El robo de identidad es la suplantación de una víctima por parte de un atacante con el fin de atribuirle las acciones realizadas por el atacante.
En tiempos donde la protección de datos es vital, este tema ha cobrado una gran importancia, especialmente para las empresas que tienen que procesar y proteger estos datos de amenazas de todo tipo.
Índice de temas
¿Qué es el delito de robo de identidad?
La razón por la que el tema ha cobrado relevancia es que las empresas procesan datos de sus clientes, empleados o colaboradores, como la dirección, el número de teléfono o incluso una copia de un documento de identidad. Estos datos se utilizan para la suplantación de identidad, por lo que es importante comprender su valor y cómo protegerlos.
Sin embargo, la usurpación de identidad también afecta a las empresas cuando las víctimas son representantes de la propia empresa, en el marco de fraudes que pueden tener una gran repercusión y que, por tanto, serán investigados.
La usurpación de identidad no nació ciertamente con Internet, sino todo lo contrario: aún hoy, una de las formas más comunes de usurpación de identidad es cuando el autor proporciona credenciales falsas (que pertenecen a otra persona) para acceder a un préstamo, por ejemplo para comprar un televisor.
En este caso, el objetivo es no devolver el préstamo posteriormente, dejando las consecuencias a la víctima. Por supuesto, esto no debería ser posible: cuando se contrata el préstamo, la identidad del solicitante debe ser verificada.
Entonces, el robo de identidad es un delito que consiste en quitarle los datos personales a otra persona y hacerse pasar por ella con el objetivo de conseguir beneficios personales. En otras palabras, se comete el delito de robo de identidad cuando se utiliza otra personalidad para llevar a cabo otro tipo de delitos de fraude económico.
En algunos casos, quien se hace pasar por otra persona suele pedir créditos bancarios y hasta firmar contratos. Es un delito que se consuma con la simple acción de utilizar la identidad de otra persona para causarle un daño a ella o a terceros, pero se diferencia de otros de índole económica.
Esto quiere decir que no siempre tiene que existir un delito de fraude o el robo de una tarjeta de crédito, sino que alcanza con que el delincuente finja tener otra identidad distinta a la propia.
El derecho a la identidad ha sido puesto en valor por la gran mayoría de las legislaciones nacionales e internacionales y constituye uno de los derechos humanos fundamentales.
Se trata de un conjunto de datos (nombre, número de documento o de seguro social, fecha de nacimiento, nacionalidad, información bancaria) que diferencia a un individuo del resto y lo hace parte existente de una sociedad.
Sin embargo, en los últimos tiempos, con la aparición de avanzadas tecnologías, este delito se hizo más común de lo normal. Es por esto que, hoy en día, combatir este tipo de prácticas se ha vuelto un desafío.
Robo de identidad en Internet: todo es más fácil
Con la llegada de Internet, la suplantación de identidad se ha vuelto mucho más fácil. En Internet, ya no hay una persona física que pueda ser verificada; nuestra identidad en línea consiste únicamente en información, que es fácilmente reproducible y a menudo igual de fácil de recopilar y duplicar: direcciones de correo electrónico, nombres de usuario, perfiles.
Internet nos permite tener una identidad, o incluso muchas, en este contexto inmaterial, completamente desconectado de la del mundo material. Si esto constituye una gran libertad, también es una debilidad: cualquiera puede crear una dirección de correo electrónico con nuestro nombre y apellidos, o un perfil asociado a nuestro nombre en una red social, quizás poniendo información y fotos que nosotros mismos hemos subido en otros perfiles. Pero este tipo de robo de identidad es menos común: es mucho más frecuente que intenten hacerse con nuestra identidad genuina haciendo un uso indebido de ella.
Vincular una identidad intangible a una persona física no es fácil. El único vínculo real es con el propietario de las credenciales de autenticación, normalmente una contraseña: quien controla esa contraseña controla nuestra identidad. El atacante intentará entonces adquirir nuestras credenciales para hacerse con nuestra identidad real, aunque sea inmaterial, y utilizarla para sus propios fines.
La forma más común de hacerlo es el llamado phishing. En la práctica, la víctima recibe un mensaje de correo electrónico que parece proceder de su proveedor de servicios cuyas credenciales quiere el estafador, pero que en realidad ha sido enviado por el estafador imitando las auténticas.
El mensaje pide que se introduzcan estas credenciales en un formulario online, que a su vez parece ser del mismo servicio, pero que en realidad también está controlado por el estafador. El objetivo es, por supuesto, adquirir las credenciales y utilizarlas para suplantar a la víctima.
Según el Informe Clusit 2019, el phishing sigue siendo una de las técnicas de ataque más utilizadas, con una tendencia creciente.
Este conocido tipo de ataque no sólo se utiliza para acceder a las cuentas bancarias, un ámbito en el que se han centrado las actividades de las fuerzas de seguridad, como la autenticación de dos factores.
Uno de los fraudes más comunes contra las empresas suele comenzar con un único acceso al buzón de correo electrónico de un empleado de la administración, obtenido de este modo. En ese único acceso, el estafador configura el buzón de la víctima para reenviar una copia de los mensajes a su propio buzón. Se trata de una operación que, en muchos casos, puede llevarse a cabo incluso si el acceso está protegido por una autenticación fuerte y de la que la víctima a menudo sólo se dará cuenta cuando el daño ya está hecho.
A continuación, nuestro estafador supervisa pacientemente su bandeja de entrada de correo electrónico, esperando a ver qué correos electrónicos le interesan. Suelen ser correos electrónicos relativos a un intercambio de mensajes entre la administración de la empresa y un cliente, en relación con algún pago que se va a realizar, y para el que se acuerda o preestablece un IBAN para un pago.
Cuando los arreglos están hechos, el estafador actúa, y aquí es donde se ve el poder del robo de identidad. Enviará al cliente un correo electrónico con un remitente falsificado, diciendo ser la misma persona de la administración con la que el cliente ha estado en contacto, y comunicando un cambio de IBAN, que obviamente se referirá a una cuenta corriente que el estafador controla.
Al haber visto pasar los mensajes anteriores, el estafador podrá citar correctamente el número de pedido y todas las referencias a la transacción, pero también podrá imitar el tenor de los correos electrónicos de la víctima a la que suplanta, utilizar la misma firma, los mismos saludos y quizás incluso citar las referencias personales que se han hecho durante el intercambio de correos. En resumen, construirá un correo electrónico falso extremadamente realista y creíble, que el destinatario apenas podrá distinguir de uno original.
Robo de identidad: difícil reclamar daños y perjuicios
La eficacia de este fraude es muy alta, entre otras cosas porque es probable que los defraudados, si no se dan cuenta inmediatamente de que algo va mal, sólo se den cuenta al cabo de varios días, cuando el pago no haya llegado al IBAN correcto y se enfrenten para ver qué ha pasado. Para entonces, el dinero habrá desaparecido.
Este tipo de fraude adopta muchas formas que ya se han visto en ataques de la vida real: un cliente de un banco que ordena pagos por correo electrónico a un director de sucursal con el que tiene relaciones amistosas, o incluso el intercambio de correos electrónicos entre dos directores para un gran pago por una transacción en el extranjero.
Hay que subrayar que, mientras que la víctima de la suplantación de identidad es la persona de la administración, el verdadero estafador es el cliente: es él quien paga en la cuenta equivocada basándose en un correo electrónico falso. Por supuesto, la misma estafa habría sido posible si hubiera sido el buzón del cliente el que hubiera sido atacado, pero en cualquier caso, quien sufre el daño es la persona que no autenticó correctamente la fuente.
Por supuesto, este principio, que es correcto en general, puede tener diferentes implicaciones. En el caso del préstamo mencionado al principio, el defraudado al final es el comercio que vendió el televisor, pero mientras tanto la persona a la que le han robado la identidad puede verse denunciada en la Central de Riesgos y no poder obtener un préstamo, por no hablar de las acciones de cobro de deudas que el comercio puede haber emprendido mientras tanto.
Precisamente porque la persona que ha sido estafada suele ser la que ha sido deficiente en sus comprobaciones, y porque la persona a la que se le ha robado la identidad es ella misma una víctima, es poco probable que haya alguien a quien reclamar una indemnización: la única solución es evitar la estafa, o al menos detectarla lo antes posible para detener cualquier pago a tiempo.
Métodos de robo
Como suele suceder con los delitos, el robo de identidad puede ser cometido de varias maneras. El método que los delincuentes utilizan para consumarlo puede ser distinto según sus capacidades informáticas o sus habilidades para la comisión de fraude.
Correos Falsos
Uno de los métodos de robo de identidad más comunes es el de los correos falsos.
Esta práctica funciona de la siguiente manera: Los delincuentes se hacen pasar por alguna empresa o entidad bancaria con la que la víctima tenga confianza y le envían un email pidiéndole determinados datos.
La víctima, por lo general, confía en estos emails porque supuestamente provienen de entidades que conoce. Pero lo cierto es que le está entregando datos sensibles a personas que luego terminarán robando su identidad.
Este método es también denominado phishing. En efecto, el objetivo es engañar a la víctima. Es por esto que los mails que recibimos de este estilo tienen carácter de urgentes u ofrecen una propuesta demasiado buena para ser verdad.
Robo clásico
Otro de los métodos para consumar el delito de identidad de robo tiene que ver simplemente con el robo de la billetera o celular de la víctima.
Esta es una de las formas de robo más comunes en las calles. Pensemos que una vez que los delincuentes acceden a nuestras billeteras pueden hacerse con nuestra información personal, nuestros datos de la tarjeta de crédito y otras cuestiones.
Hacking
Tal como habíamos dicho, la forma de cometer este delito puede variar mucho según las habilidades informáticas que tenga el atacante. En este caso veremos cómo a través del hacking, estas personas pueden acceder a los datos que dejamos en línea y luego usarlos con fines delictivos.
Cuando navegamos por internet dejamos todo tipo de información, ya sea en redes sociales, en el buscador de Google o en alguna tienda online en la que incluso introducimos los datos de nuestras tarjetas para realizar compras.
Muchas veces lo que sucede es que un grupo de hackers irrumpe en estos sitios en línea y roba nuestra información allí contenida. Una vez que disponen de ella, pueden comenzar a hacerse pasar por nosotros.
Por otro lado, los hackers también pueden tener acceso a la computadora de la víctima a través del malware.
¿Cómo se castiga el robo de identidad?
En la mayoría de los códigos penales donde este delito está tipificado, la pena oscila entre los 2 meses y los 6 años de prisión.
Lógicamente, la cantidad de años en cada caso varía acorde a la gravedad con la que fue cometido el delito. Si se utilizó la identidad de otra persona para cometer fraude u otros tipos penales, la pena será mayor.
De todas formas, estas prácticas son relativamente nuevas, porque el advenimiento de la tecnología y la creciente cantidad de datos que hay en internet provocaron que este delito aumente.
Es por eso que muchos países aún no han reforzado o tienen un vacío sus legislaciones punitivas en lo que refiere a los delitos cibernéticos.
En robo de identidad existe un subtipo de delito que sería el robo de la identidad digital, que tiene que ver con toda la información de nuestros perfiles en la web.
Recomendaciones de seguridad
Tal como comentamos previamente, lo ideal es tratar de prevenir con antelación este tipo de ataques.
Muchas veces alcanza con estar atentos y no caer en las trampas puestas por los delincuentes cibernéticos. Sin embargo, hay una serie de medidas que se pueden tomar con el objetivo de estar más resguardados.
Entonces, se pasa a una autenticación más fuerte, por ejemplo, o se solicita una verificación telefónica, o en todo caso se realiza un paso más de validación de la solicitud, que además tiene como resultado “alertar” a la potencial víctima de que algo está pasando, en caso de que no sea el autor de la operación.
El robo de identidad se configura muchas veces mediante el uso del malware. Es por esto que una recomendación de seguridad importante es la instalación de antivirus y firewall tanto en nuestros teléfonos como en nuestros ordenadores.
Otra importante recomendación proviene cuando utilizamos redes wifi de acceso público. Al conectarnos a ellas, nos ponemos en una situación muy vulnerable, ya que cualquiera podría interceptarlas y acceder a nuestros datos.
Es por esto que siempre que no nos conectemos a redes privadas se recomienda hacerlo mediante el protocolo seguro de transferencia HTTPS, sobre todo al enviar una dirección.
Consecuencias de un robo de identidad y más consejos para defenderse
El acceso a una cuenta de correo electrónico puede tener consecuencias peores. En primer lugar, puede permitir el acceso a información personal que puede utilizarse de diversas maneras, así como el acceso a información relativa al acceso a otras cuentas.
Muchos servicios, al solicitar un cambio de contraseña, pueden pedirte que respondas a una pregunta “secreta”, que a menudo se refiere a información que es cualquier cosa menos secreta, y que en cambio publicamos en nuestras redes sociales: el colegio donde estudiamos, el nombre de las mascotas o similares.
Esta información sólo es “secreta” cuando se trata de malware y otras herramientas que intentan acceder de forma automática y en gran número, pero no cuando hay un intento más decidido de acceder a los servicios de una víctima concreta.
La segunda protección suele consistir en el envío de un enlace de restablecimiento de la contraseña a la bandeja de entrada del correo electrónico, donde también suelen llegar avisos de que esto ha ocurrido. Si se tiene acceso al buzón, se puede recibir este enlace, restablecer la contraseña de otros servicios y acceder a ellos. Este mecanismo puede repetirse en una cadena a más y más servicios críticos, permitiendo al atacante controlar partes cada vez más grandes de la identidad en línea de la víctima, y acceder a más información, como contactos, chats personales, imágenes y documentos.
La situación se agrava si el smartphone o el PC es atacado por un malware que también tiene acceso, por ejemplo, al canal de SMS u otros canales de comunicación utilizados para la autenticación.
En este caso, sería posible obtener el control completo de la identidad en línea de la víctima, y también puede ser difícil para la víctima recuperar el control después. En algunos casos, toda la información asociada a estas identidades es entonces completamente borrada por el atacante.
Hay un último paso a considerar, y es el regreso del mundo inmaterial al material. Toda la información, los contactos y las credenciales de acceso obtenidas pueden utilizarse para suplantar la identidad de la víctima por teléfono ante sus contactos, o ante comerciantes o autoridades públicas. Desde este punto de vista, las fotocopias de los documentos de identidad, que en muchos casos se utilizan como sustitutos del documento original, son especialmente críticas, pero están disponibles en muchos contextos desprotegidos, basta pensar en la frecuencia con que se fotocopian documentos en los hoteles, por ejemplo.
Desgraciadamente, poco puede hacer la víctima para protegerse directamente, salvo proteger cuidadosamente su propia información, abstenerse de la publicación compulsiva que caracteriza este periodo y, sobre todo, estar atento al phishing y a los posibles indicios de que se está haciendo un uso indebido de nuestra identidad.
A nivel de empresa, debería haber políticas estrictas sobre la verificación personal o telefónica de las transacciones anormales, siempre que sea posible también acordadas con las contrapartes, o al menos sugeridas.
En general, los mecanismos de autenticación deben gestionarse cuidadosamente, dando preferencia a los que proporcionan una autenticación fuerte y posiblemente adaptable. Muchos servicios permiten ahora una autenticación sencilla y discreta, mucho menos incómoda que hace unos años.
Siempre habrá situaciones que escapen al control de la víctima. Me ocurrió que se puso en contacto conmigo por teléfono un usuario de eBay que había comprado productos a un vendedor que se había limitado a crear un perfil con mi nombre y dirección, por supuesto para quedarse con el dinero sin enviar los productos, y luego hizo que los enfadados compradores me llamaran. En este caso, por supuesto, lo único que tuve que hacer fue notificar a eBay y denunciar la suplantación de identidad a la Policía, mientras que los ingenuos compradores, que se habían dejado engañar por una oferta económicamente ventajosa realizada por un vendedor sin historial de buena reputación, se quedaron con las ganas.
¿Qué debo hacer en caso de robo de identidad?
Cuando sufrimos el robo de nuestra identidad en cualquiera de sus variantes, lo más importante es actuar con velocidad para evitar que el daño se siga expandiendo.
En primer lugar, debemos realizar la denuncia policial. Además, es importante llamar a las entidades bancarias con las que operamos y comunicarles que nuestra identidad ha sido robada. De esa manera, el banco bloqueará las tarjetas para que no puedan seguir usándose y cancelará las operaciones en proceso.
Asimismo, debemos ejercer un control constante de nuestros movimientos bancarios para verificar que no haya ninguno que esté fuera de lugar y que haya podido ser perpetrado por algún delincuente.
En el mismo sentido, también es importante comunicarle lo sucedido a nuestros amigos, conocidos, compañeros de trabajo y otras personas a las que les pueda ser relevante. Esto con el objetivo de evitar que los delincuentes cometan otro tipo de estafas en nuestro nombre.
Además, es esencial que modifiquemos todas las contraseñas de nuestras cuentas online, incluso aquellas que no fueran hackeadas. Posteriormente, debemos verificar nuestros ordenadores y específicamente los programas en él.
Lo cierto es que más allá de las medidas que se puedan tomar una vez que ya hemos sufrido el robo de nuestra identidad, lo ideal sería evitar este tipo de ataques. Lógicamente, en algunos casos es muy difícil hacerlo.
Para la prevención a veces solo basta con estar atentos y no abrir archivos que a simple vista son peligrosos ni compartir información sensible con nadie que no sea de extrema confianza.
En cuanto a las entidades bancarias y otras compañías del estilo, es importante siempre verificar que el correo electrónico que nos llega sea el oficial.
Por otra parte, nunca está de más verificar mes a mes todos los movimientos de nuestra tarjeta de crédito para evitar compras no deseadas.
Múltiple factor de autenticación
Siguiendo la línea de medidas de seguridad que se pueden tomar para evitar el robo de identidad encontramos al múltiple factor de autenticación.
Se trata de una medida muy efectiva que verifica la identidad de una persona y que es muy difícil de vencer.
El funcionamiento consiste en solicitar dos o más factores o mecanismos de ingreso al tratar de entrar a cualquier aplicación, cuenta o dispositivo que contenga información sensible.
Un claro ejemplo del múltiple factor de autenticación es el de los cajeros automáticos. Este es un mecanismo esencial para evitar el robo de identidad y la posterior comisión de otros delitos similares.
Cuando uno va a un cajero, para realizar una extracción no solo debe introducir su tarjeta de débito, sino que además debe ingresar un PIN que suele ser de cuatro números.
Observamos en este caso como con esta medida de seguridad se vuelve más complejo vencer a un cajero ya que hay que disponer de dos tipos de informaciones distintas.
Artículo publicado originalmente en 12 Ene 2022
