Beancount.io LogoBeancount.io

Cumplimiento de WISP: Por qué todo profesional de impuestos necesita un Plan Escrito de Seguridad de la Información en 2026

16 min de lecturaMike ThriftMike Thrift
Cumplimiento de WISP: Por qué todo profesional de impuestos necesita un Plan Escrito de Seguridad de la Información en 2026

Hecho incómodo: si preparó incluso una sola declaración de impuestos para un cliente pago la temporada pasada y no tiene un Plan Escrito de Seguridad de la Información (WISP) en sus archivos, técnicamente está operando fuera de la ley federal. La Comisión Federal de Comercio (FTC) puede multarlo con hasta $46,517 por infracción por día. El IRS puede retirarle su PTIN. Y su aseguradora de mala praxis puede rechazar una reclamación tras una brecha de seguridad señalando el documento faltante.

La mayoría de los preparadores de impuestos y tenedores de libros han escuchado el acrónimo "WISP" pero lo tratan como el problema de otra persona, el tipo de cosa por la que se preocupan las grandes firmas con oficiales de cumplimiento. Esa suposición tiene aproximadamente cinco años de antigüedad. La Regla de Salvaguardias de la FTC enmendada, plenamente vigente desde junio de 2023, arrastró a los preparadores independientes, pequeños despachos de CPA y negocios de teneduría de libros directamente al mismo régimen regulatorio que rige a los bancos comunitarios. Cada preparador de impuestos remunerado que solicita o renueva un PTIN debe ahora atestiguar, en la Línea 11 del Formulario W-12, que comprende sus obligaciones de seguridad de datos.

Esta guía recorre lo que es realmente un WISP, los nueve elementos que la FTC y el IRS esperan ver, los controles técnicos que han pasado de ser "mejores prácticas" a ser "obligatorios" y cómo construir un plan que resista una auditoría real en lugar de simplemente verse bien en una carpeta.

Las dos leyes que lo trajeron hasta aquí

Dos vías regulatorias superpuestas convergen en el mismo resultado: usted necesita un plan por escrito.

Ley Gramm-Leach-Bliley (GLBA) y la Regla de Salvaguardias de la FTC. El Congreso aprobó la GLBA en 1999 para regular cómo las instituciones financieras manejan la información de los clientes. El reglamento de implementación de la FTC —la Regla de Salvaguardias (16 CFR Parte 314)— define "institución financiera" de manera suficientemente amplia como para incluir a cualquier negocio "significativamente involucrado" en actividades financieras. La FTC ha sostenido durante mucho tiempo que la preparación de impuestos, la teneduría de libros y servicios similares califican. La Regla fue sustancialmente enmendada en diciembre de 2021, y los nuevos requisitos técnicos (MFA, cifrado, individuo calificado, programa escrito) entraron en pleno vigor el 9 de junio de 2023.

Publicación 4557 del IRS y la atestación del PTIN. La Sección 7216 y la Sección 6713 del Código de Rentas Internas ya imponían sanciones por la divulgación no autorizada de información de declaraciones de impuestos. El IRS añadió la Publicación 4557 ("Salvaguarda de los Datos del Contribuyente") y la Publicación 5708 ("Creación de un Plan Escrito de Seguridad de la Información para su Práctica de Impuestos y Contabilidad") como hoja de ruta práctica. El ciclo de renovación del PTIN de 2024 agregó una casilla de verificación obligatoria: los preparadores de impuestos deben reconocer su cumplimiento con el WISP en la Línea 11 del Formulario W-12. Mentir en esa línea es un problema en sí mismo.

El efecto neto: un despacho de impuestos de una sola persona en un centro comercial está sujeto a la misma base de referencia que una firma de CPA regional. La Regla escala los controles a su tamaño y complejidad, pero la obligación de tener un plan por escrito es binaria: o lo tiene o no lo tiene.

Quién tiene que tener uno realmente

Usted necesita un WISP si:

  • Prepara cualquier declaración de impuestos federal a cambio de una compensación (incluyendo trabajo secundario ocasional para un cliente pago)
  • Posee un PTIN, EFIN o es un Proveedor Autorizado de e-File del IRS
  • Proporciona servicios de teneduría de libros, nómina o contabilidad que involucren información financiera del cliente
  • Opera como CFO virtual, contralor fraccionario o contador externo
  • Dirige un Asesor de Inversiones Registrado (RIA), corredor de hipotecas, cobrador de cheques u otra entidad cubierta por la GLBA

El volumen no importa. La Regla no le otorga una exención por preparar menos de X declaraciones o ganar menos de Y en honorarios. Un Agente Inscrito independiente que prepara veinte declaraciones al año está cubierto de la misma manera que una firma de 200 personas: ambos deben tener un plan escrito, actual y firmado.

Existe una exención limitada en la Regla de Salvaguardias para las instituciones que mantienen información de menos de 5,000 consumidores, lo que relaja un puñado de requisitos de documentación (evaluación de riesgos por escrito, plan de respuesta a incidentes, informe anual a la junta). Pero la obligación principal —designar a un individuo calificado, implementar salvaguardias y tener un programa escrito— se aplica independientemente del tamaño.

Los nueve elementos que su WISP debe abordar

La Regla de Salvaguardias enmendada especifica nueve componentes obligatorios. Su WISP no necesita usar estos encabezados exactos, pero cada uno de ellos debe ser abordado en algún lugar del documento. La plantilla de la Publicación 5708 del IRS sigue la misma estructura.

1. Designar a un individuo calificado

Debe nombrar formalmente a una persona responsable de supervisar el programa de seguridad de la información. Para un preparador independiente, es usted. Para una firma, suele ser el socio administrador, un líder de TI o —cada vez más— un vCISO externo. El individuo calificado no necesita ser un experto en seguridad, pero debe tener autoridad para tomar decisiones e informar a los propietarios o a la junta.

Documente el nombramiento por escrito. Incluya la fecha de inicio, el alcance de la autoridad y la línea de reporte.

2. Realizar una evaluación de riesgos por escrito

Identifique qué información de los clientes recopila, dónde se almacena, quién puede acceder a ella y qué podría salir mal. La evaluación debe ser por escrito y actualizarse periódicamente, al menos una vez al año y cada vez que su entorno cambie materialmente (nuevo software, nuevo personal, nueva oficina, brecha de seguridad).

Cobertura mínima:

  • Inventario de datos: números de Seguro Social, fechas de nacimiento, números de cuentas financieras, copias de formularios W-2 y 1099, estados de cuenta bancarios, declaraciones de años anteriores, datos del EIN, formularios K-1.
  • Lugares de almacenamiento: bases de datos de software de impuestos, copias de seguridad en la nube, archivos adjuntos de correo electrónico, portales de clientes, archivos en papel, dispositivos móviles, unidades USB.
  • Escenarios de amenazas: phishing, ransomware, pérdida de computadoras portátiles, empleados deshonestos, brechas de seguridad en proveedores, robos físicos.
  • Probabilidad e impacto: clasifique cada escenario para que sus salvaguardas sean proporcionales.

3. Diseñar e implementar salvaguardas

Este es el núcleo del WISP. La Regla exige controles técnicos y administrativos específicos, varios de los cuales ya no son opcionales:

  • Controles de acceso: limite el acceso a los datos de los clientes según la necesidad de saber; elimine el acceso de inmediato cuando un empleado deje la empresa.
  • Cifrado en reposo y en tránsito: AES-256 (o equivalente) en todos los dispositivos, discos duros, copias de seguridad y medios extraíbles; TLS 1.2 o superior para datos en movimiento; cifrado de disco completo en cada computadora portátil y estación de trabajo.
  • Autenticación de múltiples factores: obligatoria para cualquier persona que acceda a la información del cliente desde cualquier sistema: software de impuestos, portales de presentación electrónica, almacenamiento en la nube, correo electrónico, herramientas de acceso remoto. El MFA basado solo en SMS está siendo descontinuado; use aplicaciones de autenticación o llaves de hardware siempre que sea posible.
  • Configuración y desarrollo seguros: si desarrolla o personaliza software, aplique estándares de codificación segura; actualice los sistemas con parches siguiendo una cadencia definida.
  • Inventario y eliminación: realice un seguimiento de los dispositivos y elimine los soportes de datos de forma segura (triturados o borrados según los estándares NIST 800-88).
  • Gestión de cambios: documente y apruebe los cambios en los sistemas que manejan datos de clientes.

4. Supervisar y probar las salvaguardas periódicamente

Debe verificar que los controles realmente funcionen. La Regla ofrece dos caminos aceptables:

  • Supervisión continua: herramientas como SIEM, EDR o servicios gestionados de detección y respuesta que registran y alertan sobre actividades sospechosas.
  • Pruebas de penetración anuales más evaluaciones de vulnerabilidad semestrales: pruebas tradicionales de terceros si no se cuenta con una supervisión continua.

Para un preparador independiente, la "supervisión continua" puede significar un producto de protección de terminales (endpoints) correctamente configurado que alerte sobre anomalías. Para una firma más grande, se espera la contratación de un servicio de pruebas externo.

5. Capacitar a su personal

La capacitación anual en concientización sobre seguridad es obligatoria para todo el personal con acceso a los datos de los clientes, incluidos los contratistas y preparadores de temporada. Los temas deben incluir el reconocimiento de phishing, higiene de contraseñas, seguridad de dispositivos, ingeniería social y reporte de incidentes.

Lleve registros de asistencia. Un "se lo dije en una reunión de equipo" no cuenta.

6. Supervisar a los proveedores de servicios

Cada proveedor con acceso a los datos de los clientes (software de impuestos, almacenamiento en la nube, gestión documental, soporte de TI, proveedores de nómina, herramientas de firma electrónica, incluso su empresa de trituración) debe:

  • Ser seleccionado con la debida diligencia sobre sus prácticas de seguridad.
  • Estar obligado por un contrato escrito que exija las salvaguardas adecuadas.
  • Ser reevaluado periódicamente (normalmente cada año).

Solicite a los proveedores un informe SOC 2 Tipo II o equivalente. El contrato debe incluir una cláusula de notificación de brechas con un cronograma definido; la mayoría de las firmas exigen una notificación dentro de las 72 horas posteriores al descubrimiento.

7. Mantener el programa actualizado

Reevalúe y ajuste el WISP cada vez que el panorama de amenazas cambie o sus operaciones se modifiquen. ¿Nueva oficina? ¿Nuevo software? ¿Adquirió una pequeña práctica? Actualice el plan.

8. Establecer un plan de respuesta ante incidentes por escrito

El plan debe cubrir:

  • Escalamiento interno: quién se entera del incidente y en qué orden.
  • Contención y remediación: quién detiene el problema.
  • Notificación externa: clientes, fiscales generales estatales, la FTC e IRS.
  • Documentación: preservar registros (logs), evidencia y una cronología.
  • Lecciones aprendidas: análisis post-mortem con acciones correctivas documentadas.

El IRS espera que los preparadores de impuestos informen el robo de datos dentro de las 24 horas posteriores al descubrimiento a través del Enlace con las Partes Interesadas del IRS (Stakeholder Liaison) y la Federación de Administradores Tributarios. Según las enmiendas a la Regla de Salvaguardas vigentes desde el 13 de mayo de 2024, también debe notificar a la FTC sobre cualquier evento de seguridad que afecte a 500 o más consumidores a más tardar 30 días después del descubrimiento; esa presentación es pública.

9. Informar a la junta directiva (o a la propiedad)

La persona calificada debe presentar al menos un informe escrito anual a la junta directiva o, en el caso de firmas más pequeñas, al oficial superior a cargo. El informe debe cubrir el estado general del programa, los resultados de la evaluación de riesgos, los eventos significativos durante el año y cualquier cambio recomendado.

¿Preparador independiente? Usted mismo lo escribe, lo firma y lo guarda en el archivo. Sí, en serio.

Registros contables: el anexo de cumplimiento olvidado

Si alguna vez se presenta un regulador o un auditor, lo primero que pedirá es documentación. Su WISP dice que capacitó al personal en marzo, pagó a un proveedor externo de pruebas de penetración en julio, reemplazó una estación de trabajo en septiembre y renovó su seguro cibernético en noviembre; y usted necesita recibos, facturas y asientos de diario para respaldar cada una de esas afirmaciones. Las prácticas que tratan el gasto en seguridad como una línea miscelánea en un estado de cuenta de tarjeta de crédito terminan teniendo problemas.

Establezca una segregación clara en el plan de cuentas para los gastos relacionados con la seguridad (capacitación, software, auditorías, seguros, hardware) de modo que pueda generar un informe comparativo anual limpio a pedido. Los mismos registros en texto plano que satisfacen a su contador en época de impuestos se convierten en su archivo de evidencia cuando la FTC pregunte cómo puso en marcha su plan.

Los Controles Técnicos que Suelen Causar Problemas

Dos requisitos representan la mayoría de los fallos de los WISP en la práctica.

Autenticación de múltiples factores en todas partes. La Norma no permite la MFA "donde sea conveniente". Se aplica a cualquier persona que acceda a información de clientes desde cualquier sistema. Esto incluye su software de impuestos, su portal de presentación electrónica (e-file), su portal de clientes, su correo electrónico (que contiene archivos adjuntos con datos fiscales), almacenamiento en la nube, software de contabilidad y cualquier herramienta de acceso remoto. El IRS favorece firmemente las aplicaciones de autenticación o los tokens de hardware sobre los SMS, que son vulnerables a los ataques de duplicación de SIM (SIM-swap).

Una comprobación rápida: cierre la sesión en todas las aplicaciones empresariales que utilice. Intente volver a entrar. Si alguna de ellas requiere solo una contraseña, tiene un hallazgo (incumplimiento).

Cifrado de datos en reposo. El cifrado de disco completo es obligatorio en todos los dispositivos que almacenen información de clientes, incluido el portátil personal que el preparador temporal trae a la oficina doméstica. BitLocker en Windows Pro y FileVault en macOS cumplen con el requisito si se configuran correctamente. Cifre las copias de seguridad, las unidades USB y cualquier medio portátil. Cifre el correo electrónico cuando contenga datos de clientes (un portal de clientes suele ser una mejor solución que el correo electrónico cifrado).

El otro control que se suele pasar por alto es la supervisión de proveedores. Muchas firmas tienen un informe SOC 2 de su proveedor de software de impuestos, pero no tienen contrato ni evaluación de la herramienta especializada de almacenamiento en la nube que contrataron el año pasado, el complemento de firma electrónica que probaron o el contratista de TI que tiene credenciales de administrador. Cree un inventario de proveedores y actualícelo anualmente.

Qué sucede cuando se hace mal

Las sanciones no son teóricas:

  • Sanciones civiles de la FTC de hasta $46,517 por infracción y por día bajo la Norma de Salvaguardias enmendada
  • Sanciones por falta de notificación que han alcanzado los $500,000 en acciones publicadas
  • Suspensión o revocación del PTIN por parte del IRS, lo que pone fin de forma efectiva a su capacidad para preparar declaraciones
  • Acciones de los fiscales generales estatales bajo las leyes de notificación de brechas de seguridad (que existen en los 50 estados)
  • Litigios privados de clientes afectados, con daños legales en algunos estados
  • Denegaciones de seguros cuando una póliza de ciberseguridad o de negligencia profesional excluye reclamaciones derivadas del incumplimiento
  • Consecuencias reputacionales, lo que para una práctica fiscal a menudo significa perder una parte significativa de la cartera de clientes en un plazo de doce meses

El IRS ha sido explícito al afirmar que la falta de un WISP se trata como evidencia de un fallo de cumplimiento más amplio, no como un simple problema de papeleo.

Una hoja de ruta realista para un WISP defendible

Pasar de cero a un plan defendible es un proyecto de cuatro a seis semanas para un preparador individual y un esfuerzo de varios meses para una firma más grande. Una secuencia realista:

Semana 1: Inventario. Enumere cada sistema que toque datos de clientes, cada empleado o contratista con acceso, cada proveedor en la cadena de datos y cada dispositivo de su propiedad. Esta es su materia prima.

Semana 2: Evaluación de riesgos. Analice las amenazas plausibles contra el inventario. Califique cada escenario. Identifique sus cinco exposiciones principales.

Semana 3: Análisis de brechas. Compare sus controles actuales con los nueve elementos obligatorios. Anote cada brecha. Las brechas más grandes para las pequeñas empresas suelen ser la cobertura de MFA, los contratos con proveedores y los procedimientos de respuesta ante incidentes.

Semana 4: Remediación. Active la MFA en todas partes. Implemente el cifrado de disco completo en cada dispositivo. Firme acuerdos por escrito con los proveedores clave. Programe formación. Documéntelo todo.

Semana 5: Redacte el WISP. Utilice la plantilla de la Publicación 5708 del IRS como punto de partida y personalícela rigurosamente; un plan copiado y pegado es peor que no tener plan, porque muestra mala fe. Haga que la persona cualificada lo firme.

Semana 6 (y anualmente): Probar, formar, informar. Realice un ejercicio simulado sobre su plan de respuesta ante incidentes. Lleve a cabo la formación anual. Genere el informe anual para los propietarios. Programe la próxima revisión.

Establezca recordatorios en el calendario para el ciclo anual. El fallo de cumplimiento más común no es el WISP inicial, sino la firma que redactó uno en 2023 y nunca volvió a tocarlo.

Algunos conceptos erróneos comunes

"Mi software de impuestos tiene certificación SOC 2, así que estoy cubierto." No. El cumplimiento del proveedor de software cubre su entorno, no el suyo. Sigue necesitando un WISP para todo lo que hace fuera de su plataforma: correo electrónico, archivos locales, su red de oficina.

"Trabajo desde casa, así que las reglas son diferentes." No lo son. Una práctica desde casa tiene las mismas obligaciones de WISP que una basada en una oficina. En todo caso, los controles son más difíciles porque la línea entre los sistemas personales y empresariales se difumina.

"Subcontrato la contabilidad a un equipo externo, así que ellos se encargan de la seguridad." Ellos son sus proveedores según la Norma. Usted es responsable de evaluarlos, contratarlos y supervisar sus controles.

"Tengo seguro de ciberseguridad, así que estoy protegido." La mayoría de las pólizas de ciberseguridad ahora exigen un WISP como condición de cobertura. Leer la letra pequeña después de una brecha de seguridad es un mal momento para enterarse de esto.

Mantenga sus finanzas organizadas desde el primer día

Un WISP defendible se basa en la documentación, y lo mismo ocurre con una contabilidad defendible. Ya sea que esté rastreando las suscripciones de software de seguridad, las facturas de formación y los honorarios de auditoría que demuestran que su programa de cumplimiento es real, o simplemente llevando los registros contables que sus propios clientes confían en que usted gestione, la contabilidad en texto plano le ofrece algo que el software de caja negra no puede: transparencia total, control de versiones y un rastro de auditoría que realmente le pertenece. Beancount.io ofrece contabilidad en texto plano transparente, con control de versiones y lista para la IA: sin dependencia de proveedores ni exportaciones opacas. Comience gratis y descubra por qué los desarrolladores y profesionales de las finanzas se están pasando a la contabilidad en texto plano.