Check Point Research detecta un aumento de ciberataques durante la campaña fiscal 2026
Check Point Research ha identificado un incremento de la actividad maliciosa asociada a la campaña fiscal de 2026, un periodo que concentra un elevado intercambio de datos financieros y personales a través de canales digitales. Según informa la organización, los ciberdelincuentes aprovechan este contexto para desplegar campañas de phishing, crear páginas web fraudulentas y distribuir malware dirigido tanto a particulares como a empresas.
El análisis realizado por la división de inteligencia de amenazas de Check Point indica que estas acciones responden a operaciones planificadas con antelación. Los actores maliciosos preparan su infraestructura durante meses, lo que evidencia una estrategia coordinada que se intensifica conforme se aproxima el periodo de presentación de impuestos.
Entre septiembre de 2025 y febrero de 2026 se registraron cientos de dominios mensuales con referencias a términos fiscales o a organismos tributarios. Esta actividad creció de forma progresiva hacia finales de 2025 y experimentó un repunte a partir de noviembre. Uno de cada 15 dominios identificados en ese intervalo fue clasificado como malicioso o sospechoso, lo que refleja el uso sistemático de estas temáticas con fines fraudulentos.
En marzo de 2026, tanto el volumen como el nivel de riesgo aumentaron. El número de dominios registrados superó al de meses anteriores, mientras que la proporción de direcciones consideradas peligrosas alcanzó su nivel más elevado del año, con uno de cada 10 dominios clasificado como de riesgo.
Suplantación de organismos fiscales y distribución de malware
En paralelo, Check Point Research documenta campañas de suplantación de organismos tributarios. En enero de 2026 se detectaron múltiples dominios que imitaban al Servicio de Impuestos Internos de Estados Unidos (IRS), con estructuras y contenidos prácticamente idénticos. Estas páginas ofrecían supuestas devoluciones fiscales con importes elevados para atraer a las víctimas y solicitaban posteriormente datos personales como nombre, número de la Seguridad Social o información de contacto.
El objetivo de estas plataformas consiste en recopilar información sensible a gran escala mediante procesos de verificación simulados. Este procedimiento permite a los atacantes construir bases de datos con información personal que puede emplearse en fraudes posteriores o en accesos no autorizados a sistemas.
Las campañas también han afectado al entorno empresarial en España. En febrero de 2026 se identificó un correo electrónico que suplantaba a la Agencia Tributaria y que fue enviado a una empresa industrial desde una dirección falsificada. El mensaje incluía un archivo adjunto ejecutable clasificado como Trojan.Downloader / Trojan.Minix (NSIS), diseñado para descargar cargas maliciosas adicionales una vez ejecutado.
Este tipo de software actúa como un cargador que facilita la instalación de amenazas secundarias, como herramientas de robo de credenciales o registradores de pulsaciones. La ejecución de estos archivos puede derivar en el compromiso completo de los sistemas afectados y en la exposición de información crítica.
Según informa Check Point Research, la campaña fiscal genera condiciones propicias para este tipo de ataques debido al volumen de datos sensibles en circulación, la recepción esperada de comunicaciones oficiales y la urgencia con la que los usuarios suelen gestionar estos trámites. En este escenario, la monitorización de dominios, la detección temprana de intentos de suplantación y el control sobre la ejecución de archivos constituyen medidas esenciales para reducir el riesgo.
Asimismo, la organización indica que la concienciación de usuarios y empleados continúa siendo un factor determinante para prevenir incidentes de seguridad durante este periodo, especialmente en entornos corporativos donde un único acceso comprometido puede afectar a toda la infraestructura digital.
