Análisis en profundidad

Robo de identidad: qué datos se roban, con qué fin y cuáles hay que proteger

El robo de identidad se produce cuando un hacker criminal se hace con los datos personales de alguien y luego los vende en la Dark Web, perpetrando todo tipo de estafas y robando algo más que dinero. Esta es una guía que le ayudará a entender el valor de sus datos personales y cómo protegerlos

12 Ene 2022

Claudio Telmon

El robo de identidad

El robo de identidad es la suplantación de una víctima por parte de un atacante con el fin de atribuirle las acciones realizadas por el atacante.

En tiempos del GDPR europeo y de la protección de datos, este tema ha cobrado una gran importancia, especialmente para las empresas que tienen que procesar y proteger estos datos de amenazas de todo tipo, también para cumplir con la necesidad de gestionar correctamente los requisitos del Reglamento de la UE.

Robo de identidad: qué es

La razón por la que el tema ha cobrado relevancia es que las empresas procesan datos de sus clientes, empleados o colaboradores, como la dirección, el número de teléfono o incluso una copia de un documento de identidad. Estos datos se utilizan para la suplantación de identidad, por lo que es importante comprender su valor y cómo protegerlos.

Sin embargo, la usurpación de identidad también afecta a las empresas cuando las víctimas son representantes de la propia empresa, en el marco de fraudes que pueden tener una gran repercusión y que, por tanto, serán investigados.

La usurpación de identidad no nació ciertamente con Internet, sino todo lo contrario: aún hoy, una de las formas más comunes de usurpación de identidad es cuando el autor proporciona credenciales falsas para acceder a un préstamo, por ejemplo para comprar un televisor. En este caso, el objetivo es no devolver el préstamo posteriormente, dejando las consecuencias a la víctima. Por supuesto, esto no debería ser posible: cuando se contrata el préstamo, la identidad del solicitante debe ser verificada. Entonces, ¿cómo es posible el robo de identidad?

Cuando una persona es identificada por alguien que no la conoce directamente, este reconocimiento se produce siempre a través de credenciales asociadas a esa persona: un documento de identidad, un nombre de usuario o incluso sólo un nombre y una dirección.

La verificación de la asociación entre estas credenciales y la persona puede ser más o menos exhaustiva, dependiendo de muchos factores. Por ejemplo, cuando un cartero entrega un paquete en nuestra casa, confía en que decimos ser la persona que lo va a recibir y que estamos en la dirección correcta. Cuando recogemos una carta certificada, nos piden un documento de identidad, pero si delegamos en alguien para que recoja un paquete, puede bastar con una fotocopia del documento y una firma.

La capacidad de un empleado para reconocer un documento auténtico de uno falso también es diferente a la de un agente de policía, pero a menudo el interés por garantizar que la identificación sea correcta también es diferente.

En resumen, hay varias razones por las que las credenciales de identificación o autenticación pueden ser más o menos fáciles de burlar. Un estafador estudia cuidadosamente estos puntos débiles y luego los utiliza en su beneficio.

Para comprender bien el robo de identidad en línea, es útil analizar otros dos tipos de estafas que son comunes en el mundo real, aunque no sean estrictamente robos de identidad.

El primero son las facturas falsas de impuestos y servicios públicos que a veces se envían a los domicilios. De hecho, cuando recibimos una factura postal en casa, hay una serie de comprobaciones que podríamos hacer: que el número del servicio sea nuestro, que la lectura sea correcta, que se corresponda con un pago pendiente (es decir, que esté en el periodo correcto) y, sobre todo, que el número de cuenta esté realmente asociado al organismo al que debemos el pago.

Es precisamente esta última comprobación la que resulta realmente difícil de hacer: no tenemos una forma fácil de verificar esta cifra, que es la realmente crítica. Sólo podemos esperar que el resto de la información sea suficiente para reconocer una posible falsificación, porque aunque no es secreta, tampoco está disponible de inmediato. Lo importante es que en el momento en que el boletín sea creíble, habrá un cierto número de personas que ya no lo revisarán a fondo ni pagarán por él.

El segundo tipo de fraude subraya aún más la importancia de la información sobre la víctima para el estafador. Es el tipo de fraude que, desgraciadamente, se practica sobre todo con las personas mayores, y que consiste en hacerse pasar por un amigo del hijo para luego pedirle dinero u otras cosas. Está claro que cuanto más creíble sea el defraudador al proporcionar información sobre su hijo, más probable será su mentira. Y mucha de esta información está ahora disponible en línea.

Robo de identidad en Internet: todo es más fácil

Con la llegada de Internet, la suplantación de identidad se ha vuelto mucho más fácil. En Internet, ya no hay una persona física que pueda ser verificada; nuestra identidad en línea consiste únicamente en información, que es fácilmente reproducible y a menudo igual de fácil de recopilar y duplicar: direcciones de correo electrónico, nombres de usuario, perfiles.

Internet nos permite tener una identidad, o incluso muchas, en este contexto inmaterial, completamente desconectado de la del mundo material. Si esto constituye una gran libertad, también es una debilidad: cualquiera puede crear una dirección de correo electrónico con nuestro nombre y apellidos, o un perfil asociado a nuestro nombre en una red social, quizás poniendo información y fotos que nosotros mismos hemos subido en otros perfiles. Pero este tipo de robo de identidad es menos común: es mucho más frecuente que intenten hacerse con nuestra identidad genuina haciendo un uso indebido de ella.

Vincular una identidad intangible a una persona física no es fácil. El único vínculo real es con el propietario de las credenciales de autenticación, normalmente una contraseña: quien controla esa contraseña controla nuestra identidad. El atacante intentará entonces adquirir nuestras credenciales para hacerse con nuestra identidad real, aunque sea inmaterial, y utilizarla para sus propios fines.

La forma más común de hacerlo es el llamado phishing. En la práctica, la víctima recibe un mensaje de correo electrónico que parece proceder de su proveedor de servicios cuyas credenciales quiere el estafador, pero que en realidad ha sido enviado por el estafador imitando las auténticas.

El mensaje pide que se introduzcan estas credenciales en un formulario online, que a su vez parece ser del mismo servicio, pero que en realidad también está controlado por el estafador. El objetivo es, por supuesto, adquirir las credenciales y utilizarlas para suplantar a la víctima.

Según el Informe Clusit 2019, el phishing sigue siendo una de las técnicas de ataque más utilizadas, con una tendencia creciente.

Análisis de los principales ciberataques mundiales conocidos de 2018: distribución de las técnicas de ataque (Fuente: Informe Clusit 2019).

Este conocido tipo de ataque no sólo se utiliza para acceder a las cuentas bancarias, un ámbito en el que se han centrado las actividades de las fuerzas de seguridad, como la autenticación de dos factores.

Uno de los fraudes más comunes contra las empresas suele comenzar con un único acceso al buzón de correo electrónico de un empleado de la administración, obtenido de este modo. En ese único acceso, el estafador configura el buzón de la víctima para reenviar una copia de los mensajes a su propio buzón. Se trata de una operación que, en muchos casos, puede llevarse a cabo incluso si el acceso está protegido por una autenticación fuerte y de la que la víctima a menudo sólo se dará cuenta cuando el daño ya está hecho.

A continuación, nuestro estafador supervisa pacientemente su bandeja de entrada de correo electrónico, esperando a ver qué correos electrónicos le interesan. Suelen ser correos electrónicos relativos a un intercambio de mensajes entre la administración de la empresa y un cliente, en relación con algún pago que se va a realizar, y para el que se acuerda o preestablece un IBAN para un pago.

Cuando los arreglos están hechos, el estafador actúa, y aquí es donde se ve el poder del robo de identidad. Enviará al cliente un correo electrónico con un remitente falsificado, diciendo ser la misma persona de la administración con la que el cliente ha estado en contacto, y comunicando un cambio de IBAN, que obviamente se referirá a una cuenta corriente que el estafador controla.

Al haber visto pasar los mensajes anteriores, el estafador podrá citar correctamente el número de pedido y todas las referencias a la transacción, pero también podrá imitar el tenor de los correos electrónicos de la víctima a la que suplanta, utilizar la misma firma, los mismos saludos y quizás incluso citar las referencias personales que se han hecho durante el intercambio de correos. En resumen, construirá un correo electrónico falso extremadamente realista y creíble, que el destinatario apenas podrá distinguir de uno original.

Robo de identidad: difícil reclamar daños y perjuicios

La eficacia de este fraude es muy alta, entre otras cosas porque es probable que los defraudados, si no se dan cuenta inmediatamente de que algo va mal, sólo se den cuenta al cabo de varios días, cuando el pago no haya llegado al IBAN correcto y se enfrenten para ver qué ha pasado. Para entonces, el dinero habrá desaparecido.

Este tipo de fraude adopta muchas formas que ya se han visto en ataques de la vida real: un cliente de un banco que ordena pagos por correo electrónico a un director de sucursal con el que tiene relaciones amistosas, o incluso el intercambio de correos electrónicos entre dos directores para un gran pago por una transacción en el extranjero.

Hay que subrayar que, mientras que la víctima de la suplantación de identidad es la persona de la administración, el verdadero estafador es el cliente: es él quien paga en la cuenta equivocada basándose en un correo electrónico falso. Por supuesto, la misma estafa habría sido posible si hubiera sido el buzón del cliente el que hubiera sido atacado, pero en cualquier caso, quien sufre el daño es la persona que no autenticó correctamente la fuente.

Por supuesto, este principio, que es correcto en general, puede tener diferentes implicaciones. En el caso del préstamo mencionado al principio, el defraudado al final es el comercio que vendió el televisor, pero mientras tanto la persona a la que le han robado la identidad puede verse denunciada en la Central de Riesgos y no poder obtener un préstamo, por no hablar de las acciones de cobro de deudas que el comercio puede haber emprendido mientras tanto.

Precisamente porque la persona que ha sido estafada suele ser la que ha sido deficiente en sus comprobaciones, y porque la persona a la que se le ha robado la identidad es ella misma una víctima, es poco probable que haya alguien a quien reclamar una indemnización: la única solución es evitar la estafa, o al menos detectarla lo antes posible para detener cualquier pago a tiempo.

Robo de identidad: cómo protegerse

La protección contra este tipo de estafa es siempre la misma: cuando se le pide que haga una operación “anormal”, tiene que hacer un paso de verificación adicional. Es lo que se conoce como “autenticación adaptativa”, que ya vemos que utilizan los servicios online más avanzados. Se identifica un comportamiento “normal”, que requiere una simple autenticación; cuando se solicita una operación anormal, ya sea por el tipo de operación, por su peligrosidad, pero también por la zona geográfica o el dispositivo desde el que se solicita, entonces se pasa a una autenticación más fuerte, por ejemplo, o se solicita una verificación telefónica, o en todo caso se realiza un paso más de validación de la solicitud, que además tiene como resultado “alertar” a la potencial víctima de que algo está pasando, en caso de que no sea el autor de la operación.

En cuanto a la estafa del IBAN descrita anteriormente, una simple comprobación telefónica suele ser suficiente para evitar daños cuando se solicita por correo electrónico una transacción “crítica” como un cambio de IBAN.

Consecuencias y consejos para defenderse

Sin embargo, acceder a una cuenta de correo electrónico puede tener consecuencias peores. En primer lugar, puede permitir el acceso a información personal que puede utilizarse de diversas maneras, así como el acceso a información relativa al acceso a otras cuentas.

Muchos servicios, al solicitar un cambio de contraseña, pueden pedirte que respondas a una pregunta “secreta”, que a menudo se refiere a información que es cualquier cosa menos secreta, y que en cambio publicamos en nuestros perfiles sociales: el colegio donde estudiamos, el nombre de las mascotas o similares. Esta información sólo es “secreta” cuando se trata de malware y otras herramientas que intentan acceder de forma automática y en gran número, pero no cuando hay un intento más decidido de acceder a los servicios de una víctima concreta.

La segunda protección suele consistir en el envío de un enlace de restablecimiento de la contraseña a la bandeja de entrada del correo electrónico, donde también suelen llegar avisos de que esto ha ocurrido. Si se tiene acceso al buzón, se puede recibir este enlace, restablecer la contraseña de otros servicios y acceder a ellos. Este mecanismo puede repetirse en una cadena a más y más servicios críticos, permitiendo al atacante controlar partes cada vez más grandes de la identidad en línea de la víctima, y acceder a más información, como contactos, chats personales, imágenes y documentos.

La situación se agrava si el smartphone o el PC es atacado por un malware que también tiene acceso, por ejemplo, al canal de SMS u otros canales de comunicación utilizados para la autenticación.

En este caso, sería posible obtener el control completo de la identidad en línea de la víctima, y también puede ser difícil para la víctima recuperar el control después. En algunos casos, toda la información asociada a estas identidades es entonces completamente borrada por el atacante.

Hay un último paso a considerar, y es el regreso del mundo inmaterial al material. Toda la información, los contactos y las credenciales de acceso obtenidas pueden utilizarse para suplantar la identidad de la víctima por teléfono ante sus contactos, o ante comerciantes o autoridades públicas. Desde este punto de vista, las fotocopias de los documentos de identidad, que en muchos casos se utilizan como sustitutos del documento original, son especialmente críticas, pero están disponibles en muchos contextos desprotegidos, basta pensar en la frecuencia con que se fotocopian documentos en los hoteles, por ejemplo.

Desgraciadamente, poco puede hacer la víctima para protegerse directamente, salvo proteger cuidadosamente su propia información, abstenerse de la publicación compulsiva que caracteriza este periodo y, sobre todo, estar atento al phishing y a los posibles indicios de que se está haciendo un uso indebido de nuestra identidad.

A nivel de empresa, debería haber políticas estrictas sobre la verificación personal o telefónica de las transacciones anormales, siempre que sea posible también acordadas con las contrapartes, o al menos sugeridas.

En general, los mecanismos de autenticación deben gestionarse cuidadosamente, dando preferencia a los que proporcionan una autenticación fuerte y posiblemente adaptable. Muchos servicios permiten ahora una autenticación sencilla y discreta, mucho menos incómoda que hace unos años.

Siempre habrá situaciones que escapen al control de la víctima. Me ocurrió que se puso en contacto conmigo por teléfono un usuario de eBay que había comprado productos a un vendedor que se había limitado a crear un perfil con mi nombre y dirección, por supuesto para quedarse con el dinero sin enviar los productos, y luego hizo que los enfadados compradores me llamaran. En este caso, por supuesto, lo único que tuve que hacer fue notificar a eBay y denunciar la suplantación de identidad a la Policía, mientras que los ingenuos compradores, que se habían dejado engañar por una oferta económicamente ventajosa realizada por un vendedor sin historial de buena reputación, se quedaron con las ganas.

@RESERVADOS TODOS LOS DERECHOS
T
Claudio Telmon

Information & Cyber Security Advisor

Temas principales

Especificaciones

H
hackers
M
malware
P
password
P
phishing

Nota 1 de 5