El robo de identidad como fraude al consumidor

El robo de identidad (Identity theft o «ID theft») se produce cuando una persona adquiere, transfiere, posee o utiliza información personal de una persona física o jurídica de forma no autorizada, con la intención de efectuar o vincularlo con algún fraude u otro delito.  

Tal como señala Wikipedia, el robo de identidad o usurpación de identidad constituye básicamente  la apropiación de la identidad de una persona, pudiendo señalarse a título de ejemplo como conductas más representativas las siguientes: hacerse pasar por esa persona, asumir su identidad ante otras personas en público o en privado, en general para acceder a ciertos recursos o la obtención de créditos y otros beneficios en nombre de esa persona.

Por otro lado, el robo de identidad también es utilizado con el fin de perjudicar a una persona, es decir, difamarlo o manchar su nombre con diversos fines que el criminal busque. El caso más común hoy en día se da cuando un atacante, por medios informáticos o personales, obtiene su información personal y la utiliza ilegalmente.

El robo de identidad es el delito de más rápido crecimiento en el mundo. Hasta no hace mucho tiempo, cuando un ladrón robaba la billetera o porta documentos, el dinero era lo único que pretendía.

Con el tiempo, los datos de los documentos de identidad como, por ejemplo, la tarjeta de crédito, la tarjeta de débito, los cheques y cualquier otro documento que contenga los datos personales se han vuelto muy importantes.

En el transcurso de cualquier día, esta información se divulga al hacer transacciones en persona, por teléfono y online para efectuar la compra de productos y servicios. Si esta información confidencial cae en manos de un delincuente, podría utilizarse para robar la identidad financiera y realizar muchas de las actividades en nombre del titular. Nadie está a salvo de este delito, ni puede tenerse la certeza de que nunca ocurrirá.

Lo importante es conocer los métodos existentes para reducir las probabilidades de que ocurra y las medidas a tomar en caso de que ocurra. Lamentablemente, la mayoría de las personas no se enteran que han sido víctimas de robo de identidad hasta que solicitan un crédito y se los niegan, quieren contratar el servicio de telefonía celular y no pueden y en la mayoría de los casos, cuando aparecen cobros sospechosos en los resúmenes de las tarjetas de crédito.

Con el desarrollo de las nuevas tecnologías, el robo de identidad se ha convertido en la modalidad delictiva que más ha crecido en los últimos años. En el año 2014, en España se denunciaron 117 delitos de suplantación de identidad.

Tal como pone de manifiesto Norton, el año pasado, la Comisión Federal del Comercio de los Estados Unidos recibió más de 250.000 reclamaciones sobre identidades robadas. Pero esta cifra representa únicamente los casos que fueron denunciados.

El robo de identidad es la principal denuncia de los consumidores que se presentan ante la Comisión Federal del Comercio. Por supuesto, el robo de su información de identidad no es el aspecto más perjudicial del delito, sino lo que el delincuente hace con esa información.

También debe tenerse presente que el robo de identidad no constituye un fenómeno nuevo. Microsoft ha señalado que los ladrones siempre han encontrado maneras de apropiarse ilegalmente de la información personal mediante engaños (también conocidos como ingeniería social), robando el correo de los buzones e incluso revisando los cubos de basura. Ahora que el robo de identidad se ha trasladado a Internet, los delincuentes pueden engañar a una mayor cantidad de personas, lo que lo hace mucho más rentable.

El robo de identidad es un proceso que se realiza en dos pasos. En primer lugar, alguien roba la información personal. En segundo lugar, el ladrón utiliza esa información para hacerse pasar por una persona concreta y determinada y cometer el fraude.

Es importante comprender este enfoque de dos pasos, ya que llevar a cabo un ejercicio defensivo adecuado ante tales situaciones, que debe operar frente a ambas situaciones.

El acceso no autorizado a los datos personales puede llevarse a cabo por diversos medios tal como pone de manifiesto UNAM-CERT, entre los que se encuentran los siguientes:

a). Dumpster diving (buceo de basurero): Se refiere al acto de husmear entre la basura, de esta manera se pueden obtener documentos con información personal o financiera de una persona.

b). Pretextos: Estos se presentan cuando un supuesto representante de una institución financiera, de una compañía de teléfonos o algún otro servicio, pregunta por información de la cuenta del cliente.

c). Shoulder surfing (espiar por el hombro): Se refiere a la acción de ver u observar por encima del hombro, o desde lugares muy próximos, justo en el momento en que la víctima ingresa su PIN (Personal Identification Number) en un cajero automático o realiza algunas otras operaciones en la computadora.

d). Skimming : De las cintas magnéticas de las tarjetas de crédito o débito se realiza la captura de datos personales; dichos datos son copiados y transmitidos a otro lugar para hacer «tarjetas de crédito o débito» fraudulentas.

e). Robo de registros de negocio: se refiere al robo de datos de un negocio (por ejemplo archivos o documentos), y por medio de sobornos obtener información de la organización.

 

Los principales métodos empleados por los delincuentes para adquirir información personal de las víctimas en línea son:

a). El diseño y uso de software para recolectar información personal, el cual es instalado silenciosamente en computadoras o dispositivos móviles. Por ejemplo: malware.

b). El uso de correos electrónicos o sitios Web falsos para engañar a las personas haciendo que éstas revelen información personal. Por ejemplo: phishing y spam.

c). Comprometer computadoras o dispositivos móviles para obtener datos personales.

Desde la Oficina de Seguridad del Internauta se señala igualmente que los principales medios empleados por los delincuentes para adquirir información personal de las víctimas utilizando Internet son, entre otros, los que se citan a continuación:

a). Crear un tipo de virus que se instale en el ordenador o móvil y que recopile información personal, sin que el usuario sepa que está ahí o conozca su verdadero fin.

b). Mediante la llamada “ingeniería social”, la cual consiste en manipular al usuario para que proporcione sus datos aprovechando la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones (dar detalles financieros a un aparente funcionario de un banco, proporcionar una contraseña a un supuesto administrador del sistema…). La forma más común de ingeniería social es a través de correos electrónicos o sitios web falsos, que tengan la misma apariencia que la entidad que se pretende suplantar.

Desde dicha Oficina se proporcionan una serie de consejos sumamente valiosos a los efectos de paliar este tipo de situaciones. Así, se  indica que la identidad de una persona está formada por sus datos personales como el nombre, teléfono, domicilio, fotografías, número de la seguridad social, números de cuentas bancarias… En definitiva, cualquier dato que permita identificar a esa persona.

Como daños producidos más comunes, debe tenerse en cuenta que con la información obtenida se pueden realizar numerosas actividades fraudulentas, por ejemplo:

a). Generar pérdidas económicas: Si se han obtenido los datos de la cuenta bancaria, los ladrones pueden sustraer cantidades económicas de la cuenta o realizar compras y cargar la cantidad en la cuenta de la víctima.

b). O suplantar la identidad de la víctima: Bien sea creando una cuenta nueva, o modificando la contraseña de acceso del usuario a alguna de sus cuentas, para que la víctima no pueda tener control sobre ella y únicamente pueda acceder el atacante. De esta forma se pretende realizar lo que comúnmente se denomina ciberacoso o ciberbullying, la finalidad es generar diferentes tipos de contenidos en nombre de la víctima, con la intención de que el resto de usuarios de ese servicio -correo electrónico, red social, blog…- se formen una idea negativa de la víctima, aunque también hay casos de ciberacoso en que se chantajea al usuario legítimo, si desea recuperar su cuenta.

En este caso, aunque no haya una pérdida económica, la suplantación de identidad puede ocasionar, como antes se indicó, problemas de credibilidad y afectar a la reputación de la víctima.

Para Master Card, el robo de la identidad implica obtener información acerca de la identidad de otra persona sin su consentimiento, con el propósito de hacerse pasar por esa persona y cometer fraude. La mejor defensa contra el robo de identidad consiste en prevenir que la información llegue a los defraudadores.

Por dicha Compañía se  ofrecen algunas recomendaciones:

a). Nunca hay que perder de vista su cartera o su billetera; hay que resguardar la información todo el tiempo.

b). Firmar las tarjetas de crédito y débito con tinta permanente tan pronto como se reciban de la institución financiera.

c). Llamar a la institución financiera si no recibe las tarjetas nuevas o la renovación de las últimas vigentes en la fecha que esperaba recibirlas.

d). No llevar la partida de nacimiento ni el pasaporte en la cartera o billetera a menos que sea absolutamente necesario.

e). Hay que cancelar toda cuenta inactiva relacionada con las tarjetas.

f). Nunca hay que tirar los tickets en cestos de basura de la vía pública. Cuando se tiren los tickets o estados de cuenta viejos, hay que asegurarse de destruir las partes donde aparece el número de cuenta.

g). Revisar y verificar frecuentemente los estados de cuenta para asegurar que reflejan correctamente la actividad en la cuenta.

h). No escribir el número de cuenta de la tarjeta de crédito o débito en un cheque, ni hay que usarlo como identificación cuando se utilice otro medio de pago.

i). Nunca hay que proporcionar información bancaria ni de las tarjetas por teléfono, aunque sea el propio consumidor quien haya iniciado la llamada, a menos que por el mismo se  pueda verificar satisfactoriamente que la llamada es legítima y que hay una necesidad verdadera de divulgar dicha información.

j). Mantener una lista de todas las cuentas bancarias y de crédito en un lugar seguro, para que el consumidor pueda llamar rápidamente a los emisores e informarles del robo o extravío de sus tarjetas. Hay que incluir el número de teléfono del centro de atención al cliente

k). Tomar nota de la fecha en que llegan cada mes los estados de cuenta. Si se dejara de recibirlos inesperadamente, hay que avisar a la institución financiera de inmediato.

 A los efectos de prevenir el fraude en las compras en línea, desde Master Card, igualmente, con mucha ponderación se efectúan las siguientes recomendaciones, que pasa en primer término por asegurarse siempre de hacer negocio con comerciantes de Internet respetables. Es necesario buscar la siguiente información en el sitio web del comerciante para verificar su reputación

a). Política de privacidad: todo sitio web de buena reputación contiene una política explícita acerca de la privacidad del cliente, en un lugar fácilmente accesible. 

b). Información acerca de la oferta: informarse lo más posible acerca de la oferta, inclusive la fecha de entrega, condiciones de garantía, política de cancelación, etc.

c). Información acerca del comerciante: averiguar la dirección física y el número de teléfono del comerciante.

d). Seguridad: los sitios web de empresas serias suelen ofrecer información acerca de cómo protegen la información financiera del cliente transmitida y archivada.

e). Guardar su información personal. No proveer información que no se sienta cómodo de divulgar. Nunca hay que revelar a nadie la contraseña que se utiliza para registrarse con el proveedor de servicio de Internet ni de cuenta bancaria en línea 

f). Mantener el archivo de transacciones. Imprimir toda la información acerca de las transacciones en línea y guardarla en un lugar seguro para un uso posterior si es necesario.

g). Asegurarse que el comerciante tenga medidas de seguridad adecuadas. Buscar un ícono representando una llave o un candado cerrado en la parte inferior de la ventana del sitio web: éste indica que el sitio es seguro. Si no se puede convencer de la seguridad del sitio, no hay que enviar alguna información de pago por Internet.

Para Microsoft se puede aprender a reconocer un fraude de esta naturaleza familiarizándose con algunos de los signos delatores  de los mismos. Así, dichos actos criminales pueden incluir los siguiente aspectos típicos:

a). Mensajes alarmistas y amenazas de cierre de cuentas.

b). Promesas de dinero a cambio de poco esfuerzo o sin esfuerzo alguno.

c). Negocios que suenan demasiado buenos para ser reales.

d). Solicitudes de donaciones a organizaciones de caridad después de noticias sobre alguna catástrofe 

e). Errores de gramática o de ortografía.

Por todo ello, Velasco recomienda que si cualquier persona ha sido sido víctima de un robo de identidad o se sospecha que algo no funciona bien se debe actuar rápidamente pero sin perder la calma. Si aún se tiene acceso al servicio, ello supone que las credenciales siguen valiendo, es el momento de cambiar las contraseñas de todos los servicios a una que no guarde un patrón similar y que, además, no contenga cadenas de caracteres significativas (apellidos, nombres, ciudades, fechas de nacimiento, etc).

Dentro de lo malo, sería el escenario más favorable puesto que se podría atajar el problema de manera autónoma, eso sí, bueno es revisar las cuentas para verificar las publicaciones realizadas. De hecho, se debería actuar de esta manera si la contraseña se viese expuesta por cualquier motivo a cualquier riesgo, aunque no haya indicios de que se haya producido efectivamente de robo o suplantación de identidad.

En el peor de los casos se podría estar sin acceso a la cuenta de correo y/o a cualquiera de los perfiles sociales. En tal caso se tiene que mantener la calma y abordar el problema desde dos frentes: recuperar el control de las cuentas, y acto seguido, poner el caso en conocimiento de las autoridades

Para poder recuperar el control de las cuentas, prácticamente, todos los servicios tienen publicado un procedimiento que regula cómo contactar con los responsables del servicio para informar de la pérdida del control de la misma, solicitar una suspensión temporal de la actividad de dicha cuenta o volver a recuperar el control de esta.

Consecuentemente con lo expuesto, y debido a la dificultad y costo que representa para las autoridades rastrear delincuentes y estafadores cibernéticos, el mejor mecanismo para evitar el robo de identidad es a través de métodos educativos y preventivos, por ejemplo, estar bien enterados e informar acerca de los peligros de este delito para incrementar la concienciación en la sociedad.

Noticias Relacionadas:

«Es de chiste»: la rampa del local de Pablo Iglesias, la Taberna Garibaldi, vulnera por completo la normativa

El cartel de «solo en efectivo»: cada vez más frecuente y legal

El Supremo anula parte del Real Decreto que limita la publicidad de las apuestas online

Descárgate la Checklist “Principales funcionalidades tecnológicas para procuradores”

¿Es posible reactivar una sociedad disuelta? 

‘Stalkear’ a la nueva pareja de tu ex: una curiosidad que puede conllevar pena de prisión