Qué es el robo y suplantación de identidad, y cómo evitarlo
Perfiles falsos en redes sociales, cuentas de WhatsApp robadas, correos de phishing, robo de identidad en apps y plataformas de citas. ESET analiza este delito creciente que utiliza datos personales para suplantar una identidad y cometer fraude.
Cada vez es más común leer o escuchar casos en los medios o de personas cercanas que fueron víctimas del robo o suplantación de identidad o como mínimo de un intento de este tipo de fraude. Desde ESET afirman que si bien esta forma de delito existe desde hace mucho tiempo, creció a partir de la pandemia.
El robo de identidad es un delito que consiste en el uso de un delincuente de datos personales de una persona, como el número de documento, fecha de nacimiento, credenciales de acceso u otro tipo de información para suplantar su identidad y cometer algún tipo de fraude; por ejemplo, solicitar dinero a familiares o amigos, acceder a su cuenta bancaria y sustraer fondos o sacar un préstamo en su nombre, o incluso acceder a su correo electrónico y enviar mensajes a nombre de la persona. Las víctimas de estos ataques contraen deudas económicas, un daño a la reputación y un disgusto que puede incluso afectar a su salud.
Tanto el robo de identidad como la suplantación de identidad ocurren a través de distintas tecnologías, como llamadas telefónicas, SMS, correos electrónicos, mensajes en apps de mensajería como WhatsApp o redes sociales. Ambos están muy conectados con las técnicas de ingeniería social; es decir, el arte de manipular psicológica y emocionalmente a personas desprevenidas para convencerlas de que hagan una acción que las perjudica.
Según ESET las plataformas y métodos más frecuentes utilizados para llevar a cabo este tipo de delito, son:
-
Correos de phishing suplantando la identidad de terceros: En el caso de los correos electrónicos, además de enviar comunicaciones que simulan ser de organismos gubernamentales, entidades financieras, compañías o servicios digitales como plataformas de compra online o de entretenimiento, también pueden simular ser un contacto conocido si su cuenta fue secuestrada previamente por un atacante.
En los casos más sofisticados los criminales pueden engañar al usuario mediante técnicas como el email spoofing, que permite a los atacantes ocultar la verdadera dirección del remitente en un correo malicioso y sustituirla por una legítima suplantando la identidad de una empresa o un usuario al utilizar un dominio auténtico.
Cuando se recibe un correo es importante prestar atención a correos que hacen referencia a supuestas facturas impagas, deudas o préstamos. Algunos casos de suplantación de identidad a través del correo, fueron: estafadores aprovechan la preocupación por Omicron en una nueva campaña de phishing y el phishing busca robar claves de homebanking de clientes de BBVA.
-
Perfiles falsos en redes sociales: A través de las redes sociales los delincuentes buscan suplantar la identidad de usuarios legítimos, así como celebridades, entidades bancarias, marcas o servicios conocidos. Los atacantes crean perfiles falsos que no tienen la marca de verificación, a no ser que hayan logrado secuestrar una cuenta oficial, y de esta manera se contactan con usuarios desprevenidos para que entreguen datos personales para suplantar su identidad o directamente acceder a credenciales bancarias o de otros servicios.
En el último tiempo se ha visto en plataformas como Twitter e Instagram que los estafadores utilizan herramientas de scraping para monitorear los comentarios que hacen los usuarios en perfiles de bancos, aerolíneas u otro tipo de cuentas legítimas y contactarse desde perfiles falsos suplantando la identidad de estas entidades y robar su información y dinero. Como ejemplo se encuentran: falsos perfiles de bancos en Instagram y cómo criminales están utilizando el scraping de seguidores.
-
Cuentas de WhatsApp robadas: A partir de cuentas de WhatsApp robadas los estafadores se conectan con los contactos de la víctima para suplantar su identidad y hacerles creer a familiares y amigos que tuvieron un inconveniente y que necesitan un préstamo. En los últimos meses ESET observó casos de usuarios de WhatsApp que eran contactados por otros contactos que habían sufrido el robo de sus cuentas y les ofrecían dólares para vender. También se registraron casos en los que se suplanta la identidad de un organismo gubernamental asignando supuestos turnos para vacunarse, pero el objetivo era robar el código de seis dígitos para secuestrar la cuenta de WhatsApp para luego engañar a sus contactos.
Independientemente de la excusa que utilizan, la forma de robar la cuenta es utilizando el número de teléfono y solicitando el código de verificación de seis dígitos que llega vía SMS cuando se quiere abrir la app en un nuevo teléfono.
-
Suplantación de identidad a través de llamadas telefónicas (vishing): El vishing, es el nombre como se conoce a las estafas telefónicas suplantando la identidad de personas u organizaciones, sigue siendo una técnica recurrente de los criminales. Si bien el primer contacto muchas veces lo hacen a través de mensajes de WhatsApp, SMS o redes sociales, continúan telefónicamente hasta convencer a la víctima para que entregue datos sensibles que derivan generalmente en el robo de dinero.
En el último tiempo se ha detectado también el uso de bots de voz para engañar a los usuarios a través de llamadas telefónicas y convencerlos de que entreguen el código de verificación para acceder a sus cuentas. Un ejemplo fue la estafa telefónica: se hacen pasar por el Ministerio de Desarrollo Social para entregar un bono
-
Robo de identidad en apps y plataformas de citas: Es común que los estafadores se hagan pasar por alguien que no son en aplicaciones y plataformas de citas. En estos casos lo que suele suceder es que los delincuentes creen falsos perfiles utilizando imágenes robadas de perfiles oficiales o incluso de la web, para luego contactarse con personas interesadas en establecer relaciones sentimentales y engañarlas una vez que se establece un vínculo de confianza a través de historias bien elaboradas sobre supuestas emergencias, envío de regalos o situaciones similares. ESET analizó cuáles son algunas de las formas en que engañan a las personas en este tipo de aplicaciones y sitios online.
-
Robo de identidad a través de tarjetas SIM clonadas: La clonación del chip o SIM Swapping es otra modalidad relacionada al robo de identidad que aumentó en el último tiempo. En estos casos los cibercriminales logran sortear los controles de seguridad que implementan las compañías telefónicas y se hacen pasar por clientes legítimos ante representantes de atención al cliente para sacar una nueva tarjeta SIM con la línea telefónica de los usuarios cuya identidad fue suplantada. De esta manera secuestran su línea telefónica y, el control de sus llamadas y mensajes. Además, utilizan información adicional de las víctimas, como la dirección de correo, documentos de identidad u otra información, solicitan una nueva contraseña. Una vez que reciben el código de verificación de un solo uso que llega a través de SMS, los criminales acceden a sus cuentas bancarias, cuentas de WhatsApp, entre otros servicios online, para robar dinero y continuar realizando estafas. El especialista de ESET, Jake Moore, explica paso a paso cómo es el proceso de un ataque de SIM Swapping.
“En cuanto a recomendaciones para evitar el robo de identidad, lo primero es estar atentos a las señales que podrían indicar que nuestra identidad fue robada. Antes es necesario comprender cómo ocurren, para tomar conocimiento de cómo se aprovechan de aquellos datos que por desinformación consideramos que no son tan relevantes o que no pueden ser utilizados en nuestra contra. Por otro lado, estar informados y conocer las estrategias más comunes que utilizan los delincuentes, teniendo presente que constantemente surgen nuevas modalidades”, aconseja Camilo Gutierrez Amaya de ESET.
Las principales recomendaciones de ESET para evitar el robo y suplantación de identidad en Internet son:
-
Implementar en todos los servicios y aplicaciones la autenticación en dos pasos, también conocida como doble factor de autenticación o 2FA. Esta capa de seguridad adicional permite a los usuarios no depender únicamente de su contraseña para asegurar sus cuentas.
-
Utilizar contraseñas largas y únicas para cada servicio o cuenta online.
-
Instalar una solución antivirus en el teléfono y computadora y minimizar la cantidad de información que comparte online para estar menos expuestos al uso indebido por terceros. Para ello es necesario verificar la configuración de privacidad en las redes sociales y cuentas como Google.
En caso de haber sido víctima, lo primero que se debe hacer es contactarse con la entidad financiera, red social o servicio online al cual hayan obtenido acceso los atacantes para recuperar sus cuentas y luego cambiar las contraseñas en todos los servicios online. También es importante que en la medida de lo posible las personas hagan la denuncia en caso de ser víctimas de robo de identidad. Actualmente es difícil obtener datos fieles a la magnitud del problema porque muchos usuarios no reportan estos casos.
La recomendación es averiguar en cada país qué entidad recibe las denuncias y contactarse. Algunos ejemplos: En México, el sitio web del Gobierno de México informa que los usuarios pueden realizar la denuncia a través del CONDUSEF y recibir asesoramiento para bloquear sus cuentas bancarias y comenzar la denuncia ante el Ministerio Público local. Si el robo de identidad está vinculado a problema con establecimientos, comercio o de prestación de servicios no financieros, se denuncia ante PROFECO.
En Argentina la denuncia puede canalizarse a través de la Unidad Especializada en Ciberdelincuencia del Ministerio Público Fiscal. Quienes están en la CABA también pueden presentar la denuncia ante el Centro de Ciberseguridad Ciudadana de la Ciudad de Buenos Aires.
En Colombia los ciudadanos pueden realizar la denuncia en una estación de la policía o en la Fiscalía General de la Nación. Para más información revisar las recomendaciones de la Superintendencia de Industria y Comerio.
En Perú se pueden contactar a la oficina de la Divindat para realizar la denuncia, y en Chile por robo y otros delitos se recomienda comunicarse con Carabineros y en los casos de suplantación de identidad en redes sociales contactarse con el CSIRT.