Tu WISP no sobrevivirá una renovación del EFIN en 2026 — esto es lo que hay que arreglar

Abre el cajón donde guardas tu Plan Escrito de Seguridad de la Información. Mira la fecha de última revisión.

Si dice 2023, o la línea de fecha está en blanco, o no encuentras el documento, no estás solo. La mayoría de los preparadores chicos firmó una plantilla una vez, agarró un WISP de muestra de algún foro hace cinco años, o lleva años pensando en escribir uno y nunca llega.

¿Te suena?

Esto es lo que cambió. El IRS está revisando los WISPs en la renovación del EFIN con un nivel de atención que no tenía hace dos años. La Regla de Salvaguardas de la FTC, con la enmienda de noviembre de 2023 que entró en vigor en 2024, ahora exige un plan por escrito, un individuo calificado nombrado, y un procedimiento de respuesta a incidentes documentado. Las multas civiles bajo la Ley de la FTC se indexan cada año por inflación; los topes recientes superan los $50,000 por violación, por día, sin tope agregado.

Esto es trabajo de operación, del tipo que no se hace a menos que lo pongas en el calendario. Abajo: lo que la Publicación 4557 realmente exige, lo que los revisores están preguntando, y cómo arreglar un WISP delgado en 90 minutos.

Lo que realmente dice la Publicación 4557 del IRS

La Publicación 4557 del IRS, Safeguarding Taxpayer Data, es el documento que todo preparador remunerado debería poder citar de memoria. Se apoya en la Ley Gramm-Leach-Bliley y la Regla de Salvaguardas de la FTC, y describe lo que un profesional fiscal tiene que hacer para proteger la información del cliente.

El piso técnico es lo que el IRS llama los Security Six:

1. Antivirus en cada dispositivo que toca datos del cliente

2. Cortafuegos (firewalls) en cada borde de red

3. Autenticación de dos factores en toda cuenta profesional, incluido el correo y el software fiscal

4. Software de respaldo (backup) o respaldo en la nube, probado

5. Cifrado de disco en cada laptop, escritorio y dispositivo móvil

6. Una VPN para cualquier acceso remoto

Encima de eso, la Pub 4557 le pide a todo preparador remunerado mantener un plan por escrito que cubra seis elementos: designar un coordinador, identificar y evaluar riesgos, desarrollar e implementar salvaguardas, supervisar a los proveedores de servicios, evaluar y ajustar el programa, y responder a incidentes de seguridad.

Un WISP no es una casilla que marcas. Es el documento que prueba que hiciste esas seis cosas.

La cifra de multa que casi nadie cita

La mayoría de los webinars de CPE pasan rápido por esta parte. La Regla de Salvaguardas enmendada de la FTC (16 CFR Parte 314) trata a los preparadores de impuestos plenamente como "instituciones financieras" para efectos de seguridad de datos. Aplican las multas civiles bajo la Ley de la FTC.

El máximo actual, indexado cada año bajo 16 CFR 1.98, ha estado por encima de $50,000 por violación, por día en años recientes. No hay tope agregado por ley.

Una "violación" no tiene que ser una brecha de datos. No mantener un plan por escrito es una violación. No designar a un individuo calificado por escrito es una violación. Saltarse la supervisión de proveedores es una violación. Cada una se puede evaluar por separado, y el contador de días arranca desde el momento en que existe la deficiencia — no desde el momento en que la FTC se entera.

La versión honesta: la mayoría de las acciones de cumplimiento arrancan después de una brecha. Pero "lo arreglo si pasa algo" deja de ser estrategia cuando el IRS está pidiendo ver el WISP en la renovación de todos modos. Si quieres una lectura rápida de tu propio número según el tamaño del personal, número de clientes y el estado de tu WISP, pásalo por la calculadora de riesgo de multas.

Lo que lleva adentro un WISP que sí resiste

Un WISP que sobrevive una revisión real no es un mamotreto. Los buenos andan entre 12 y 25 páginas. Los malos son tres páginas de plantilla genérica o una plantilla de 60 páginas que el preparador nunca leyó más allá de la portada.

Sección 1: Coordinador de Seguridad Designado (Individuo Calificado). Nombre, cargo, contacto, fecha de designación. "El dueño" o "la administración" no cumple después de la enmienda de 2023. Si trabajas solo, escribe tu propio nombre con tu cargo y la fecha.

Sección 2: Evaluación de Riesgos. Dónde viven los datos del cliente (servidor, nube, correo, papel, móviles, sistemas de proveedores), qué puede salir mal, qué controles los protegen. Se rehace mínimo una vez al año.

Sección 3: Salvaguardas. Los controles reales. Mapea a los Security Six más controles de acceso, política de contraseñas, seguridad física (archiveros con candado, alarma, trituración), y capacitación.

Sección 4: Supervisión de Proveedores. Cada proveedor que toca datos del cliente, y cómo verificaste su seguridad. Más en un momento.

Sección 5: Evaluación y Ajuste del Programa. Bitácora de revisión anual, firmada y fechada. Disparadores para revisión fuera de ciclo (software nuevo, brecha, cambio de personal).

Sección 6: Plan de Respuesta a Incidentes. Qué pasa en las primeras 24 horas, las 72, la primera semana. A quién llamas. Cómo notificas a los clientes. Cómo contactas al Stakeholder Liaison del IRS y a tu estado. Requerido bajo la enmienda.

Si tu WISP actual no tiene las seis secciones claramente etiquetadas con contenido real en cada una, está delgado. Los WISPs delgados no resisten.

La sección de proveedores que casi todos saltan

La Sección 4 es donde la mayoría de los WISPs se cae, porque la mayoría de los preparadores nunca se ha sentado a listar a cada proveedor que toca datos del cliente.

Prueba esto. En una sola página, anota cada sistema, servicio o contratista con cualquier acceso — incluso de solo lectura — a la información fiscal del cliente. Una lista para empezar:

• Software de preparación de impuestos
• Software de gestión documental o portal
• Plataforma de firma electrónica
• Almacenamiento en la nube o proveedor de respaldo
• Proveedor de correo electrónico (sí, el host de tu correo cuenta)
• Software de gestión de práctica o CRM
• Software de contabilidad o write-up que usas para clientes
• Soporte de TI o proveedor de servicios administrados (MSP)
• Servicio de limpieza con acceso fuera de horario, y el servicio de trituración
• Cuálquier contratista 1099, preparador o revisor offshore con acceso a datos

Para cada uno, tres cosas van en el WISP: nombre del proveedor, qué datos toca, y evidencia de que verificaste su postura de seguridad — un reporte SOC 2, un anexo de seguridad firmado, o como mínimo una constancia escrita del proveedor.

Tu WISP no está probando que el proveedor sea seguro. Está probando que tú ejerciste supervisión. Solo lo segundo es tu trabajo.

Tu revisión anual ya no es opcional

Antes de la enmienda era un "deberías". Después de 2024, es un requisito documentado. Si tu WISP no tiene una bitácora de revisión con firmas fechadas que vayan al menos hasta 2024, ese es un hueco que el revisor puede señalar.

La revisión anual tiene cuatro partes:

1. Vuelve a correr la evaluación de riesgos. ¿Cambió algo — software nuevo, personal nuevo, proveedor nuevo, mudanza?

2. Prueba las salvaguardas. Confirma 2FA en cada cuenta. Confirma que los respaldos sí restauran (la mayoría no lo hace la primera vez que pruebas). Confirma cifrado en cada dispositivo.

3. Revisa la lista de proveedores. Agrega los nuevos, baja los que ya no usas, refresca la verificación de los demás.

4. Corre un simulacro. Treinta minutos en voz alta: clic en correo de phishing, ransomware en el servidor, laptop perdida en un Uber. Quién llama a quién, en qué orden. Documenta que lo hiciste.

Ese último paso es donde la mayoría descubre que no tiene un plan — tiene un párrafo. La primera vez que recorres "el servidor está cifrado por ransomware a las 9 a.m. del 14 de abril" en voz alta, los huecos saltan rápido.

Registra la revisión con fecha y firma del coordinador. Esa página única es lo que un revisor del EFIN quiere ver.

Qué buscan los revisores en la renovación del EFIN

La revisión del EFIN en 2025 y 2026 se ve distinta de cómo se veía. Los revisores no solo confirman que existe un WISP. Están muestreando el contenido. Las siete fallas que se marcan:

1. Sin individuo calificado designado por escrito. Un WISP que dice "la firma" o "la administración" es responsable falla esta prueba. Pon un nombre.

2. Plantillas con texto de relleno todavía en el documento. Cosas como [NOMBRE DE LA FIRMA] o "Inserte sus procedimientos aquí." Los revisores lo detectan en treinta segundos.

3. Sin fecha, o con fecha vencida. Un WISP que no se ha tocado desde 2022 se lee como abandonado. Una bitácora de revisión de 2025 o 2026 en la primera página es el mínimo.

4. Sección de respuesta a incidentes ausente. Requerida bajo la enmienda. Si tu documento es anterior y nunca se actualizó, esta sección probablemente está ausente o tiene un párrafo.

5. Sin lista de proveedores, o con lista sin verificación. Ver Sección 4.

6. Sin registro de capacitación de empleados. Hasta los preparadores solos documentan su propia capacitación anual. Para firmas con personal, cada persona que toca datos del cliente necesita un registro de capacitación con fecha. Las simulaciones de phishing cuentan. También sentarse una hora de CPE de seguridad de datos.

7. Controles que no coinciden. El WISP dice "todas las laptops están cifradas" pero la firma tiene tres laptops y solo la del dueño está cifrada. No escribas lo que no es cierto.

Si la documentación de renovación ha estado delgada los años recientes, refréscala ahora en lugar de durante la ventana de renovación. Armar la lista de proveedores y la bitácora de capacitación bajo presión de fecha límite produce un peor documento que hacer el mismo trabajo en abril.

Un plan de 90 minutos que puedes correr hoy

Bloquea 90 minutos, cierra el correo, trabaja la lista.

Minutos 0-10. Localiza tu WISP actual, o acepta que no lo tienes. Anota la fecha de última revisión.

Minutos 10-25. Designa al individuo calificado por escrito. Un párrafo, firmado y fechado. Solo, eres tú. Con personal, es quien sea más senior en operaciones y dispuesto a tomarlo.

Minutos 25-45. Arma la lista de proveedores. Usa la lista de inicio de arriba. Para cada proveedor, anota qué datos accede. Marca los que no tengan verificación de seguridad archivada — esos son tus pendientes para la próxima semana.

Minutos 45-60. Corre el simulacro. Escoge un escenario: ransomware, phishing, dispositivo perdido. Recorre las primeras 24 horas en voz alta. Anota a quién llamarías, en qué orden, y qué les dirías a los clientes. Eso se vuelve tu sección de respuesta a incidentes.

Minutos 60-75. Actualiza las seis secciones. Si el documento existente es rescatable, refresca cada sección. Si es una plantilla de 2019 que nunca abriste, empieza limpio. El generador de WISP gratuito recorre los seis elementos requeridos con prompts escritos para consultorios pequeños.

Minutos 75-90. Firma y fecha la bitácora de revisión anual. Guarda el documento donde tu personal lo encuentre. Mándate copia por correo para tener respaldo con marca de tiempo. Próxima fecha de revisión en el calendario — noviembre es buen mes, antes de la temporada.

Listo. Noventa minutos de un WISP delgado a un documento que mapea limpio a la Publicación 4557 y la Regla de Salvaguardas enmendada.

Las firmas a las que les ponen el dedo en la renovación no son las que tienen WISPs imperfectos. Son las que no pueden producir uno, o entregan algo con texto de plantilla todavía adentro.