Estafas de la temporada fiscal 2026: las siete variantes activas de TurboTax, H&R Block e IRS entre enero y abril

La lista IRS Dirty Dozen de 2024 (publicada por el Servicio de Impuestos Internos en primavera de 2024) señaló el phishing, el smishing y la suplantación con temática fiscal como una amenaza persistente de primer nivel. Los datos del Consumer Sentinel Network de la FTC de 2024 (publicados en febrero de 2025) registraron más de 1,1 millones de denuncias por robo de identidad, con el robo de identidad relacionado con impuestos sistemáticamente entre las categorías principales. El Informe IC3 del FBI de 2024 (abril de 2025) registró 859.532 denuncias y 16.600 millones de dólares en pérdidas reportadas, un salto interanual del 33 por ciento. El Inspector General del Tesoro para la Administración Tributaria (TIGTA) lleva más de una década siguiendo la estafa telefónica de suplantación del IRS y sigue registrando nuevas variantes en cada temporada de declaración. El patrón se repite porque funciona. Estas son las siete variantes que verás este año.

Correo falso de TurboTax con "cuenta bloqueada"

Esta variante alcanza su pico la semana previa al plazo de declaración de abril. El correo llega con apariencia de TurboTax, con el encabezado azul de Intuit y un pequeño pie de página de Intuit. El asunto suele ser uno de tres: "Su cuenta de TurboTax ha sido bloqueada", "Inicio de sesión sospechoso detectado en su cuenta de TurboTax" o "Acción requerida para presentar su declaración".

El cuerpo del mensaje dice que alguien intentó acceder a tu cuenta de TurboTax desde un dispositivo o ubicación desconocidos. Para desbloquear la cuenta antes del plazo, hay que pulsar el botón "Verificar identidad" o "Restaurar acceso". El enlace lleva a una página de inicio de sesión clonada en un dominio como turbotax-secure-login.com, intuit-verify.help o turbotax-account-unlock.co. La página acepta tu usuario y contraseña de Intuit, suele pedir los últimos cuatro dígitos del SSN como "verificación adicional" y a veces solicita también el número de cuenta bancaria y el routing como parte de un falso paso de "verificar destino del reembolso".

La comunicación real de Intuit por seguridad de cuenta usa los remitentes @intuit.com y enlaza únicamente a intuit.com o turbotax.intuit.com. No existe turbotax-secure-login.com. El dominio clonado con guiones y el TLD distinto a intuit.com son toda la pista. Si tienes dudas, cierra el correo, abre una pestaña nueva, escribe turbotax.intuit.com a mano e inicia sesión directamente. Cualquier aviso real de bloqueo aparecerá en el panel de tu cuenta.

SMS falso de H&R Block: "Tu reembolso está retenido"

Esta variante toma prestado el modelo de la "tarifa aduanera" de las estafas de paquetería de FedEx y DHL. El texto dice algo como: "H&R Block: Tu reembolso federal de 1.847 dólares está actualmente retenido. Se requiere una tarifa de procesamiento de 1,99 dólares para liberar el depósito. Pagar aquí: hrblock-refund-release.com/r/8K2J9F". O una variante: "HRB: Falló el depósito del reembolso. Vuelve a enviar tu información bancaria: hrblock-deposit-verify.help".

El enlace lleva a una página que pide la pequeña "tarifa de procesamiento" con tarjeta. La cosecha real no son los 1,99 dólares. Es el número completo de la tarjeta, el CVV, la fecha de caducidad, el código postal y, a menudo en un paso de "verificar identidad", el SSN completo. Los datos de la tarjeta se agrupan y se venden en mercados de la darknet en pocas semanas. El SSN se incluye en lotes separados de robo de identidad que se usarán meses después para presentar declaraciones fraudulentas a tu nombre.

H&R Block no envía mensajes de texto a sus clientes para liberar reembolsos. El IRS, no H&R Block, deposita los reembolsos federales, y el IRS nunca cobra una "tarifa de liberación". La mensajería real de H&R Block proviene de dominios @hrblock.com y de códigos cortos registrados por la empresa. Si recibes un texto diciendo que un reembolso está retenido, no hagas clic. Inicia sesión directamente en hrblock.com o llama a la oficina local donde presentaste tu declaración.

Correo de reembolso pendiente del IRS hacia un sitio falso parecido a irs.gov

El correo llega con el logo del águila del IRS y la imaginería del Tesoro de Estados Unidos. El asunto suele ser "IRS: Notificación de reembolso 2026" o "Su reembolso de 2.431,00 dólares está listo para ser emitido". El cuerpo afirma que el reembolso está pendiente de una verificación final de identidad y proporciona un enlace a irs-tax-refund.us, irs-gov-online.com, irs-treasury-portal.help o similar.

La página de destino imita IRS.gov de cerca. Un formulario falso de "Obtener mi reembolso" pide nombre completo, SSN, fecha de nacimiento, AGI del año anterior, dirección actual, número de cuenta bancaria y routing. Algunas variantes piden además una copia de tu licencia de conducir subida como imagen. El resultado es un kit completo de robo de identidad entregado al atacante, más credenciales bancarias directas para abuso de ACH.

El IRS real usa exactamente un dominio: irs.gov. No existe irs.us, ni irs-online.com, ni irs-treasury-portal.help. El IRS tampoco inicia contacto sobre reembolsos por correo electrónico. La agencia envía primero correo postal en papel. Si un reembolso tiene un problema de verdad, verás una carta (notificación de la serie CP) en tu buzón y una actualización en tu cuenta en línea del IRS en irs.gov/account. Cualquier otra cosa es phishing. Reenvía el correo a phishing@irs.gov y bórralo.

Llamada de suplantación del IRS exigiendo tarjetas de regalo

Este es el clásico que lleva en marcha continuamente desde al menos 2013. TIGTA lo registra como "estafas telefónicas de suplantación del IRS" y reporta nuevos picos en cada temporada de declaración. La llamada suele ser automatizada al principio y se escala a un operador en vivo si pulsas 1. Quien llama afirma ser un agente del IRS (a veces da un número de placa falso) y dice que debes impuestos atrasados. El pago tiene que hacerse hoy mismo con tarjetas de regalo (iTunes, Google Play, Steam, Amazon, Target). Si no pagas de inmediato, quien llama te amenaza con detención, deportación, suspensión de la licencia o embargo del salario en la próxima hora.

A veces la llamada usa identificador suplantado para mostrar "IRS" o un número real del IRS. A veces el guion cambia y exige una transferencia bancaria o criptomonedas. La constante es la urgencia más un método de pago irreversible (tarjetas de regalo, transferencia, cripto) que ningún recaudador legítimo de impuestos utiliza jamás.

El IRS no llama para exigir el pago inmediato. El IRS no amenaza con detención por teléfono. El IRS no acepta tarjetas de regalo como pago bajo ninguna circunstancia, nunca. Si la llamada usa cualquiera de estas señales, cuelga. Reporta a TIGTA en tigta.gov (usa el formulario "IRS Impersonation Scam Reporting") y a la FTC en reportfraud.ftc.gov. Si tienes dudas sobre una factura fiscal real, llama directamente al IRS al 1-800-829-1040 usando un número que busques tú, no uno que te haya dado quien llamó.

Phishing "Tu 1099 de [empleador o plataforma]" con adjunto malicioso

Esta variante apunta a trabajadores de la economía gig, freelancers y cualquiera que haya recibido un 1099-NEC, 1099-K, 1099-MISC o 1099-INT real en el pasado. El correo llega a finales de enero o en febrero con un asunto como "Tu 1099 de Uber de 2025 está listo", "Tu 1099-NEC de DoorDash está adjunto", "Importante: 1099-K de PayPal" o "Tu 1099-MISC de Upwork disponible para descarga".

El cuerpo es corto. Dice que tu documento fiscal está adjunto. El adjunto suele ser un PDF o un documento de Microsoft Word con un nombre como 1099-NEC-2025.pdf.html, Uber_1099_Final.doc o DoorDash_Tax_Form.zip. Al abrirlo, o bien se ejecuta un formulario para robar credenciales (variante HTML), se descarga una carga remota (variante doc con macros) o se desempaqueta un binario de malware (variante zip). Cargas comunes en 2024 y 2025 incluyeron infostealers como Lumma, RedLine y Vidar, que extraen contraseñas del navegador, monederos cripto y cookies de sesión en cuestión de minutos.

La distribución real de 1099 desde las grandes plataformas (Uber, DoorDash, Lyft, PayPal, Venmo, Coinbase, Upwork) ocurre dentro del panel fiscal de la propia plataforma, accedido mediante tu inicio de sesión habitual. La plataforma puede mandar un correo diciendo que el documento está listo, pero el documento se descarga desde dentro de la plataforma, no de un adjunto en correo. Si recibes un correo con 1099 y archivo adjunto, no lo abras. Inicia sesión directamente en la plataforma y descarga el documento desde la sección fiscal. Reenvía los correos sospechosos a phishing@irs.gov y a la dirección de abuso de la plataforma suplantada.

SMS de estado de estímulo o reembolso con dominios parecidos a los gubernamentales

Esta variante resurge cada vez que hay noticias reales sobre créditos fiscales, plazos de reembolso o discusiones sobre estímulos en el Congreso. El texto dice: "IRS: Tienes un pago de impacto económico no reclamado de 1.400 dólares. Verifica elegibilidad: irs-stimulus-claim.us/v/3K9F" o "Tesoro de EE. UU.: El estado de tu reembolso se ha actualizado. Consultar en gov-refund-status.com/r/8J2L".

El destino es una página falsa de IRS.gov o del sitio del Tesoro. El formulario pide SSN, fecha de nacimiento, routing y número de cuenta bancaria y a veces imagen de la licencia de conducir. Algunas variantes encadenan con un falso formulario de tarjeta para una "pequeña tarifa de verificación". Los datos alimentan lotes de robo de identidad y kits de fraude ACH que se venden por separado.

El IRS real nunca envía mensajes de texto no solicitados sobre reembolsos o pagos de estímulo. No se ha autorizado un nuevo programa federal de estímulo en 2026, y cualquier mensaje de "estímulo no reclamado" en 2026 es phishing. El estado del reembolso se comprueba en irs.gov/refunds o en la aplicación móvil IRS2Go, en ambos casos introduciendo tu propio SSN y datos de declaración, no un enlace de un texto. Reenvía el texto al 7726 (el código de denuncia de spam de la industria inalámbrica) y a phishing@irs.gov.

Robo de identidad con W-2 robado: reembolso redirigido antes de que declares

Esta es la variante silenciosa y cara. La víctima no recibe correos de phishing en absoluto. El atacante ya obtuvo la información del W-2 de la víctima (mediante una filtración de datos del empleador, un ataque de phishing al departamento de RR. HH., un buzón postal robado o una fuga de datos previa que incluía SSN y datos del empleador) y la usa para presentar una declaración federal fraudulenta a principios de la temporada, normalmente a finales de enero o principios de febrero, antes de que la víctima real presente la suya.

La declaración fraudulenta reclama un reembolso grande y lo redirige a una cuenta que el atacante controla (a menudo una tarjeta de débito prepago, una cuenta bancaria mula o una cuenta fintech abierta con identidad sintética). Cuando la víctima real se sienta a hacer su declaración en TurboTax o H&R Block en marzo o abril, el IRS rechaza la declaración con código IND-510 o similar, diciendo que ya se presentó una declaración con ese SSN.

El Affidávit de Robo de Identidad del IRS (Formulario 14039) es el camino formal de recuperación. Preséntalo en cuanto sospeches robo de identidad fiscal. Combínalo con un PIN de Protección de Identidad (IP PIN), que el IRS ofrece ahora a cualquier contribuyente que lo solicite en irs.gov/ippin. El IP PIN es un código de seis dígitos que debe acompañar a tu declaración real; una declaración fraudulenta sin el PIN se rechaza automáticamente. Solicita también un certificado gratuito de salarios e ingresos en irs.gov/transcripts para ver qué se reportó a tu nombre; congela tu crédito en las tres oficinas (Equifax, Experian, TransUnion); y presenta denuncia en identitytheft.gov para el plan de recuperación de la FTC y en ic3.gov para el informe del FBI.

Cómo funciona realmente la comunicación del IRS

Esto es lo más útil que puedes memorizar. Cada variante de arriba falla en esta prueba.

• El primer contacto es por correo postal. El IRS envía una carta física (notificación de la serie CP, LT o 5071C) a la dirección registrada antes de cualquier otro contacto. Sin textos. Sin correos. Sin redes sociales. Sin llamadas exigiendo pago.
• Los mensajes seguros pasan por tu cuenta en línea del IRS. Inicia sesión en irs.gov/account para ver las notificaciones reales, el historial de pagos y cualquier problema de reembolso. El panel es la fuente de verdad.
• El único dominio del IRS es irs.gov. No .us, no .com, no .help, no .online. Cualquier otro TLD es falso.
• El IRS no acepta tarjetas de regalo. Punto. Las opciones reales de pago son débito directo, IRS Direct Pay en irs.gov/payments, EFTPS, tarjeta mediante procesador aprobado, cheque o giro postal. Cualquier otra cosa es la estafa.
• El IRS no amenaza con detención por teléfono. El cobro real se escala mediante notificaciones por escrito a lo largo de meses y años, no en una llamada de sesenta segundos.
• Los reembolsos se consultan en irs.gov/refunds o en IRS2Go. Ningún enlace por SMS es nunca el camino correcto.

Dominios reales de remitentes de TurboTax y H&R Block

Si un correo de preparación fiscal es real, viene de uno de estos. Cualquier otra cosa con el nombre de la marca dentro es una imitación.

• TurboTax / Intuit: @intuit.com, @turbotax.intuit.com. Los enlaces reales van a intuit.com o turbotax.intuit.com. No turbotax-secure.com, no intuit-verify.help, no turbotax-account-unlock.co.
• H&R Block: @hrblock.com, @emails.hrblock.com. Los enlaces reales van a hrblock.com. No hrblock-refund.com, no hrblock-deposit-verify.help.
• IRS: solo irs.gov. El IRS no inicia contacto por correo electrónico. Cualquier correo "del IRS" es o una notificación real de la serie CP escaneada por un servicio fiscal que tú autorizaste, o es phishing.
• Cash App Taxes (antes Credit Karma Tax): @cash.app. Los enlaces reales van a cash.app/taxes.
• TaxSlayer: @taxslayer.com. Los enlaces reales van a taxslayer.com.
• TaxAct: @taxact.com. Los enlaces reales van a taxact.com.

Si no recuerdas el dominio correcto, la jugada segura es siempre la misma. Cierra el correo. Abre una pestaña nueva. Escribe la marca en la barra de direcciones tú mismo. Inicia sesión directamente. Cualquier notificación real aparecerá en tu panel.

Señales de alerta comunes a las siete variantes

• Urgencia con plazo medido en horas. "Verifica en 24 horas o pierdes tu reembolso", "Paga en la próxima hora o serás arrestado", "Acción requerida antes de medianoche".
• Un enlace o adjunto en lugar de una instrucción de iniciar sesión directamente. Las notificaciones reales dicen "inicia sesión en irs.gov/account" o "entra en tu cuenta de TurboTax". Las falsas empujan un enlace de un clic.
• Un dominio clonado con guiones. Las marcas reales rara vez usan guiones o palabras añadidas. irs-tax-refund.us, turbotax-secure-login.com, hrblock-refund-release.com son todas imitaciones.
• Un TLD no estándar. El IRS usa solo .gov. Intuit y H&R Block usan solo .com. Cualquier .us, .help, .co, .shop, .online para estas marcas es phishing.
• Petición de SSN, routing bancario o imagen de licencia en una sola página. Los flujos fiscales reales nunca empaquetan todo esto en un formulario externo. El proceso legítimo ocurre dentro del software de preparación que ya usas.
• Tarjetas de regalo, transferencia bancaria, criptomonedas o "tarifa de procesamiento" como método de pago. Los pagos federales de impuestos usan IRS Direct Pay, EFTPS, procesadores de tarjeta o cheque. Nada más.
• Amenazas de detención, deportación o suspensión de licencia. El cobro real del IRS se escala por escrito a lo largo de meses. No ocurre en una llamada de teléfono.
• Errores ortográficos o redacción extraña. "Tu reembolso esta siendo procesado actualmente", "Verifite su cuenta", "Servicio de Rentas Internas" aparecen en campañas reales.

La rutina de verificación de 10 segundos para cualquier mensaje fiscal

Ejecuta esto sobre cada correo, texto o llamada antes de actuar.

1. Para diez segundos. La urgencia es el arma principal de la estafa. Frena. Nada fiscal es genuinamente una decisión de sesenta segundos.
2. Mira la dirección completa del remitente (no solo el nombre que se muestra). "IRS" como nombre visible con irs-notice@verify-portal.com como dirección real es phishing.
3. Mira el enlace sin hacer clic. Pasa el ratón por encima en escritorio, mantén pulsado en móvil. Aparece la URL real. Si no es irs.gov, intuit.com o hrblock.com, trátalo como falso.
4. Cierra el mensaje y verifica directamente. Abre una pestaña nueva. Escribe tú mismo irs.gov/account, turbotax.intuit.com o hrblock.com. Inicia sesión. Si el problema es real, estará en tu panel.
5. Si tienes dudas, pega la URL en el verificador gratuito de URL de SafeBrowz. Veredicto en dos segundos.

Qué hacer si ya introdujiste datos en un sitio falso

Si al leer esto reconoces un momento reciente, este es el orden de operaciones.

• Si introdujiste datos de tarjeta: congela la tarjeta de inmediato en la app del banco. Pide una tarjeta de reemplazo. Presenta contracargos por cualquier cargo desconocido. En Estados Unidos, la Regulación E cubre las tarjetas de débito si se reportan en 60 días; las tarjetas de crédito suelen estar protegidas por más tiempo bajo la Ley de Facturación Justa de Crédito.
• Si introdujiste SSN, fecha de nacimiento o routing bancario: presenta un Affidávit de Robo de Identidad del IRS en irs.gov/Form-14039. Solicita un IP PIN en irs.gov/ippin. Solicita un certificado gratuito de salarios e ingresos en irs.gov/transcripts para ver qué se reportó a tu nombre.
• Congela tu crédito en las tres oficinas: Equifax (equifax.com/personal/credit-report-services), Experian (experian.com/freeze) y TransUnion (transunion.com/credit-freeze). Cada congelación es gratis y se puede levantar en minutos cuando necesites crédito.
• Presenta el plan de recuperación de la FTC en identitytheft.gov. Genera pasos personalizados según lo que se expuso e incluye afidávits prerellenados.
• Denuncia en ic3.gov (Centro de Denuncia de Delitos en Internet del FBI) para que el caso alimente las investigaciones federales.
• Si tu cuenta de TurboTax, H&R Block u otro preparador se vio comprometida: inicia sesión directamente (no uses el enlace del correo de phishing), cambia la contraseña, activa la autenticación de dos factores y contacta con la línea de fraude del proveedor. TurboTax: 1-800-944-8596. H&R Block: 1-800-472-5625.
• Si se presentó una declaración fraudulenta a tu nombre: presenta tu declaración real en papel (sí, papel) junto con el Formulario 14039. Envíala por correo a la dirección de las instrucciones del formulario. Espera retrasos de procesamiento de meses mientras el IRS resuelve el caso. El IRS tiene una Unidad Especializada en Protección de Identidad en el 1-800-908-4490.

Cómo denunciar cada variante

• Correos de phishing suplantando al IRS, TurboTax o H&R Block: reenvía (con encabezados completos) a phishing@irs.gov. Después borra.
• Llamadas de suplantación del IRS: reporta en el formulario "IRS Impersonation Scam Reporting" de TIGTA en tigta.gov. Reporta también a la FTC en reportfraud.ftc.gov.
• SMS de phishing: reenvía el texto al 7726 (deletrea SPAM en un teclado de teléfono), que lo encamina a tu operadora. Después denuncia en reportfraud.ftc.gov.
• Robo de identidad (SSN usado para declaración fraudulenta): Formulario 14039 al IRS más el plan de recuperación de la FTC en identitytheft.gov.
• Denuncia genérica de pérdida por fraude: FBI IC3 en ic3.gov para cualquier caso con pérdida financiera o actividad en línea.
• BBB Scam Tracker: presenta en bbb.org/scamtracker para añadir el caso a la base pública del Better Business Bureau (útil para alertar a personas de tu zona).

Nota para hispanohablantes en EE. UU. y expatriados latinos

Si vives en Estados Unidos y declaras impuestos federales, todo lo de arriba aplica de forma idéntica. TurboTax e H&R Block son las plataformas más usadas por la comunidad hispana para preparar la declaración. El IRS publica formularios y notificaciones también en español en irs.gov/es, pero las reglas son las mismas: primer contacto por correo postal, dominio único irs.gov, sin tarjetas de regalo. Los estafadores tienen guiones en español calibrados para Latinoamérica: amenazan con "deportación inmediata", "revocación de visa" o "embargo de remesas". Ninguna de esas amenazas es legítima por teléfono. Para residentes con doble obligación fiscal (México, Argentina, Colombia, España), las estafas equivalentes locales se hacen pasar por el SAT, AFIP, DIAN o la Agencia Tributaria. La regla es la misma: ningún organismo tributario real exige pago inmediato con tarjetas de regalo o criptomonedas.

Última actualización 2026-05-30

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz utiliza una arquitectura de detección de 3 capas: Local + APIs + IA.

• Capa 1, Detección local: más de 60 patrones de URL y más de 550 firmas específicas de marca corren directamente en tu navegador. Esta es la capa que atrapa turbotax-secure-login.com, hrblock-refund-release.com, irs-tax-refund.us, irs-stimulus-claim.us y variantes parecidas con guiones y sufijos en el momento del clic, antes de que se cargue el formulario de credenciales. Intuit, TurboTax, H&R Block, Cash App, el IRS y cientos de firmas de otras marcas vienen incorporadas en la extensión.
• Capa 2, Verificación con APIs: Google Safe Browsing, PhishTank y URLhaus cruzan referencias en el lado del servidor. Atrapa dominios de phishing conocidos en cuanto se reportan en cualquier parte del mundo, incluidos los clones desechables de temporada fiscal que se queman y reemplazan cada pocos días.
• Capa 3, Análisis IA profundo (Premium): el análisis de contenido marca páginas clon nuevas que ninguna lista de bloqueo ha visto todavía. La página falsa de inicio de sesión de TurboTax que se publicó hace dos horas, el nuevo clon de reembolso del IRS que no se ha reportado en ningún sitio. Funciona en más de 100 idiomas, útil para el phishing fiscal en español dirigido a comunidades latinas.

Las firmas de detección se derivan de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de datos de navegación del usuario. SafeBrowz no almacena historial de navegación por usuario.

Preguntas frecuentes

¿El IRS te llama, escribe o envía correos primero alguna vez?

No. El IRS inicia el contacto por correo postal, siempre. Una notificación de la serie CP, LT o 5071C llega a la dirección de tu última declaración. Solo después de que las notificaciones por escrito se ignoren, los empleados del IRS, en algunos casos limitados de cobro, hacen seguimiento por teléfono, e incluso entonces nunca exigen tarjetas de regalo, amenazan con detención o piden datos bancarios durante la llamada. Si tu primer contacto es un texto, un correo o una llamada exigiendo pago, es phishing o una estafa telefónica. Reenvía los correos a phishing@irs.gov. Reporta las llamadas a TIGTA en tigta.gov.

¿Cómo sé si un correo de TurboTax es real?

Los correos reales de Intuit vienen de @intuit.com o @turbotax.intuit.com y enlazan solo a intuit.com o turbotax.intuit.com. No existe turbotax-secure.com, turbotax-verify.help ni intuit-account-unlock.co. El flujo más seguro es ignorar el enlace del correo por completo, abrir una pestaña nueva, escribir turbotax.intuit.com a mano e iniciar sesión directamente. Cualquier aviso real de cuenta será visible en tu panel. Si algo está mal de verdad, el mensaje dentro de la app es la fuente de verdad.

¿Qué es el Formulario 14039 del IRS y cuándo lo presento?

El Formulario 14039 es el Affidávit de Robo de Identidad del IRS. Preséntalo cuando creas que tu SSN se usó para presentar una declaración fraudulenta, o cuando el IRS rechace tu declaración real porque ya se presentó una con tu SSN. Puedes enviarlo electrónicamente a través de identitytheft.gov (que genera una versión prerellenada) o por correo postal a la dirección de las instrucciones del formulario. Acompáñalo con una solicitud de IP PIN en irs.gov/ippin para que cualquier declaración fraudulenta futura se bloquee automáticamente.

¿Qué es un IP PIN y cómo lo consigo?

Un PIN de Protección de Identidad (IP PIN) es un número de seis dígitos que el IRS te asigna y que debe acompañar a tu declaración real. Una declaración presentada bajo tu SSN sin el IP PIN correcto se rechaza automáticamente. Cualquier contribuyente puede solicitarlo (no solo las víctimas de robo de identidad) en irs.gov/ippin. El PIN cambia cada año y se comunica a través de tu cuenta en línea del IRS. Es la protección más eficaz contra la variante de robo de identidad con W-2.

¿Cómo denuncio un SMS falso de H&R Block?

Reenvía el texto al 7726 (las letras deletrean SPAM en un teclado de teléfono), que lo encamina al sistema de denuncia de spam de tu operadora. Reporta también en reportfraud.ftc.gov y considera reenviar los detalles del mensaje a H&R Block en security@hrblock.com (la bandeja estándar para abuso de marca). No hagas clic en el enlace primero para "ver qué es" y no respondas STOP, porque eso confirma que el número está activo. Solo reenvía y borra.

Le di mi SSN a un sitio falso del IRS. ¿Qué hago primero hoy?

Congela tu crédito en las tres oficinas primero (Equifax, Experian, TransUnion). Es gratis y lleva en total unos diez minutos. Luego solicita un IP PIN del IRS en irs.gov/ippin para que cualquier declaración fraudulenta presentada con tu SSN sea rechazada. Presenta el Formulario 14039 (Affidávit de Robo de Identidad) y completa el plan de recuperación de la FTC en identitytheft.gov, que genera los siguientes pasos personalizados según lo que se expuso. Denuncia también en ic3.gov. Cuanto antes estén la congelación y el IP PIN en marcha, menor será la ventana para que el atacante use los datos.