Cada vez es más común leer o escuchar casos en los medios o de personas cercanas que fueron víctimas del robo o suplantación de identidad o como mínimo de un intento de este tipo de fraude. Lamentablemente esta forma de delito existe desde hace mucho tiempo, pero creció a partir de la pandemia.
Te invitamos a escuchar el episodio del podcast Conexión Segura "Robo de identidad: una forma de delito en crecimiento", en el cual la investigadora de ESET Martina López explica qué es el robo y la suplantación de identidad, las formas en que los cibercriminales llevan adelante este tipo de delito, las consecuencias y qué pueden hacer los usuarios para minimizar los riesgos.
Qué es el robo y la suplantación de identidad
El robo de identidad es un delito que consiste en el uso de un delincuente de datos personales de una persona, como el número de documento, fecha de nacimiento, credenciales de acceso u otro tipo de información para suplantar su identidad y cometer algún tipo de fraude; por ejemplo, solicitar dinero a familiares o amigos, acceder a su cuenta bancaria y sustraer fondos o sacar un préstamo en su nombre, o incluso acceder a su correo electrónico y enviar mensajes a nombre de la persona. Las víctimas de estos ataques contraen deudas económicas, un daño a la reputación y un disgusto que puede incluso afectar a su salud.
Alcance del robo y suplantación de identidad
Tanto el robo de identidad como la suplantación de identidad ocurren a través de distintas tecnologías, como llamadas telefónicas, SMS, correos electrónicos, mensajes en apps de mensajería como WhatsApp o redes sociales.
El alcance que puede tener el robo de identidad es muy amplio, ya que los delincuentes pueden suplantar la identidad de una organización para robar credenciales bancarias, solicitar dinero a contactos por una supuesta emergencia, comprar divisas, para tomar el control de la cuenta de WhatsApp de una persona y luego robar su identidad o incluso para realizar grooming y otros actos de violencia digital.
El robo de identidad y la suplantación de identidad están muy conectados con las técnicas de ingeniería social; es decir, el arte de manipular psicológica y emocionalmente a personas desprevenidas para convencerlas de que hagan una acción que las perjudica.
Como llevan a cabo el robo y suplantación de identidad y cuál es el alcance
Los ciberdelincuentes encuentran distintas alternativas para hacerse con los datos de los usuarios o directamente suplantar la identidad de una organización. A continuación repasamos algunas de las plataformas y métodos más frecuentes utilizados para llevar a cabo este tipo de delito
Correos de phishing suplantando la identidad de terceros
En el caso de los correos electrónicos, además de enviar comunicaciones que simulan ser de organismos gubernamentales, entidades financieras, compañías o servicios digitales como plataformas de compra online o de entretenimiento, también pueden simular ser un contacto conocido si su cuenta fue secuestrada previamente por un atacante.
En la era digital una de las primeras formas de suplantación de identidad fue sin dudas el correo electrónico. Incluso hoy sigue siendo una de las formas de ingeniería más comunes utilizadas tanto por estafadores como grupos de cibercriminales.
A través del correo electrónico los estafadores pueden hacerse pasar por un organismo gubernamental o una empresa legítima con el objetivo final de robar dinero o datos que puedan ser comercializados o que permitan el robo de identidad de terceros.
En los casos más sofisticados los criminales pueden engañar al usuario mediante técnicas como el email spoofing, que permite a los atacantes ocultar la verdadera dirección del remitente en un correo malicioso y sustituirla por una legítima suplantando la identidad de una empresa o un usuario al utilizar un dominio auténtico.
Cuando recibe un correo preste atención a correos que hacen referencia a supuestas facturas impagas, deudas o préstamos.
Algunos ejemplos de suplantación de identidad a través del correo:
—Phishing suplanta identidad de Correo Argentino informando sobre supuesto envío desde el exterior
—Estafadores aprovechan la preocupación por Omicron en una nueva campaña de phishing
—Phishing busca robar claves de homebanking de clientes de BBVA
Perfiles falsos en redes sociales
A través de las redes sociales los delincuentes buscan suplantar la identidad de usuarios legítimos, así como celebridades, entidades bancarias, marcas o servicios conocidos. Los atacantes crean perfiles falsos que no tienen la marca de verificación, a no ser que hayan logrado secuestrar una cuenta oficial, y de esta manera se contactan con usuarios desprevenidos para que entreguen datos personales para suplantar su identidad o directamente acceder a credenciales bancarias o de otros servicios.
En el último tiempo se ha visto en plataformas como Twitter e Instagram que los estafadores utilizan herramientas de scraping para monitorear los comentarios que hacen los usuarios en perfiles de bancos, aerolíneas u otro tipo de cuentas legítimas y contactarse desde perfiles falsos suplantando la identidad de estas entidades y robar su información y dinero.
Algunos ejemplos:
—Falsos perfiles de bancos en Instagram y cómo criminales están utilizando el scraping de seguidores
—¡Cuidado! Estafadores están al acecho de los comentarios que haces en Instagram
Cuentas de WhatsApp robadas
A partir de cuentas de WhatsApp robadas los estafadores se contactan con los contactos de la víctima para suplantar su identidad y hacerles creer a familiares y amigos que tuvieron un inconveniente y que necesitan un préstamo.
La realidad es que la creatividad de los delincuentes está a la orden del día y las excusas pueden ser infinitas. En los últimos meses observamos casos de usuarios de WhatsApp que eran contactados por otros contactos que habían sufrido el robo de sus cuentas y les ofrecían dólares para vender. También se registraron casos en los que se suplanta la identidad de un organismo gubernamental asignando supuestos turnos para vacunarse, pero el objetivo era robar el código de seis dígitos para secuestrar la cuenta de WhatsApp para luego engañar a sus contactos.
Independientemente de la excusa que utilizan, la forma de robar la cuenta es utilizando tu número de teléfono y solicitando el código de verificación de seis dígitos que llega vía SMS cuando queremos abrir la app en un nuevo teléfono. Lo que ocurre es que el estafador, mientras habla con la víctima, desde otro dispositivo abre WhatsApp por primera vez e ingresa el número de teléfono de la víctima, lo que genera que automáticamente la app envíe un SMS a su línea con el código de verificación.
Lectura recomendada: Estafas por WhatsApp: modalidades de engaño más comunes
Suplantación de identidad a través de llamadas telefónicas (vishing)
El vishing, que es el nombre como se conoce a las estafas telefónicas suplantando la identidad de personas u organizaciones, sigue siendo una técnica recurrente de los criminales. Si bien el primer contacto muchas veces lo hacen a través de mensajes de WhatsApp, SMS o redes sociales, continúan telefónicamente hasta convencer a la víctima para que entregue datos sensibles que derivan generalmente en el robo de dinero.
En el último tiempo se ha detectado también el uso de bots de voz para engañar a los usuarios a través de llamadas telefónicas y convencerlos de que entreguen el código de verificación para acceder a sus cuentas.
Algunos ejemplos:
—Estafa telefónica: se hacen pasar por la ANSES para obtener las credenciales del home banking
—Estafa telefónica: se hacen pasar por el Ministerio de Desarrollo Social para entregar un bono
Robo de identidad en apps y plataformas de citas
Es común que los estafadores se hagan pasar por alguien que no son en aplicaciones y plataformas de citas. En estos casos lo que suele suceder es que los delincuentes creen falsos perfiles utilizando imágenes robadas de perfiles oficiales o incluso de la web, para luego contactarse con personas interesadas en establecer relaciones sentimentales y engañarlas una vez que se establece un vínculo de confianza a través de historias bien elaboradas sobre supuestas emergencias, envío de regalos o situaciones similares.
En el siguiente artículo desarrollamos cuáles son algunas de las formas en que engañan a las personas en este tipo de aplicaciones y sitios online.
Robo de identidad a través de tarjetas SIM clonadas
La clonación del chip o SIM Swapping es otra modalidad relacionada al robo de identidad que aumentó en el último tiempo. En estos casos lo que ocurre es que los cibercriminales logran sortear los débiles controles de seguridad que implementan las compañías telefónicas y se hacen pasar por clientes legítimos ante representantes de atención al cliente para sacar una nueva tarjeta SIM con la línea telefónica de los usuarios cuya identidad fue suplantada. De esta manera secuestran su línea telefónica y, teniendo en cuenta que las llamadas y mensajes ahora están bajo el control de los criminales, utilizando información adicional de las víctimas, como la dirección de correo, documentos de identidad u otra información, solicitan una nueva contraseña. Al recibir en su línea el código de verificación de un solo uso que llega a través de SMS, esto les permite a los criminales acceder a sus cuentas bancarias, cuentas de WhatsApp, entre otros servicios online, para robar dinero y continuar realizando estafas.
En el siguiente artículo el especialista de ESET, Jake Moore, explica paso a paso cómo es el proceso de un ataque de SIM Swapping.
Cómo evitar el robo de identidad
Lo primero que debemos hacer es estar atentos a las señales que podrían indicar que nuestra identidad fue robada. Para ello es necesario comprender cómo ocurre para tomar conocimiento cómo pueden aprovechar aquellos datos que por desinformación consideramos que no son tan relevantes o que no pueden ser utilizados en nuestra contra. Por otro lado, estar informados y conocer las estrategias más comunes que utilizan los delincuentes, teniendo presente que constantemente surgen nuevas modalidades.
Dicho esto, las principales recomendaciones para evitar el robo y suplantación de identidad en Internet son:
Implementar en todos los servicios y aplicaciones la autenticación en dos pasos, también conocida como doble factor de autenticación o 2FA. Esta capa de seguridad adicional permite a los usuarios no depender únicamente de su contraseña para asegurar sus cuentas.
En segundo lugar, utilizar contraseñas largas y únicas para cada servicio o cuenta online.
Por último y no por ello menos importante, instale una solución antivirus en su teléfono y computadora y minimice la cantidad de información que comparte online para estar menos expuesto al uso indebido por terceros. Para ello es necesario verificar la configuración de privacidad en sus redes sociales y cuentas como Google.
A dónde acudir en caso de robo de identidad
Lo primero que el usuario debe hacer es contactarse con la entidad financiera, red social o servicio online al cual hayan obtenido acceso los atacantes para recuperar sus cuentas y luego cambiar las contraseñas en todos los servicios online. También es importante que en la medida de lo posible las personas hagan la denuncia en caso de ser víctimas de robo de identidad. Actualmente es difícil obtener datos fieles a la magnitud del problema porque muchos usuarios no reportan estos casos.
La recomendación es averiguar en cada país qué entidad recibe las denuncias y contactarse. Algunos ejemplos:
En México, por ejemplo, el sitio web del Gobierno de México informa que los usuarios pueden realizar la denuncia a través del CONDUSEF y recibir asesoramiento para bloquear sus cuentas bancarias y comenzar la denuncia ante el Ministerio Público local. Si el robo de identidad está vinculado a problema con establecimientos, comercio o de prestación de servicios no financieros, la denuncia se deberá hacer ante PROFECO.
En Argentina la denuncia puede canalizarse a través de la Unidad Especializada en Ciberdelincuencia del Ministerio Público Fiscal. Quienes están en la CABA también pueden presentar la denuncia ante el Centro de Ciberseguridad Ciudadana de la Ciudad de Buenos Aires.
En Colombia los ciudadanos pueden realizar la denuncia en una estación de la policía o en la Fiscalía General de la Nación. Para más información revisar las recomendaciones de la Superintendencia de Industria y Comerio.
En Perú se pueden contactar a la oficina de la Divindat para realizar la denuncia, y en Chile por robo y otros delitos se recomienda comunicarse con Carabineros y en los casos de suplantación de identidad en redes sociales contactarse con el CSIRT.
Para conocer más en profundidad este fenómeno compartimos el episodio del podcast Conexión Segura "Robo de identidad: una forma de delito en crecimiento", en el cual la investigadora de ESET Martina López explica qué es el robo y la suplantación de identidad, las formas en que los cibercriminales llevan adelante este tipo de delito, las consecuencias y qué pueden hacer los usuarios para minimizar los riesgos.