14 técnicas para robar tu identidad

Hay tres tipos de métodos comunes para el robo de identidad, según la Guía para Prevenir el robo de identidad del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): Aquéllos que se realizan de forma tradicional, sin acceso a internet; los que sin acceso a internet se apoyan de alguna herramienta tecnológica; y, finalmente, los que se realizan con acceso a internet.

ARTÍCULO: ¿Qué tan dispuesto estás a compartir tus datos personales?

El robo de identidad es un delito que cada vez es más común y ocasiona a las víctimas pasar por dolorosos y costosos procesos para combatir las consecuencias de la suplantación de identidad y los fraudes que se pueden derivar de ello.

El robo de identidad se realiza en dos pasos. Primero, alguien roba la información personal de la víctima. Segundo, el delincuente usa esa información para hacerse pasar por las persona y cometer los fraudes, a esto se le conoce como suplantación de identidad.

NOTICIA: ¿Cómo proteger tus datos personales en Facebook?

El robo de la información de identidad no es el aspecto más perjudicial del delito, sino lo que los presuntos delincuentes pueden hacer con esa información, sobre todo en casos relacionados con la identidad financiera de las víctimas: fraudes con tarjetas de crédito, estafas con préstamos hipotecarios y servicios, vaciar cuentas bancarias, entre muchos otros.

NOTICIA: Austeridad y poca especialización, enemigos de la protección de datos personales

Este es un delito que va en aumento en nuestro país y alcanzado niveles alarmantes. Según datos del Banco de México (Banxico) revelados en el 2015, México se colocó en el octavo lugar a nivel mundial donde este delito es más común, sólo en el 2016 la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), registró 78,788 posibles casos de este delito. En el apartado de los robos de identidad de manera cibernética, los fraudes son cada vez más complejos y sofisticados, ya que los actos ilícitos se cometen cada vez más por medios electrónicos. El Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta.

Para evitar ser víctima de estas prácticas delictivas, se deben tomar acciones y evitar los fraudes desde el paso uno, el robo de identidad. La Guía para Prevenir el robo de identidad del INAI ofrece a detalle descripciones de los métodos y prácticas más comunes empleadas para poder robar la identidad y posteriormente suplantarla.

Métodos sin acceso a internet

El uso de estas técnicas implica que ni la victima ni el estafador hacen uso en algún punto del acceso a internet y se basan en la sagacidad del estafador y en los descuidos de las víctimas. Hay seis técnicas descritas por el INAI en este apartado:

1. Ingeniería social

Es una técnica utilizada para obtener información a través de la interacción social, la manipulación y el engaño, y ocurre, típicamente, en conversaciones directas entre el delincuente y la víctima. El estafador consigue que su víctima no se dé cuenta cómo ni cuándo dio todos los datos necesarios para el robo de su identidad.

En esta práctica se recurre a la manipulación de la psicología humana mediante el engaño. El delincuente actúa a partir de la premisa de que, en la cadena de seguridad de la información, el ser humano es el eslabón más débil debido a que la víctima es la que otorga su información.

Algunas formas de ataque que incluyen ingeniería social son: el pretexting y la extorsión telefónica.

Pretexting: en esta variación de la ingeniería social, el atacante debe tener un estudio previo de la información de la víctima potencial, para así, crear y utilizar un escenario favorable con el objetivo de persuadir a una víctima y obtener información. El atacante puede acoplarse a una víctima específica de manera que aumenta la posibilidad de conseguir información o que la víctima realice acciones específicas a su voluntad.

Extorsión telefónica: en esta variación de la ingeniería social, el atacante realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, por ejemplo, un técnico de soporte o un empleado de alguna organización con el objetivo de obtener datos de la víctima. Es un modo muy efectivo y lo único que se requiere es un teléfono.

2. Observación

La observación es una técnica muy antigua que se centra en poner atención a las acciones que realiza la víctima y que son de interés para el atacante. El atacante debe guardar discreción para no ser descubierto, por esta razón, se auxilia utilizando herramientas destinadas al espionaje (por ejemplo binoculares, aparatos para escuchar a distancia, entre otros). El objetivo de esta técnica es obtener información preliminar para cometer ataques.

3. Shoulder surfing o espionaje por encima del hombro

Técnica derivada de la observación, la particularidad que tiene es que el espionaje a los usuarios se realiza de cerca, para obtener información confidencial. Sólo basta con permanecer observando sigilosamente por la espalda de la víctima las teclas que digita, el monitor o cualquier otro soporte de información que pueda ser de interés para obtener información. Esta técnica se utiliza comúnmente para obtener contraseñas, números PIN, códigos de seguridad y datos similares.

4. Eavesdropping o parar la oreja

Esta técnica se trata de explotar el sentido del oído para capturar información privilegiada cuando se está cerca de conversaciones privadas. Por ejemplo, cuando un administrador de sistemas le comenta a un ejecutivo cuál es la clave que puso en una aplicación crítica.

5. Dumpster diving

Es una técnica que se centra en buscar información valiosa en la basura. Tirar cualquier tipo de documentos sin un debido proceso de destrucción es una práctica que puede resultar riesgosa, pues se pueden rescatar de la basura datos importantes contenidos en documentos desechados sin ser destruidos previamente

6. Asalto al buzón de correo

Es un delito centrado en el robo de la correspondencia que se encuentra en los buzones de correo sin seguro, de los cuales se pueden sustraer documentos con información valiosa (estados de cuenta bancarios o de tarjetas de crédito, o cualquier otro documento).

Sin acceso a internet y con apoyo de alguna herramienta tecnológica

En esta categoría, se recopilan las técnicas que no requieren tener acceso a un punto de conexión de internet, pero que se refuerzan con la ayuda de algún dispositivo electrónico. Dentro de estas técnicas hay tres descritas por el INAI en este apartado:

1. Skimming o clonación de tarjetas (crédito o débito)

Esta técnica consiste en realizar una copia de una tarjeta sin el consentimiento del dueño. Los estafadores utilizan diferentes tipos de dispositivos electrónicos (clonadoras) programados para guardar los datos contenidos en la cinta magnética (número de tarjeta, fecha de vencimiento, código valor de verificación, banco, nombre del titular), para posteriormente reproducir o clonar la tarjeta en un plástico diferente. Este método sólo puede ser utilizado en el momento en que la víctima realiza una transacción con su tarjeta.

2. Vishing

Es una práctica criminal fraudulenta realizada por teléfono, en la cual a través de ingeniería social se pretende obtener información. El término vishing es una combinación de las palabras voice (voz) y phishing (método de suplantación de identidad). En un intento de vishing, el estafador llama pretendiendo ser miembro de algún corporativo y para informar sobre actividad sospechosa reportada en las cuentas de la víctima. Basándose en esta mentira, envuelve a la víctima para que ésta verifique información por teléfono.

3. SMiShing

Consiste en una variante fraudulenta del phishing, donde a través de técnicas de ingeniería social se realizan envíos selectivos de mensajes SMS dirigidos a usuarios de telefonía móvil con el fin de que visiten una página web fraudulenta. Mediante reclamos atractivos con alertas urgentes, ofertas interesantes o suculentos premios, tratan de engañar al usuario aprovechando las funcionalidades de navegación web que incorporan los dispositivos móviles actuales.

Con acceso a internet

Lo único que se necesita para aplicar alguna de estas cinco técnicas descritas por el INAI, es que el usuario haga uso de alguna aplicación, alguna plataforma en internet o acceda a un correo electrónico:

1. Spam

Se puede considerar como spam a cualquier mensaje de correo electrónico enviado a varios destinatarios que no solicitaron tal mensaje, también llamado correo electrónico basura; un mensaje de spam debe cumplir con varios aspectos: ser enviado de forma masiva, ser un mensaje no solicitado por el usuario y tener contenido engañoso (habitualmente de tipo publicitario).

Una vez que el usuario accede al contenido engañoso provisto por el spam, se pueden presentar dos escenarios, el primero, cuando el usuario es direccionado a una página web controlada por el atacante en donde mediante el llenado de formularios proveerá información personal que posteriormente se utilizará para cometer un fraude; el segundo escenario se presenta cuando el usuario descarga el contenido adjunto al spam, lo que se traduce en una invasión a su equipo de cómputo mediante un virus que roba la información del dispositivo.

2. SPim

Es un caso específico de spam a través del cual se envían mensajes instantáneos cuyo contenido puede incluir spyware, registradores de pulsaciones, virus, vínculos a sitios de phishing o invitaciones para suscribirse a servicios o promociones falsas mediante el envío de mensajes instantáneos a un servidor controlado por el atacante, cuyo objetivo es tomar el control de la lista de contactos para suplantar la identidad del afectado.

3. Registradores de pulsaciones

Un registrador de pulsaciones es una forma de software espía que guarda las letras que fueron pulsadas en un documento de texto. Cuando un usuario que tiene este software instalado está navegando en la web, visitando sitios de comercio electrónico o banca electrónica, el registrador de pulsaciones puede registrar los caracteres digitados. Este software es una combinación cuidadosamente elaborada en formato HTML, en la que entre las hojas de estilo, capas, cuadros de texto y objetos de contenido, un usuario al estar escribiendo, lo hace en un marco invisible controlado por un atacante.

4. Phishing o suplantación de identidad

Es una estafa en línea, a través de la utilización de spam, sitios web falsos, mensajes de correo electrónico, mensajes instantáneos, cuya finalidad es obtener de los usuarios de internet información confidencial, tales como contraseñas o información detallada sobre tarjetas de crédito u otra información bancaria. El término proviene de la palabra fishing (pesca) y hace alusión a pescar usuarios para obtener información financiera y sus contraseñas. Los autores del fraude, conocidos como phishers simulan ser empresas legítimas, y pueden utilizar el correo electrónico para solicitar información personal e inducir a los destinatarios a responder a través de sitios web maliciosos.

Los phishers suelen utilizar tácticas alarmistas o solicitudes urgentes para tentar a los destinatarios a responder. Los sitios de robo de identidad parecen sitios legítimos, ya que tienden a utilizar las imágenes de Copyright de los sitios legítimos; sin embargo, no incluyen el protocolo seguro de transferencia de hipertexto (identificado en las direcciones electrónicas como el https://). Los mensajes fraudulentos generalmente no están personalizados y es posible que compartan propiedades similares, como detalles en el encabezado y en el pie de página.

5. Pharming

Es una vulneración que tiene la finalidad de redirigir a un usuario de internet que navega en páginas web a una página falsa diseñada para robarle información personal. A diferencia del phishing, el pharming está programado para atacar al equipo de la probable víctima; hace que la navegación web se redireccione a servidores plagados de sitios controlados que tienen un aspecto similar al que el usuario trata de ingresar, es decir, cuando la víctima introduce una dirección electrónica correcta, ésta es enrutada o redireccionada hacia el servidor del atacante. En pocas palabras, el pharming es una granja de víctimas.