Índice
El mejor contenido en tu bandeja de entrada
El aumento de los delitos de suplantación de identidad ha venido acompañado por un auge de las transacciones digitales. Si bien la usurpación también tiene lugar en entornos físicos, la gran mayoría de estos hechos delictivos se dan en internet. El medio siempre es el mismo: hacerse pasar por otra persona falsificando documentación o robando claves.
¿De quién es la culpa? Muchos se preguntan acerca de sobre quién recae esta responsabilidad cuando la suplantación ha provocado un daño a una parte. En este artículo analizaremos en profundidad los sistemas de autenticación implementados por las empresas para prevenir estas prácticas y qué pueden hacer los usuarios por su parte para evitar que utilicen sus cuentas en su nombre sin consentimiento.
¿Qué es la suplantación de identidad?
La suplantación de identidad es un término utilizado generalmente por los profesionales de la informática para referirse a los ataques consistentes en la utilización de factores de autenticación para acceder a cuentas de clientes sin el permiso de estos. El objetivo de estos ataques es el de robar información, productos, servicios o incluso dinero.
La falsificación de datos de diversas características es uno de los principales problemas de cara al acceso online, pues es la llave para que los atacantes sorteen los sistemas de verificación de identidad menos seguros. La suplantación de identidad también es conocida como usurpación, spoofing o robo de identidad.
Por otro lado, también podemos decir que una identidad ha sido suplantada cuando se crea un perfil falso desde cero en, por ejemplo, una red social o una cuenta de correo electrónico. Suelen utilizarse imágenes e información que son públicas en la red para dar el pego y hacerse pasar por una persona o empresa. Aunque puede ocasionar agravios muy importantes en términos de imagen - como se establece en la Ley de Marcas - o difamación, aún así no llegará más allá de este tipo de consecuencias. Con esto no es posible lograr el robo de una cuenta propia o autorizar accesos a plataformas de diversas índoles.
El verdadero agravio llega en los momentos en los que los delicuentes acceden a plataformas y herramientas que constituyen un factor de autenticación exigido para poder operar en, por ejemplo, a través de una cuenta bancaria. Un claro ejemplo de esto es el SIM Swapping.
Esto puede ocurrir a través de técnicas de phishing o de la liberación de virus por parte de los hackers. Sin embargo, en muchas ocasiones es aún más sencillo: algunas empresas no han terminado por implementar controles anti-fraude que verifiquen correctamente la identidad de sus usuarios y clientes, por lo que hacerse pasar por ellos no entraña gran dificultad.
¿Durante cuánto tiempo tiene lugar una suplantación de identidad? Bien, pues esto depende de muchos factores: desde la habilidad del atacante para falsear comportamientos no sospechosos hasta los controles que han establecido las empresas para detectar intentos de fraude. Más adelante en este artículo, exploraremos esto, pero primero veamos con un poco más de detalle los tipos de suplantación y cómo las leyes penan estos comportamientos ilícitos.
Delito de usurpación, pena y tipos
En el área de IT y de seguridad de redes, los profesionales categorizan los ataques en relación al tipo de medio que se ha utilizado para poder acceder a un sistema de forma fraudulenta. De esta forma hablamos de suplantación de identidad de distintos tipos, entre los que destacan:
- Usurpación de correo electrónico: En muchas ocasiones se realiza simplemente obteniendo usuario y contraseña por diversos métodos y en otras se utiliza un servidor SMTP para enviar spam de forma masiva.
- De ubicación o GPS: Muchas compañías se animaron a lanzar métodos de autenticación basados en la ubicación, sobre todo para acceder a dispositivos inalámbricos ubicados en los hogares, aunque también se ha visto cómo dentro del recinto un smartphone no requerirá huella o pin. Estas señales GPS son falseadas y consiguen el acceso.
- Las enfocadas en las conexiones: Con base en el uso bajo cualquier protocolo, hay técnicas de smurf enfocadas en las IP, entradas a través de nombres DNS o las centradas en los routers suplantando ARP.
- Suplantación de páginas web: Podría confundirse con el phising pero su fuerte está en la redirección oculta hacia páginas a modo de proxy que o bien solicitan información o introducen un virus.
Este tipo de técnicas terminan con un fin claro: el acceso a un servicio de usuario sin consentimiento del propietario. El rédito económico después de la usurpación es el motivo por el que esta tiene lugar, ya sea para realizar una estafa o realizar operaciones encubiertas.
La suplantación es el delito de más rápido crecimiento en todo el mundo, muy por encima de los más conocidos. Su auge se debe a la democratización de internet y el empuje de los usuarios hacia las compras online. El delito de suplantación de identidad está tipificado en prácticamente todos los estados del mundo, con lugar en los códigos penales. El hecho en sí ya es un delito, pero lo que más sanción o pena acarrea es la acción realizada posteriormente: el robo de dinero, la obtención de información privada, etc.
Los peritos judiciales informáticos trabajan para obtener evidencia de lo ocurrido con la mayor trazabilidad posible. Gracias a soluciones digitales end-to-end y la implementación por parte de las empresas de controles de identidad a lo largo de todo el customer journey, esto es totalmente verificable y probable con rastro sellado por un partner de confianza.
La suplantación de identidad en bancos
Sí, el objetivo principal de los ataques de suplantación de identidad es el acceso a las plataformas bancarias. Sin lugar a dudas, es la forma más rápida y factible para robar capital a un usuario. Después de la banca tradicional, van todas las plataformas FinTech y de servicios financieros, así como por ejemplo las cuentas de trading y criptomonedas.
¿Por qué querría acceder un usurpador a tu banco? Está claro: para ordenar transacciones en tu nombre o hacer compras y autorizar pagos para obtener beneficios. Si bien gracias a la implementación de los estándares exigidos por la norma PDS2 - SCA, Strong Customer Authentication - este tipo de ataque se han reducido enormemente, aún siguen ocurriendo diariamente cientos de suplantaciones de identidad en bancos .
Las técnicas de usurpación de identidad de cara al acceso a las plataformas financieras más decisivas se centran en:
- La documentación de identidad (DNI, pasaporte, permisos, carnés…).
- La falsificación de la firma.
- El duplicado de tarjeta SIM.
- Clonado de tarjetas de débito y crédito.
- Obtención de PIN, contraseñas o acceso a emails.
Afortunadamente, los bancos están obligados a cumplir con las normativas AML y los estándares Know Your Customer. Esto significa que, si tu entidad bancaria o plataforma de servicios financieros o seguros ha integrado una solución de onboarding adecuada y procesos de autenticación de usuario seguros basados en el KYC, el riesgo de suplantación de identidad para acceder a tu cuenta bancaria es nulo.
Ahora, todas las entidades y empresas de la industria BFSI pueden acceder a softwares SaaS de verificación de identidad y firma electrónica que consiguen obtener tasas de riesgo cero en todo el ciclo de vida del cliente. Por otro lado, las empresas de la industria de las telecomunicaciones que también están integrando el KYC en sus procesos han eliminado por completo cualquier posibilidad de sim swapping.
Respecto a los cajeros automáticos, aunque aún no está muy extendido, ya es posible integrar verificación de identidad con biometría facial de controles KYC en ellos para el acceso, haciendo imposible la retirada de efectivo habiendo duplicado una tarjeta de crédito y obteniendo su PIN.
Cómo evitar la suplantación
Los principales controles de seguridad los deben establecer los bancos, plataformas o webs que utilizamos. Según estudios recientes, el 73% de los usuarios indica que tiene en cuenta la seguridad informática de una plataforma o banco para decidir hacerse cliente o usuario. Por ello, si durante el proceso de registro se nos exige que verifiquemos nuestra identidad con documentos oficiales y realicemos un vídeo de nuestro rostro - especialmente asistido por inteligencia artificial -, podemos estar tranquilos de que la seguridad implantada es de alto nivel.
Del mismo modo, tras el registro y de cara a una autenticación y acceso, si las credenciales y factores de autentificación están basados en ese primer registro (solicitud de la biometría facial y otros controles 2FA) el proceso de login es prácticamente infranqueable para cualquier atacante que desee suplantar nuestra identidad.
Más allá de los típicos consejos de elección de contraseñas o pins complejos y robustos, la mejor opción es configurar correctamente la autenticación en dos pasos o verificación de múltiples factores.
¿Cómo denunciar si he sido víctima de spoofing?
Muchos usuarios se preguntan qué hacer si ha ocurrido una suplantación de identidad. Siempre se debe denunciar. Muchos creen que serán más costosos los gastos derivados de la denuncia que la propia recuperación del dinero perdido, pero esto no es así. Lo primero que debe realizarse es la comunicación a tu entidad financiera o plataforma bancaria, presentando la denuncia y aportando toda la información y pruebas posibles.
Muchas de ellas ya cuentan con softwares que permiten trazar toda la actividad, lo que ayudará en el caso y aportará más pruebas e información. Además, si se te ha comunicado rápidamente la transacción vía comunicación certificada, hay operaciones reversibles en ciertos periodos de tiempo, por lo que quizá no sea tarde para recuperar lo robado.
Las penas por suplantación de identidad van desde un mes hasta los cuatro años. Todo depende de factores sobre cuál ha sido el perjuicio para la víctima, si hay comportamientos reincidentes y de las cantidades robadas o estafadas. Últimamente se habla mucho sobre estafas y usurpaciones en torno a la herramienta de mensajería instantánea WhatsApp, sin embargo, no hay diferencias en lo que respecta a las denuncias, es un medio igual que otro cualquiera.