de este documento es suficiente para que la FTC inicie una investigación oficial.
Riesgo para sus credenciales y capacidad operativa
El IRS advierte que los robos de datos en firmas de preparadores están en aumento. La falta de salvaguardas puede comprometer su reputación ante el IRS y las agencias estatales.
Vulnerabilidad ante demandas civiles
Contar con un WISP no solo es un requisito legal, sino que proporciona un nivel de protección legal básica en caso de una brecha. Sin él, usted carece de prueba documentada de "medidas razonables".
Daño reputacional y pérdida económica directa
Las fuentes oficiales son claras: el impacto de una brecha puede significar una pérdida de reputación, de clientes, de ingresos. La confianza del cliente es la base de la industria tributaria.

El WISP no es opcional — Es obligatorio

Para responder de manera efectiva ante una brecha y cumplir con sus responsabilidades profesionales, todo preparador debe tener implementado un WISP. La Ley Gramm-Leach-Bliley (GLBA) y la Regla de Salvaguardas de la FTC lo exigen para todas las firmas, independientemente de su tamaño, incluyendo a los practicantes independientes. No espere a sufrir un incidente para cumplir con esta obligación legal. Un WISP actualizado es su mejor defensa para proteger a sus clientes, su reputación y el futuro de su firma.

Información basada en las publicaciones oficiales del IRS (Pub. 4557, 5708) y las directrices de la FTC (Safeguards Rule). Este artículo es de carácter informativo y no constituye asesoría legal.