Escuchar
Le puede ocurrir a usted o a una empresa. Los ciberdelincuentes toman sus fotos y crean un perfil falso para enviar mensajes falsos, obtener claves bancarias o de las tarjetas de crédito y débito, hacer compras y realizar fraudes.
La suplantación abarca desde el uso de los perfiles o cuentas de redes sociales hasta correos electrónicos, sitios web y servicios de mensajería instantánea (como WhatsApp). “Clonan la identidad digital con el fin de manipular información desde un perfil o sitio gemelo hacia cuentas reales de contactos”, advirtió Alonso Ramírez, profesor de ciberseguridad Universidad Cenfotec.
LEA MÁS: Delincuentes usan marcas globales para estafar y en Costa Rica hasta se hacen pasar por Intel
El ciberdelincuente crea un perfil, cuenta electrónica o sitio web falso (con una breve y sutil alteración de la dirección o URL) para utilizarlos en la difusión de información falsa o para engañar a otras personas, obtener sus datos y cometer fraudes.
Pueden incluso utilizar el número telefónico de una persona y tener acceso a las aplicaciones de mensajería instantánea. Para lograrlo engañan al usuario mediante técnicas de manipulación y así obtener el código de verificación que la plataforma envía en forma de mensaje corto de texto (SMS).
Cuando el código de verificación se envía mediante un mensaje de voz, el ciberdelincuente puede ingresar al buzón de voz de forma no autorizada y obtenerlo aprovechando que no están activadas las medidas de protección que dispone el operador para ese servicio.
En algunos casos el ciberdelincuente realiza un secuestro de la cuenta, para lo cual engaña al usuario con el propósito de obtener sus contraseñas y luego impidirle el acceso. En el caso de las pequeñas empresas, corporaciones e instituciones el principal método de fraude es la clonación del perfil de redes sociales o del sitio web, donde se engaña al usuario para que digite sus cuentas bancarias y contraseñas mediante lo que se conoce como el phishing.
La suplantación de identidad, de acuerdo al Federal Bureau of Investigation (FBI) de Estados Unidos, implica el robo de información de las personas para utilizarla en la realización de fraudes y venta de datos en el mercado negro, entre otros.
Los datos que suelen obtener los ciberdelincuentes van desde nombres, dirección física y electrónica y fotografías hasta la identificación, seguro social, tarjetas de débito o crédito y cuentas bancarias. El FBI advierte que esa información es empleada para crear tarjetas falsas abiertas, presentar declaraciones de impuestos fraudulentas, tramitar créditos u obtener beneficios de empresas o instituciones en todos los casos a nombre de la víctima.
LEA MÁS: Diez errores que no debe cometer nunca en Internet
En EE. UU. la suplantación de identidad pasó de afectar a 18 millones a 23 millones de personas entre 2014 y 2018, afectando en este úlitmo año a casi el 10% de la población mayor de 16 años según el Departamento de Justicia. En ese momento se estimaba que las pérdidas por suplantación de identidad sumaban $15.100 millones, contemplando solamente el 70% de las víctimas.
El problema no se detuvo. El FBI emitió una alerta en octubre de 2020 para identificar usuarios víctimas de robo de datos desde setiembre de 2018 y un estudio publicado en marzo anterior por Giact, una firma estadounidense especializada en pagos y detección de suplantación de identidad, estima que en los últimos dos años casi 37% de los consumidores en EE. UU. fueron víctimas de este tipo de delito en 2019 y 2020. Para el 2023 la afectación podrían alcanzar los $635.400 millones.
Hasta su buzón de voz
En la mayoría de los casos las víctimas no se enteran sobre el uso fraudulento de su información hasta que una amistad les advierte o cuando revisan su cuenta bancaria. Según Giact la consecuencia inmediata es que la mitad de las víctimas rehúsan volver a usar los servicios de compra electrónica por medio de los cuales se efectuó el robo de datos.
Las empresas cuyos perfiles o sitios web fueron utilizados pierden clientes, al tiempo que se ven afectados en su reputación y en la imagen de la marca.
La principial recomendación para no ser víctimas de la suplantación de la indentidad es que las personas activen el doble factor de autenticación y los sistemas biométricos de seguridad, incluyendo los mecanismos de seguridad que los operadores móviles disponen para los buzones de voz y otras plataformas. “Los buzones de voz de las líneas telefónicas deben contar con la contraseña respectiva para impedir que los hackers ingresen”, recalcó Ramírez.
En el caso de los servicios Kölbi el mecanismo de seguridad para el buzón de voz es el código de acceso. Por defecto, todo casillero de voz se crea con la contraseña temporal 1234, la cual debe ser modificada por el cliente la primera vez que lo utiliza. Adicionalmente, el ingreso inicial al buzón y el cambio de contraseña podrán realizarse solamente llamando al 1190.
“Si el cliente no realiza el cambio de contraseña, no podrá acceder al servicio de consulta remota del casillero de voz. Esta medida se estableció para garantizar la seguridad del servicio”, afirmó Isaac Vargas, jefe de la unidad de productos y servicios de telecomunicaciones del Instituto Costarricense de Electricidad (ICE).
Movistar actualiza constantemente los protocolos de consulta a los mensajes de voz, así como a las demás plataformas. Para el acceso al buzón de voz se utiliza la clave personalizada y solamente se puede realizar desde el número telefónico del suscriptor.
La firma recordó que se debe desconfiar de todo tipo de mensajes que provengan de números desconocidos, especialmente aquellos que lleguen vía SMS, redes sociales e incluyan enlaces a los que haya que dar clic. “Esos mensajes se deben borrar de inmediato. Acceder a esos enlaces pueden descargar malware (código malicioso) en el teléfono exponiendo al usuario a estafas o al hackeo de su terminal”, advirtió Marianella Cordero, vocera de Movistar.
Aníbal Pérez, gerente senior de seguridad corporativa de Scotiabank, insistió que un ciberdelincuente puede utilizar la información de la víctima para realizar compras no autorizadas, retirar dinero, cambiar los datos de la cuenta o comunicarse con los contactos para engañarlos a nombre suyo indicando que le robaron durante las vacaciones y que si le pueden transferir dinero. El ciberdelincuente obtiene dinero y también puede hackear las cuentas de correos electrónicos de las otras personas.
No son las únicas formas de fraude que se están utilizando. Hay estafas con ofertas falsas de compra en línea (donde el comprador hace la transferencia, pero nunca le llega el producto), de búsqueda de empleo (al aplicante se le pide que proporcione información personal como parte del proceso de contratación) y a nombre de marcas reconocidas a nivel global o local.
En todo caso, de la misma forma que usted no dejaría que una persona desconocida ingrese a su hogar o la caja de empresa, no responda mensajes no solicitados ni entregue sus claves y cuentas bancarias. Con esa simple norma puede evitarse muchos problemas.
| Cómo defenderse |
|---|
| Medidas básicas para evitar ser víctima de suplantación de identidad: |
| No brinde sus datos: ninguna entidad le pide datos de cuentas y contraseñas, por lo que debe desconfiar y no acatar si alguien se comunica con Usted o le envía un link para que digite esa información. |
| Identifique el intento de fraude: el ciberdelincuente utiliza un lenguaje impersonal, mientras sus amistades se identifican y se comunicarán con Usted de forma personalizada y como siempre acostumbran. |
| Identifique el sitio web falso: realice búsquedas a través de Google u otra plataforma para confirmar si es el sitio web correcto, la dirección electrónica, el uso del candado (verde), otros signos de seguridad usuales, la apariencia, logos y otras características del sitio web. |
| Utilice doble autenticación y biometría: active sistemas de doble autenticación y sistemas de acceso biométrico a sus dispositivos, aplicaciones y servicios en línea. |
| Cambie contraseñas: utilice claves robustas y difíciles de adivinar, cámbielas periódicamente, y aproveche mecanismos de acceso actualizados, incluyendo llaves de paso a su buzón de voz. No se las suministre a nadie. |
| Denuncie: avise a sus contactos y clientes si suplantaron y secuestraron sus cuentas de redes sociales o de mensajería instantánea, así como realice la denuncia en la plataforma (las redes sociales tienen procedimientos para tal efecto) y ante el Organismo de Investigación Judicial. |
| Fuente: Cenfotec, Kaspersky, Scotiabank, ICE y Movistar |
