Beancount.io LogoBeancount.io

El Manual WISP 2026 para Profesionales de Impuestos y Contadores: Construyendo un Programa de Seguridad de Datos que Cumpla con la Regla de Salvaguardas de la FTC sin un CISO

16 min de lecturaMike ThriftMike Thrift
El Manual WISP 2026 para Profesionales de Impuestos y Contadores: Construyendo un Programa de Seguridad de Datos que Cumpla con la Regla de Salvaguardas de la FTC sin un CISO

Si su firma prepara declaraciones federales, gestiona nóminas o tiene acceso a los flujos bancarios de un cliente, el gobierno federal ya lo considera una "institución financiera" — y a partir de la temporada de declaración de 2026, el IRS no renovará su PTIN a menos que certifique, bajo pena de perjurio, que cuenta con un programa escrito de seguridad de la información (WISP) implementado. Esa certificación no es un mero trámite de marcar una casilla. Es una declaración jurada de que su firma ha implementado los nueve elementos de la Regla de Salvaguardas de la FTC, ha designado a una Persona Calificada para dirigir el programa, lo ha probado en el último año y tiene un plan para reportar una brecha de seguridad a los reguladores en un plazo de treinta días.

La mayoría de los profesionales independientes y los pequeños despachos contables descubren el requisito del WISP cuando un cliente lo solicita como parte de un cuestionario de debida diligencia de proveedores, o cuando el IRS envía una carta de "concienciación sobre seguridad para profesionales de impuestos" tras un incidente de phishing. Ninguno de esos momentos es idóneo para empezar desde cero. Esta guía recorre lo que el WISP realmente debe contener, cómo se adapta la Regla de Salvaguardas de la FTC a la realidad de una pequeña firma y cómo establecer un programa creíble sin contratar a un CISO fraccional ni comprar una herramienta empresarial de GRC.

Por qué un WISP ya no es opcional

Dos reguladores supervisan a cada preparador de impuestos y contador en los Estados Unidos, y se refuerzan mutuamente.

El primero es el IRS, que ha exigido un plan de seguridad por escrito bajo la Sección 7216 y la Ley Gramm-Leach-Bliley durante años, pero solo recientemente le ha otorgado verdadera fuerza. A partir del ciclo de renovación del PTIN de 2024, cada preparador debe afirmar que tiene un WISP vigente. La ventana de renovación de 2026 añade una certificación explícita sobre los nueve elementos de la Regla de Salvaguardas de la FTC. Las certificaciones falsas o descuidadas son el tipo de cosas que se descubren a posteriori durante una investigación de brecha de seguridad, y una declaración falsa en una solicitud de PTIN es una exposición independiente de la brecha en sí.

El segundo es la Comisión Federal de Comercio (FTC), que hace cumplir la Regla de Salvaguardas bajo el 16 CFR Parte 314. La FTC tiene el poder de imponer sanciones civiles de hasta $100,000 por violación contra las firmas que no mantengan un programa que cumpla con la normativa, y una "violación" puede definirse de forma estricta: un solo control faltante en cientos de registros de clientes es el tipo de cálculo que ha producido órdenes de consentimiento de ocho cifras contra los preparadores más grandes.

La Regla de Salvaguardas también se ha endurecido en los últimos tres años. La enmienda de octubre de 2023 exige que las firmas notifiquen a la FTC en un plazo de 30 días cualquier "evento de notificación": una adquisición no autorizada de información de clientes no cifrada que afecte a 500 personas o más. Ese requisito de notificación entró en vigor en mayo de 2024, y la FTC ya lo ha utilizado para identificar firmas que no tenían un WISP implementado cuando ocurrió la brecha. Una brecha sin un plan es una postura mucho peor que una brecha con uno.

Para los profesionales de impuestos, esta estructura acumulativa significa que un solo incidente de phishing puede desencadenar una exposición del PTIN ante el IRS, sanciones civiles ante la FTC, consultas de los fiscales generales estatales bajo las leyes de notificación de brechas de los 50 estados y una ola de reclamaciones por robo de identidad de los clientes afectados. El WISP es el único documento que reduce significativamente el alcance de ese impacto.

Los nueve elementos que debe documentar

La Regla de Salvaguardas de la FTC enumera nueve elementos específicos del programa en 16 CFR § 314.4. La plantilla del IRS en la Publicación 5708 organiza sus secciones en torno a los mismos nueve, y un WISP que no aborde cada uno de ellos por escrito no es un programa que cumpla con la norma. Esto es lo que significa realmente cada elemento en una firma pequeña.

1. Designar a una Persona Calificada

Usted debe nombrar a una persona —por cargo y por nombre— que sea responsable del programa de seguridad. La FTC es explícita en que la Persona Calificada no necesita un título o certificación específica. Lo que importa es que el rol esté documentado, que la persona tenga la autoridad para tomar decisiones y que informe a la alta gerencia al menos anualmente. En una práctica independiente, la Persona Calificada suele ser el propietario. En una firma pequeña, suele ser el socio director o el administrador de la oficina, con el apoyo de un proveedor externo de servicios gestionados (MSP) para el trabajo técnico. El rol se puede subcontratar, pero la responsabilidad no.

2. Realizar una Evaluación de Riesgos por Escrito

La evaluación de riesgos identifica los riesgos internos y externos previsibles para la información de los clientes en registros en papel, archivos digitales, aplicaciones en la nube, correo electrónico, dispositivos móviles y cualquier servicio de terceros que utilice. Debe ser por escrito, debe ser periódica y debe ser lo suficientemente específica como para que alguien que la lea pueda ver qué amenazas consideró. Una tabla de una página que relacione "activo → amenaza → probabilidad → impacto → mitigación" es suficiente para la mayoría de las firmas pequeñas. Una declaración de dos líneas que diga "usamos software antivirus" no lo es.

3. Diseñar e implementar salvaguardas

La Regla de Salvaguardas detalla controles técnicos específicos que su programa debe abordar: controles de acceso, inventario de activos, cifrado de la información del cliente tanto en reposo como en tránsito, prácticas de desarrollo seguras para cualquier aplicación interna, autenticación de múltiples factores (MFA) para cualquier sistema que acceda a los datos del cliente, eliminación segura de la información del cliente a más tardar dos años después de la última interacción, gestión de cambios y monitoreo de la actividad de los usuarios autorizados.

Los dos controles en los que la mayoría de las firmas pequeñas fallan son el cifrado y la MFA. La Regla exige el cifrado de la información del cliente en sus sistemas y en tránsito. Si sus cartas de encargo están sin cifrar en una carpeta de Dropbox sincronizada con una computadora portátil personal, eso constituye un hallazgo de incumplimiento. La MFA debe utilizar al menos dos de los tres factores de autenticación (conocimiento, posesión, inherencia) y la única forma de omitirla es mediante una aprobación por escrito del Individuo Calificado para un control equivalente. "Es inconveniente" no es un control equivalente.

4. Monitorear y probar las salvaguardas periódicamente

La Regla exige un monitoreo continuo o pruebas de penetración anuales y evaluaciones de vulnerabilidad semestrales. Para una firma pequeña, el camino realista es el segundo: un escaneo de vulnerabilidades autenticado dos veces al año y una prueba de penetración anual si maneja un volumen significativo de declaraciones o cualquier dato de clientes de alto riesgo. Los resultados de las pruebas deben documentarse y ser revisados por el Individuo Calificado.

5. Capacitar a su personal

Cada empleado con acceso a la información del cliente necesita una capacitación de seguridad adecuada para su función, y dicha capacitación debe actualizarse periódicamente. El Individuo Calificado necesita algo más que la capacitación básica. Las simulaciones de phishing, la higiene de contraseñas, el manejo seguro de archivos y los procedimientos de notificación de incidentes son los temas fundamentales. Los registros de capacitación (fecha, asistente, tema) deben guardarse en la carpeta del WISP.

6. Supervisar a los proveedores de servicios

Si utiliza un proveedor de software de impuestos, una plataforma de almacenamiento en la nube, un servicio de firma de documentos, un procesador de nóminas o una aplicación de contabilidad, estos son proveedores de servicios bajo la Regla. Debe seleccionarlos en función de su capacidad para mantener las salvaguardas adecuadas, exigirles contractualmente que lo hagan y evaluar periódicamente si siguen cumpliendo con ese estándar. Los informes SOC 2 Tipo II son la evidencia estándar; un proveedor que no pueda presentar uno es una señal de alerta.

7. Mantener el programa actualizado

Un WISP es un documento vivo. La Regla le exige evaluar y ajustar el programa a la luz de los resultados de las pruebas, los cambios materiales en las operaciones y las alteraciones en el panorama de amenazas. Se requiere una revisión anual como mínimo, además de una actualización cada vez que cambie de software de impuestos, migre a una nueva plataforma en la nube, abra una nueva oficina o incorpore a un nuevo socio.

8. Redactar un Plan de Respuesta ante Incidentes por escrito

El IRP debe especificar el proceso interno para responder a un evento de seguridad: objetivos, funciones y responsabilidades, comunicaciones internas, comunicaciones externas, preservación de evidencia, pasos de remediación y revisión posterior al incidente. El plan también debe incluir la vía de notificación reglamentaria: a la FTC en un plazo de 30 días para eventos que afecten a más de 500 personas, al Enlace para Partes Interesadas del IRS por cualquier robo de datos, y a cada fiscal general estatal según la ley estatal de notificación de brechas correspondiente.

9. Informar a la junta directiva (o al propietario) anualmente

El Individuo Calificado debe informar por escrito, al menos una vez al año, al órgano de gobierno de la firma: la junta directiva, el socio administrador o el propietario único. El informe cubre el estado general del programa, los riesgos materiales, los resultados de las pruebas, los problemas con los proveedores de servicios y cualquier evento de seguridad. Para una firma de una sola persona, esto significa que el propietario se escribe un memorando a sí mismo, le pone fecha y lo archiva. Parece absurdo hasta que se encuentra frente a un investigador de la FTC.

La plantilla de la Publicación 5708 del IRS es el punto de partida más sencillo

La Cumbre de Seguridad —una asociación entre el IRS, las agencias tributarias estatales y los principales proveedores de software de impuestos— publica una plantilla rellenable de WISP como la Publicación 5708 del IRS. Es un documento de 28 páginas, estructurado en torno a los nueve elementos de la FTC, que guía a una pequeña firma a través de cada sección requerida. Las revisiones recientes han añadido lenguaje sobre flujos de trabajo de aprobación de MFA, alternativas de cifrado y el proceso de notificación de brechas de 30 días.

Dos notas prácticas sobre la Publicación 5708:

  • Considérela como un andamiaje, no como un plan terminado. La plantilla le pide que complete las salvaguardas específicas de su firma, los proveedores, los temas de capacitación y los contactos de respuesta ante incidentes. Un WISP que aún conserve el texto de marcador de posición es peor que no tener un WISP; es una prueba documental de que no realizó una evaluación de riesgos.
  • No omita los elementos del apéndice. El apéndice de clasificación de datos, el inventario de activos y la lista de proveedores de la plantilla son las partes que hacen que el WISP sea defendible. Una respuesta ante una brecha que comienza con "no sabemos exactamente qué clientes se vieron afectados" porque no había un inventario de activos es el peor punto de partida posible.

La publicación complementaria, Publicación 4557 del IRS — Protección de los datos del contribuyente, es una guía educativa más extensa que cubre el panorama general: leyes federales y estatales de notificación de brechas, patrones de ataque comunes contra profesionales de impuestos, el flujo de trabajo de notificación al IRS cuando el EFIN de un preparador se ve comprometido y una lista de recursos técnicos gratuitos o de bajo costo. Léala una vez, manténgala en sus marcadores y consúltela cuando incorpore nuevo personal.

La construcción en el mundo real: una hoja de ruta de 90 días para una firma pequeña

Establecer un WISP (Plan Escrito de Seguridad de la Información) desde cero es intimidante, principalmente porque las regulaciones describen un programa de seguridad empresarial en un lenguaje que no se adapta fácilmente a una firma de contadores públicos de seis personas. Aquí presentamos una secuencia que realmente se ajusta a una práctica pequeña.

Días 1 al 14 — Inventariar y Designar. Designe al Individuo Cualificado por escrito. Construya el inventario de activos: cada dispositivo que toque datos de clientes, cada aplicación en la nube, cada ubicación de archivos físicos, cada proveedor de servicios. El inventario es el documento con mayor capacidad de apalancamiento en el WISP; la evaluación de riesgos, las decisiones de cifrado, la supervisión de proveedores y la respuesta ante incidentes hacen referencia a él.

Días 15 al 30 — Evaluación de Riesgos. Analice el inventario e identifique las amenazas previsibles. Phishing contra el personal. Una computadora portátil perdida con archivos de clientes sincronizados. Ransomware que cifra el repositorio de documentos. Una brecha de seguridad en un proveedor que expone las cargas de archivos de los clientes. Califique cada uno, anote las mitigaciones actuales y señale las deficiencias.

Días 31 al 60 — Implementación de Controles. Cierre las brechas. Implemente MFA (autenticación de múltiples factores) en cada sistema que toque datos de clientes, incluyendo software de impuestos, correo electrónico, almacenamiento en la nube, firma de documentos y plataformas de contabilidad. Cifrado de disco completo en cada estación de trabajo y computadora portátil. Procedimientos de eliminación segura para papel, discos duros y carpetas de antiguos clientes. Contratos de proveedores actualizados para incluir obligaciones de seguridad. Capacitación del personal puesta en marcha con un registro de finalización supervisado.

Días 61 al 80 — Redactar el Plan. Abra la Publicación 5708 y complete cada sección comparándola con el inventario, la evaluación de riesgos y los controles que ya ha implementado. Redacte el plan de respuesta ante incidentes con contactos específicos designados, el flujo de trabajo de reporte ante la FTC y el contacto del Enlace con las Partes Interesadas del IRS para su región. Documente el cronograma de revisión anual.

Días 81 al 90 — Probar, Capacitar, Informar. Realice un ejercicio de simulación del plan de respuesta ante incidentes. Obtenga un escaneo de vulnerabilidades de un proveedor de confianza. Lleve a cabo la sesión formal de capacitación del personal y capture el registro de asistencia. Redacte el primer informe anual del Individuo Cualificado, fírmelo y archívelo.

Al final de los 90 días, tendrá un WISP defendible. No es algo que se hace una sola vez; es el comienzo de un ciclo anual que impulsa el programa hacia adelante cada año.

Dónde la mayoría de las firmas pequeñas siguen fallando

Después de observar a unos cientos de prácticas pequeñas pasar por su primer ciclo de WISP, surgen repetidamente las mismas deficiencias.

  • Tratar el WISP como un documento de Word en lugar de una práctica operativa. Un plan archivado en un cajón no es un programa. La prueba del cumplimiento reside en los registros de capacitación, las revisiones de proveedores, los informes de escaneo de vulnerabilidades y los informes anuales a la directiva, no en el documento del plan en sí mismo.
  • Confundir la confidencialidad del cliente con la seguridad de los datos. Una cláusula de confidencialidad en una carta de encargo es una obligación contractual. La Regla de Salvaguardas de la FTC es una obligación regulatoria con requisitos de control técnicos, administrativos y físicos. Se superponen, pero no son lo mismo.
  • Ignorar los dispositivos personales. Si un socio revisa el correo electrónico del cliente en un teléfono personal, ese teléfono entra en el alcance del WISP. La evaluación de riesgos debe abordarlo, se debe imponer MFA en él y el plan de respuesta ante incidentes debe contemplarlo.
  • Omitir la revisión de los proveedores de servicios. Un proveedor que sufra una brecha de seguridad que afecte a sus clientes seguirá dejándolo a usted como responsable de la notificación ante la FTC si no puede demostrar una supervisión adecuada. La revisión anual de SOC 2 toma una hora y puede salvar a la firma.
  • Archivar el flujo de trabajo de reporte de brechas bajo el lema "ya lo resolveremos si sucede". El reloj de 30 días de la FTC comienza tras el descubrimiento, no en la fecha en que usted decida que el incidente es real. Tener preposicionado el formulario de reporte, la lista de contactos de notificación estado por estado y el número de la aseguradora de ciberriesgos en el WISP marca la diferencia entre un incidente controlado y un problema regulatorio masivo.

Qué tiene que ver una buena contabilidad con esto

El WISP trata fundamentalmente sobre los registros: qué tiene, dónde residen, quién puede tocarlos y qué hacer cuando algo sale mal. Las firmas que más luchan con la Regla de Salvaguardas son las mismas que luchan con sus propios libros: registros dispersos en sistemas desconectados, sin historial de versiones, sin pista de auditoría sobre quién cambió qué y cuándo.

La conexión no es casual. Una práctica de contabilidad construida sobre contabilidad en texto plano y control de versiones le brinda las mismas primitivas que necesita un programa de seguridad creíble: una única fuente de verdad, un historial a prueba de manipulaciones, la capacidad de reconstruir exactamente cuál era el estado del mundo en cualquier fecha dada y la capacidad de otorgar o revocar el acceso sin perder el rastro. Cuando la FTC pregunte qué datos de clientes tenía en la fecha de un incidente, "permítame consultar el libro mayor a partir de esa marca de tiempo" supera a "déjeme verificar si ese respaldo todavía funciona".

Mantenga los registros financieros de su firma tan defendibles como su WISP

Un Plan Escrito de Seguridad de la Información es tan bueno como los registros que protege. Si sus propios libros residen en sistemas opacos sin historial de versiones, ya ha perdido la pista de auditoría que la Regla de Salvaguardas de la FTC, su proveedor de responsabilidad profesional y sus clientes esperan que mantenga. Beancount.io proporciona contabilidad en texto plano y con versiones en Git que otorga a las firmas contables total transparencia sobre sus propios datos financieros: cada transacción, cada reclasificación, cada conciliación capturada en un historial a prueba de manipulaciones que usted realmente controla. Comience gratis y gestione su práctica con el mismo estándar de evidencia que le debe a sus clientes.