Suplantación de identidad, cómo me puedo cuidar

Muy al contrario de lo que mucha gente piensa, que porque no tiene nada que esconder, o creen que su vida no es muy interesante o piensan que no tienen nada que le roben; creen que son razones de peso por las cuales no hace falta que protejan su información de los ciberdelincuentes.

En este artículo explicaré cuáles son las motivaciones que tienen los ciberdelincuentes y por qué el robo de información, a pesar de que tu perfil personal parezca poco atractivo, puede costarte muy caro si no proteges tus dispositivos y cuentas de redes sociales como se merece.

Empecemos por el principio.

¿Qué es la identidad?

Para poder definir identidad, se deben incluir algunas características fundamentales que son consideradas datos personales: nombre, teléfono, domicilio, fotografías, huellas dactilares, números de licencia, seguro social, pasaporte, información financiera o médica, etc.

También se deberá tomar en cuenta la realidad social de cada individuo, la cual es responsable de definir actitudes, temperamentos, modos, rutinas y particularidades que hacen que cada persona sea quien es.

 

¿Qué es el robo de identidad?

El robo de identidad es un delito que consiste en la sustracción de los datos personales de una persona, para su uso malintencionado, los cuales pueden ser:

·         Comprar artículos con las tarjetas de crédito de la víctima

·         Obtener nuevas tarjetas de crédito

·         Abrir cuentas de servicios públicos o privados a nombre de las víctimas

·         Obtener acceso a familiares o amigos de la víctima para usar su perfil como puente para poder llegar a otras víctimas.

¿Cuáles métodos usan los ciberdelincuentes para robar la información de sus víctimas?

En esta sección explicaré un poco cómo funcionan algunos de los métodos que usan los delincuentes para extraer información sensible de sus víctimas, más adelante explicaré cómo detectarlos y cómo protegerse ante ellos.

• Llamadas telefónicas: Este es uno de los métodos más antiguos usados por los delincuentes para el robo de los datos personales. Algunas de las excusas que usan los delincuentes para comunicarse son:
• Que ha ganado un premio, pero para poderlo hacer efectivo, debe realizar un depósito por gastos legales para que esta recompensa pueda ser acreditada.
• Bloqueos en transacciones de tus cuentas bancarias
• Llamadas de un “familiar” que se encuentra en el extranjero y que necesita que por favor le ayuden con un pago porque si no (inserte la excusa que prefiera: lo van a echar de su casa, no va a poder comer por un mes, no tiene los pasajes para devolverse a su país, le robaron el pasaporte y todos los documentos y no tiene dinero para poder ir al consulado de su país, etc).
• Llamadas por parte del Ministerio de Hacienda que indican que la firma digital o la llave criptográfica expiró y debe ser renovada (el estafador brinda acceso al usuario a un sitio web falso para capturar los datos de la víctima).

Es importante mencionar que muchos delincuentes enmascaran el número de teléfono real, para que el que usted, como víctima, mira cuando reciba la llamada, sea el teléfono real de la entidad desde la que supuestamente le están realizando la llamada.

Ante cualquiera de estas situaciones que se le presenten, cuelgue la llamada de forma inmediata, no bromee con el atacante, usted como víctima no sabe cuanta información sobre usted tienen estos delincuentes.

• Pérdida de la billetera o cartera: Tenga siempre a la vista y a la mano su billetera o cartera, recuerde que en ella se encuentran su número de cédula, dinero en efectivo y tarjetas de débito o crédito a los que, ahora no hace falta presentar la cédula para poder usarlas.

Nota: en Costa Rica, todas las tarjetas de débito o crédito pueden ser usadas a través del pago sin contacto, sin ningún tipo de medida adicional de seguridad hasta los 30.000 colones, monto a partir del cual, algunos datáfonos y algunas tarjetas de débito o crédito, solicitan el PIN de la tarjeta. El propio Banco Central de Costa Rica ha recordado a los tarjetahabientes que ya no es necesario presentar la cédula a la hora de realizar los pagos sin contacto, es por esta razón que la recomendación principal en caso de pérdida de la billetera o cartera es la de llamar a los bancos y solicitar el bloqueo inmediato de sus tarjetas.

• Instalación de dispositivos de espionaje: La interceptación de los datos es un método más complejo y costoso, pero no por eso, menos utilizado, estos incluyen dispositivos que se instalan en la boquilla de la tarjeta de crédito o débito de los cajeros automáticos y un teclado adicional para el robo de los datos de la tarjeta y el PIN, ataques en redes inalámbricas mediante el uso del Wi-Fi o Bluetooth (estos son más comunes en hoteles y aeropuertos) para la descarga de fotografías, capturas del teclado, patrones de desbloqueo, etc.
• Hackeo de dispositivos electrónicos de la víctima: La descarga de software ilegal, o desde sitios de dudosa procedencia, en la mayoría de las ocasiones, es la responsable de que se den este tipo de situaciones, en las que una computadora o un celular, puede ser fácilmente infectado con una aplicación maliciosa, que en el menor de los casos lo “único” que haga, sea molestar a un sitio web específico para que colapse (ataque DDOS); hasta bloquear los datos del dispositivo, con el fin de solicitar una recompensa por los mismos (ransomware).
• Phishing: Esta es una de las herramientas más comunes que tienen los delincuentes para obtener la información de sus datos y en la mayoría de los casos consiste en el envío de correos electrónicos de supuestos sitios web oficiales, que invitan al usuario a que inicie sesión en una plataforma, para que pueda “solucionar” un problema que en realidad nunca tuvo. Algunos ejemplos de correos falsos que hay son:

• Por parte del proveedor de correo electrónico que indica que hay un problema con su cuenta (normalmente no indican qué problema es) y que debe iniciar sesión para corregirlo.
• Por parte de Netflix” (o su plataforma de streaming favorita, incluso aquellas de las que usted ni tenía idea que existían) que advierten que hubo un error con el pago y que debe hacer clic en el botón que el mismo correo tiene, para que pueda colocar los datos de su tarjeta de crédito y así corregir el error (por supuesto, no lo hagan, el botón lleva a un sitio web falso que lleva los datos de la tarjeta de crédito direcatmente a los delincuentes)
• Por parte del banco (sea usted cliente o no de él), en donde le indican que hubo un error con una transacción o un SINPE Móvil (ahora que se han popularizado tanto) y que debe iniciar sesión en el botón que ellos en el mismo correo proporcionan (de nuevo, no lo haga, es un sitio web falso) para que pueda corregirlo.

 

         Entre muchas otras excusas.

En la sección ¿Cómo reconocer un intento de robo de identidad? Explicaré algunas consideraciones que se deben tener en cuenta para reconocer estos intentos de estafa.

 

• Espionaje de la vida privada de la víctima: A pesar de que lo hemos dicho hasta el cansancio, evite al máximo posible compartir eventos de su vida privada y si desea hacerlo, hágalo tiempo después de que el evento se haya dado, para confundir a los posibles stalkers que usted pueda tener.

OJO: A pesar de que stalkear a una persona, lo tengamos como una acción inocente y que todos, especialmente los más jóvenes, hemos hecho, con el fin de conocer mejor a una persona de la que nos han hablado, stalkear en muchas ocasiones, implica estar muy atento a cada movimiento de la víctima, al punto de conocer eventos importantes para esa persona (fechas de cumpleaños, fechas de graduación, ubicaciones del individuo y de la familia) o detalles de las posesiones personales del individuo (incluyendo televisores, equipos de sonido, vehículos, joyas, lujos y mucho más),  teniendo en cuenta esta información, los atacantes pueden realizar un trabajo de ingeniería social y con ayuda de la información gratuita y de libre acceso disponible a través de Internet, pueden obtener un perfil muy correcto de sus víctimas.

¿Cómo reconocer un intento de robo de identidad?

Una vez que hemos entendido algunos de los métodos que los ciberdelincuentes usan para contactar a sus víctimas, vamos a hablar un poco más en detalle sobre cómo reconocer los intentos de estafa, en mi caso he notado los siguientes comportamientos.

·         No se comunican con el nombre de la víctima: muchas veces se hacen pasar por encargados de instituciones bancarias, de Gobierno o servicios públicos o privados (Netflix, Spotify, Correos de Costa Rica, etc) y casi siempre, en la mayoría de los casos, no conocen el nombre de sus víctimas. Cuando son llamadas telefónicas, le dirán que le hablan de una institución y preguntarán su nombre. Por mensaje de texto, le dirán que hablan departe de una institución, pero no mencionan el nombre de la víctima en ninguna parte del mensaje. Y si es un correo, utilizarán la dirección de correo electrónico para comunicarse con usted, por ejemplo, si su correo es yperez@hotmail.com le escribirán de encabezado algo como “Estimado yperez”
·         Mala redacción y ortografía: Compare los correos oficiales contra los correos falsos, notará que faltan comas, tildes, habrá muchísimos errores ortográficos y gramaticales.
·         Invitaciones a hacer clic en botones y enlaces dentro del mismo correo: Notará que casi para el 100% de los casos, los correos invitan a hacer clic en un botón que se encuentra en el propio. Estos botones o links le llevarán a páginas web controladas y diseñadas por los atacantes para poder robar su información, que puede ser, usuario, contraseña, claves dinámicas o varios códigos de tipo Token.
·         Las cuentas de correo desde la que se reciben los correos no son auténticas: Los correos electrónicos oficiales, generalmente contaran con el nombre de la empresa, después del símbolo @, es decir, un ejemplo de una cuenta oficial para el Banco Nacional es: bncontacto@bncr.fi.cr que es, de hecho, la cuenta desde la cual el Banco Nacional notifica sobre los inicios de sesión.
·         Sentido común: Alguien dijo una vez que el sentido común es el menos común de los sentidos, pero bueno, procuraré explicarme de la mejor forma que pueda este punto:

1.       Ignore mensajes, correos electrónicos y llamadas de direcciones o números telefónicos que no conoce.

2.       Las entidades bancarias nunca le solicitarán a usted como cliente su nombre u otros detalles personales como cuentas de banco, números de tarjeta, Pines, claves de acceso, token, claves dinámicas, nada. Si el banco le contacta, generalmente ellos se dirigirán a usted por su nombre.

3.       Prefiera siempre llamar usted personalmente al banco o visitar una sucursal cercana para realizar los trámites que su banco requiera de usted, antes que brindar sus datos, si le piden cualquier dato, desconfíe, diga que usted luego va al banco y cuelgue el teléfono.

4.       No haga clic en ninguno de los enlaces, o botones que vengan incluidos en los mensajes de texto o de correos, ni por curiosidad. Estos sitios web son maliciosos, pueden ser un simple formulario o pueden iniciar la descarga de un archivo malicioso, no confíe.

5.       Netflix no le pide que actualice la información de su tarjeta de crédito mediante correos electrónicos, Netflix le pide que se dirija a la página Netflix.com y en la sección de “Mi Cuenta” actualice sus datos de su tarjeta de crédito, no lo hace mediante un enlace o un botón, tenga cuidado.

6.       Si no ha participado en ningún concurso, no brinde datos. Si usted no está al tanto de que las compañías de las cuales usted es cliente, y le llaman para indicarle que ganó un concurso pero requiere que usted haga un depósito, cuelgue, es un intento de estafa.

Tenga en cuenta estas consideraciones, su vida digital estará mejor cuidada si sigue estos pasos.

Existen otras recomendaciones para protegerse de la ingeniería social, pero eso lo conversaremos en otro artículo.

Este es un ejemplo de un correo falso que cumple con algunas de las características mencionadas anteriormente. 

¿Qué hacen los ciberdelincuentes una vez que obtienen mi información?

Una vez que los delincuentes tienen su información la usan, principalmente, para realizar compras desmedidas, solicitar créditos personales o tarjetas de crédito a su nombre, para robarle todo su dinero.

 

¿Cómo me doy cuenta de que han robado mi identidad?

·         Revise constantemente sus estados de cuenta incluyendo sus tarjetas de crédito: si aparecen compras que no reconoce, llame de inmediato al banco para que reporten y bloqueen sus tarjetas.

·         Esté pendiente a los vouchers digitales: En Costa Rica, desde 2019 BAC ha venido implementado el uso del voucher digital para sus tarjetahabientes, desde entonces, el resto de entidades bancarias han ido implementado esta excelente medida de seguridad, si recibe un voucher que no conoce, revise su estado de cuenta primero (el Banco Nacional a veces tarda días en enviar el voucher digital) y si no reconoce dicha compra, llame al Banco inmediatamente. Recuerde que los Bancos tienen atención telefónica y vía WhatsApp las 24 horas del días los 365 días del año.

·         De repente encuentra un crédito que no conoce en alguna entidad bancaria de la que ya es cliente, o le llaman de un banco del que es cliente o no para cobrarle la primera mensualidad de su crédito.

¿Qué hábitos puedo cambiar para evitar que roben mi información?

·         Nunca abra correos que no sean de confianza ni entre a links que estos correos contengan.

·         Desconfíe de intentos de contactarle por WhatsApp, llamadas telefónicas y mensajes de texto; en la medida de lo posible, evite contestar.

·         Procure no compartir fechas de cumpleaños o fotos de cumpleaños de sus seres queridos, o si lo desea hacer, procure que sea días o semanas después del evento, para no revelar información que pueda ser importante para usted y que pueda ser aprovechada para robar su identidad mediante la ingeniería social.

·         No descargue software, música, películas o apks, de sitios web que puedan lucir extraños o de dudosa preferencia, estas descargas pueden contener software malicioso capaz de instalarse en sus dispositivos y conseguir así su información.

 

¿Qué puedo hacer si me robaron mi identidad?

Ponga la denuncia ante el Organismo de Investigación Judicial.

 

¿La ley costarricense ampara la protección de mis datos y cuáles penas y leyes existen?

En la sección VIII: Delitos informáticos y conexos, Artículo 230 – Suplantación de Identidad del Código Penal N° 4573 se establece:

Será sancionado con pena de prisión de uno a tres años quien suplante la identidad de una persona física, jurídica o de una marca comercial en cualquiera red social, sitio de Internet, medio electrónico o tecnológico de información.

 

 

 

(Así adicionado por el artículo 3° de la Ley N° 9048 del 10 de julio de 2012, "Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal")

 

 

 

(Así reformado por el artículo 1° de la ley N° 9135 del 24 de abril de 2013)

 

Así que sí, es penado por la ley costarricense.

 

Conclusiones:

En síntesis, hay muchas cosas que podemos hacer, lo mejor siempre será la prevención 

Referencias:

Gobierno de los Estados Unidos de América

https://www.usa.gov/es/robo-identidad

 

Comisión Federal de Comercio de los Estados Unidos de América

https://consumidor.ftc.gov/articulos/lo-que-hay-que-saber-sobre-el-robo-de-identidad

 

Sistema Costarricense de Información Jurídica:

http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_articulo.aspx?param1=NRA&nValor1=1&nValor2=5027&nValor3=96389&nValor5=215643

 

http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx?param1=NRTC&nValor1=1&nValor2=5027&nValor3=96389&strTipM=TC

 

Definición.De

https://definicion.de/stalkear/

 

Clarín

https://www.clarin.com/sociedad/que-significa-stalkear-y-que-hace-un-stalker_0_TPBnSoAE.html