Un nuevo tipo de estafa ha surgido entre los maleantes argentinos en los últimos años y ha cobrado repentina fuerza durante los pasados meses, perjudicando tanto a usuarios como a empresas de telefonía. Hablamos de suplantación de identidad para la contratación de líneas de teléfono móvil en tu nombre.

Durante 2017 y lo que va de 2018, casi 40 víctimas se han puesto en contacto con el laboratorio de investigación de ESET para preguntarnos qué pueden hacer al respecto. Por ello, en este artículo te contamos cómo funciona este fraude, cómo puedes prevenirlo y qué puedes hacer si te viste comprometido.

Fraude de suplantación de identidad: ¿En qué consiste?

La lógica detrás del chantaje no es nada complicada. Los delincuentes descubrieron que pueden comprar tarjetas SIM –comúnmente denominadas «chips»– de manera anónima en kioscos y almacenes; luego, realizan el cambio de titularidad para adquirir un plan de abono mensual a partir de los datos de una persona real posiblemente obtenidos de bases de datos robadas o –con mayor probabilidad– del padrón electoral argentino (que puede ser accedido mediante diferentes servicios ofrecidos en línea).

Una vez que el atacante ha colocado esa tarjeta a nombre de su víctima, puede realizar llamadas internacionales de larga duración –en algunos casos, se registran llamadas de más de un día de duración hacia otros países Latinoamericanos– o incluso puede adquirir teléfonos que son enviados al domicilio estipulado por el delincuente. Las consecuencias incluyen altas deudas a nombre de las víctimas que pueden ascender a más de $25.000 y que ciertamente producen grandes pérdidas a las empresas de telefonía.

Como si esto fuese poco, si no se detecta la situación a tiempo, los afectados pueden descubrir que sus perfiles están prontos a ser registrados como deudores en el Veraz o, aún peor, ya han sido registrados como tales, situación que pone en jaque su historial crediticio para futuros préstamos y proyectos personales.

Desde el punto de vista de la seguridad de la información, la relevancia de este timo viene dada por el hecho de que se logra suplir la identidad de una persona a partir del aprovechamiento de una vulnerabilidad en el sistema de autenticación de las empresas telefónicas

.

En este sentido, contactamos a las principales empresas de telefonía para verificar cómo era el proceso de adquisición de un plan de abono mensual desde una tarjeta SIM comprada en un almacén. Solo una de ellas requería que el trámite fuese personal, presentando la documentación pertinente.

Las otras empresas consultadas permitían –al momento de ser contactadas– realizar este trámite de forma telefónica e incluso vía redes sociales. Los datos que son requeridos para realizar el cambio de titularidad incluyen nombre completo, DNI, correo electrónico, domicilio, fecha de nacimiento: datos que pueden fácilmente obtenerse mediante buscadores en línea.

Esta situación fue informada por el laboratorio de investigación de ESET Latinoamérica a la empresa telefónica donde se reportaron la mayor cantidad de incidentes durante el pasado año. El departamento de fraude de esta empresa viene trabajando desde hace tiempo para dar fin a esta modalidad. No obstante, no hemos observado que las políticas de autenticación de usuarios hayan mejorado a partir de la gran cantidad de incidentes. Asimismo, desconocemos si han logrado dar con la banda delictiva que utilizaba este modus operandi.

¿Cómo obtienen los datos personales de la víctima?

Aunque no tengamos confirmación de que esta sea la metodología utilizada por los delincuentes, es un hecho conocido que existe un número significativo de páginas que permiten buscar información sobre datos personales de argentinos. Estos sitios pueden ser accedidos mediante una simple búsqueda web. Por ejemplo, este sitio permite realizar búsquedas por padrón electoral a partir del nombre, apellido o DNI de la persona; y no solo de ciudadanos argentinos, sino también de chilenos y paraguayos.

Si sumamos a estos datos otra información que pueda estar disponible públicamente a través de perfiles de redes sociales y prácticas de privacidad laxas, la variedad de datos que se obtienen son suficientes para servir al robo de identidad.

Cabe destacar que, en algunos casos analizados, parte de los datos brindados por los criminales eran completamente falsos y no guardaban relación alguna con la vida presente o pasada de las víctimas. Esto es un claro indicador de cuánto debemos pulir los procesos de autenticación existentes.

Qué hacer para prevenir este fraude de suplantación de identidad

Para no verte sorprendido por notificaciones de gigantescas deudas, ponte en contacto con tu empresa de telefonía mediante canales oficiales y pide un resumen de los productos que tienes a tu nombre. Chequea frecuentemente que no tengas asociadas líneas de teléfono desconocidas.

Además, recomendamos que solicites la anulación de la posibilidad de realizar trámites de manera telefónica en tu nombre. Esto significará que deberás realizar cualquier trámite de manera presencial, pero te asegurarás de que no podrán robar tu identidad digital y utilizarla para endeudarte.

¿Qué puedo hacer si fui víctima de este fraude?

Si notas que tienes un número desconocido asociado a tu nombre o recibes notificaciones del Veraz, ponte en contacto de manera inmediata con la empresa telefónica en cuestión mediante canales oficiales (comunicación telefónica, redes sociales o personalmente) para tramitar la baja de la línea y el desconocimiento de esta. Aunque algunas personas han podido resolver el problema de manera no presencial, te recomendamos que obtengas un documento firmado que corrobore que has desconocido esa línea. Luego, anula la posibilidad de hacer trámites de forma telefónica, si así lo deseas.

Si la deuda es muy grande, su anulación debiese comunicarse al Veraz sin necesidad de que intervengas. De todos modos, puedes llamar a la entidad para chequear que no figuras como deudor –al menos, no por una deuda que no te corresponde–. Opcionalmente, si has sufrido percances graves a causa de este incidente, puedes ponerte en contacto con la Defensa del Consumidor o con el ENACOM (Ente Nacional de Comunicaciones).