Claves para identificar la suplantación de identidad en Internet

suplantacion identidad

En este artículo aprenderemos a identificar la suplantación de identidad, uno de los mayores peligros relacionados con la  seguridad informática  y  al que  sin duda todo usuario de Internet tendrá que hacer frente tarde o temprano.

También llamado robo  de identidad,  o usurpación de identidad y que consiste, sencillamente, en hacerse pasar por alguien que no eres. De este modo el delincuente ( porque la suplantación de identidad  es un delito ) es capaz de llevar a cabo  acciones que de otro modo serían imposibles de realizar como por ejemplo: difamar a la persona a la que se ha suplantado, acceder a  sus datos personales, extorsionarle, pedirle dinero, realizar operaciones comerciales en su nombre, etc…

Las formas más usuales son:

Suplantación de identidad directa:

El delincuente se limita a buscar una parcela de Internet en la que su objetivo no tenga presencia real y sencillamente abre una cuenta en su nombre. Un ejemplo clásico de suplantación de identidad directa sería la de crear una cuenta correo o de Facebook haciéndonos pasar por otra persona. De este modo, es posible usurpar la identidad de la víctima y empezar a actuar en su nombre bien sea en beneficio propio o con la finalidad de destruir la reputación digital de la persona afectada. Legalmente existe un pequeño matiz entre suplantar una identidad y usurpar una identidad: Mientras la suplantación se refiere únicamente a la apropiación de los derechos personales del individuo, la usurpación incluye también el uso directo de esos derechos, esto es, actuar en nombre de la persona usurpada como si de ella misma se tratara.

 

Veamos, por ejemplo, el  escándalo Ashley Madison. Para el que no lo recuerde, diremos que Ashley Madison es la mayor web de citas extramatrimoniales para infieles del mundo y que hace pocos meses sufrió un ataque informático que dio como resultado la filtración a la prensa del nombre de millones de usuarios de esta página web. Entre ellos se encontraba nombre y el correo electrónico oficial de Tony Blair, ex primer ministro británico, quien rápidamente ha desmentido la información, basando su defensa en el hecho de que han suplantado su identidad. Pero, aún así, el daño ya está hecho. Más de 800.000 páginas  han difundido de la noticia y siempre quedará la duda de si realmente se dio de alta en la web o fue un caso de suplantación de identidad.

 

Este tipo específico de suplantación  se suele dar de forma especial entre los jóvenes, que pueden llegar a crear perfiles falsos en Facebook  con la única finalidad de burlarse de otros compañeros o vengarse de alguna afrenta. Así, una vez suplantada la identidad pueden actuar libremente haciéndose pasar por ella insultando a otras personas, publicando supuestas fotografías comprometidas y creando una imagen falsa y distorsionada de la víctima. Este tipo de acoso a través de las nuevas tecnologías es conocido con el nombre de CyberBulling o ciber acoso.

[cookie]



[/cookie]

.

Un tipo especialmente peligroso de suplantación de identidad en torno a los menores de edad es el conocido como Grooming, en el que un adulto suplanta la identidad de un joven o una joven para poder relacionarse con otros menores de edad y obtener información privada sobre ellos, fotografías, relaciones personales, etc…

 

[cookie]



[/cookie]

 

Actualmente el #grooming es la forma de abuso a menores más difundida. @stopGrooming Clic para tuitear

 

Suplantación de identidad inducida:

Este tipo de usurpación se basa en obtener el nombre de usuario y la contraseña de una cuenta ya existente para así poder acceder a ella, usurpar la identidad de su legítimo propietario y actuar en su nombre.

La cuenta usurpada puede ser de cualquier tipo, desde una cuenta de email a un perfil de una red social o incluso una cuenta bancaria.
Una vez comprometida la cuenta, el atacante puede actuar libremente y en nuestro nombre, siendo posible desde enviar correos electrónicos a nuestra lista de contactos hasta ordenar transferencias de dinero a través de nuestra cuenta bancaria.

¿Qué técnicas se utilizan para acceder a nuestras contraseñas?

Para que alguien tenga acceso a nuestras cuentas, necesita conocer nuestro nombre de usuario y contraseña. Existen muchas formas de que un atacante se haga con ellas, las principales son:

Fallos de seguridad del servidor

Este tipo de ataques son totalmente ajenos a los afectados. En ellos, el ordenador que tiene los datos de todos sus usuarios se ve comprometido y el atacante logra hacerse con todos los datos de los usuarios ( nombres, contraseñas, números de tarjetas de crédito, etc…) y que posteriormente serán usados o vendidos al mejor postor.
Poco o nada podemos hacer en este tipo de casos más allá de confiar en los niveles de seguridad de la compañía que nos presta el servicio y de cambiar de forma periódica nuestra contraseña para evitar que sea usada en caso de filtraciones
[cookie]


[/cookie]
X 1 Internet + seguro: cambia regularmente tus contraseñas y mantén tus programas actualizados Clic para tuitear

Sistemas interpuestos

Esta técnica consiste “pinchar nuestras comunicaciones”, de tal forma que el atacante puede espiar la información que estamos transmitiendo y localizar nuestro usuario y contraseña.

Las fórmulas más utilizadas en este tipo de ataques son:

Virus  que vigilan la actividad de nuestros dispositivos:

Nuestro ordenador o dispositivo móvil puede verse infectado con un virus de este tipo, cuya misión es vigilar todo lo que se hacemos en el ordenador  y enviar dicha información  a la persona que ha diseñado el virus informático. Existen infinidad de virus de este tipo, aunque generalmente se presentan en forma de troyanos, esto es,  bien como programas aparentemente  inofensivos (juegos,  utilidades para acelerar el pc), bien como software pirata pero que en realidad  lo que hacen es instalar otros programas mucho más peligrosos como los keyloggers, que graban todas nuestras pulsaciones de teclado, o los screenloggers, que realizan «fotografías» de la pantalla de nuestro dispositivo. De este modo, el atacante tiene acceso a todo lo que hemos visto en nuestro ordenador y a todo lo que hemos escrito en él (incluidas direcciones web, nombres de usuario y contraseñas).

En http://www.xatakandroid.com podéis ver lo fácil y peligroso que resultan este tipo de virus, especialmente en los teléfonos móviles

Conexiones a redes wi-fi abiertas:

Con el reclamo de conexión gratis a Internet son muchos los usuarios que se conectan a redes wi-fi no seguras que en realidad lo que persiguen es hacerse con nuestros datos personales

 

[cookie]

[/cookie]

Entrevista de Jordi Évole a Chema Alonso en la que nos muestran
lo fácil que resulta espiar las comunicaciones
en un sitio tan concurrido como el aeropuerto de Barajas

 

Proxys anónimos:

Muy parecido al caso anterior, con la excusa de asegurarnos una conexión anónima a internet, en realidad lo que están haciendo es intercalar su sistema de espionaje entre nosotros y el destinatario de nuestras conexiones para así poder espiar nuestras comunicaciones

[cookie][/cookie]

Conferencia Chema Alonso
sobre la (in)seguridad de las conexiones en Internet

 

Si te conectas a un Wifi gratuito, utiliza siempre conexiones #https Clic para tuitear

Phising

(no confundir con fishing )
Otra forma muy común de hacerse con nuestros datos es el conocido como phising, que podríamos traducir como “lanzar el anzuelo a ver quién pica” o, sencillamente, timo. El phishing se basa en hacerse pasar por una empresa o servicio en el que confiamos para que , de esta forma, seamos nosotros mismos los que proporcionemos nuestros datos.

Dado que nadie en su sano juicio daría los datos de nombre y contraseña, por ejemplo, de su banco; los delincuentes se basan en técnicas de la llamada ingeniería social, buscando alternativas para engañarnos. Dentro de estas técnicas de ingeniería social las más típicas son hacerse pasar por la persona propietaria de esos datos, o por un amigo o conocido nuestro. Así, mediante el uso de ingeniería social no nos pedirían simplemente los datos de nuestro banco, sino que será el banco el que nos mandaría un email parecido a este.

 

ejemplo de phising

 

Como es lógico no hemos ordenado ninguna tranferencia de ese tipo  y nos dicen que tenemos que responder hoy mismo o perdemos 15.000 €, así que sin pensarlo dos veces pulsamos el botón para anularla y accedemos a la página de nuestro banco….

 

ejemplo de phising

 

… e introducimos nuestros datos

ejemplo de phising

 

¡Bien!, problema resuelto

 

 

Pero, un momento …  ¿Qué ha pasado realmente?

 

 

 

Pues en realidad ni el banco nos ha mandado el mensaje, ni había orden de transferencia y ni siquiera hemos entrado en la página de nuestro banco. Realmente hemos sido víctimas de una suplantación de identidad por parte de un ciber delincuente, que se ha hecho pasar por nuestro banco y mediante técnicas de engaño ha logrado que voluntariamente le digamos nuestro nombre de usuario y contraseña.

 

 

Un banco NUNCA te pedirá tus datos personales por email. #noPiques Clic para tuitear

 

Otra fórmula muy utilizada es suplantar la identidad de las personas que aparecen en nuestra lista de contactos, de tal forma que al ser una persona conocida el grado de confianza aumenta.

 

 

Pongamos, por ejemplo, que recibimos el siguiente mensaje:

ejemplo de phishing

 

¡Si se trata de mi  abogado! ¡Como me va a mandarme un virus mi propio abogado!

 

 

Lo mejor será hacerle caso y abrir el mensaje a ver qué me dice

 

 

 

Pues no, desgraciadamente de nuevo se trata de un caso de suplantación. Ni es realmente tu abogado, ni te ha mandado absolutamente nada. Sencillamente se han hecho pasar por él para ganar tu confianza y que entres en el enlace indicado. Una vez allí te pedirán tu cuenta de gmail y en el momento en el que la pongas YA HAS PICADO!, el atacante tiene a partir de ahora acceso a todos tus datos, todos tus documentos, todos tus correos y todos tus contactos, así que ya puede suplantar tu identidad y empezar a mandar el mismo mensaje a tus conocidos, pero ya no se hará pasar por tu abogado, se hará pasar por ti. Y cuando tu hermano reciba tu correo pensará ….. ¿Cómo va ha mandarme un virus mi propio hermano?

 

 

 

Estas son las técnicas más usuales de phishing, pero el ingenio humano es infinito y cada día surgen nuevas técnicas de usurpación de identidad y nuevos engaños para lograr tu usuario y contraseña
[cookie]


[/cookie]

Ejemplo de cómo usar la ingeniería social para
suplantar la identidad de un usuario de Facebook

 

 

————————————
RECUERDA
————————————

 

Qué hacer si me han suplantado la identidad

Si tenéis sospechas de que alguna de vuestras cuentas, ya sea de correo electrónico, alguna red social, juego online, etc… ha podido verse comprometida por un intento de robo de identidad, o habéis sido objeto de un intento de phishing para hacerse con vuestros datos, es muy importante que actuéis lo antes posible poniendo la situación en conocimiento tanto de la empresa responsable del servicio como de los principales buscadores de Internet para que puedan identificar y neutralizar la amenaza.

En el caso de que el fraude o la suplantación tenga su origen en la Unión Europea podéis, además, poneros en contacto con la Agencia de Protección de Datos para que abra un expediente informativo sobre el hecho y adopte las medidas oportunas para que no se vuelva a producir.

Si el robo de identidad tiene relación con datos bancarios, con menores de edad  o estáis siendo acosados o extorsionados, es fundamental contactar con las autoridades competentes y, llegado el caso, formular la correspondiente denuncia.

Os mostramos a continuación un listado con las principales direcciones web a las que recurrir  en estos casos

Cómo denunciar una usurpación de identidad en redes sociales

Cómo informar sobre una página de phishing en..,

Otras direcciones de interés

 

Antes de denunciar un caso de este tipo es muy importante  recopilar todas aquellas pruebas que nos puedan servir para documentar el delito cometido

  • Cambia tus contraseñas de acceso
  • Ponte en contacto cuanto antes con la empresa que presta el servicio para que conozca la situación
  • No borres los correos o mensajes recibidos, pueden ser aportados como pruebas
  • Guarda copia impresa de los mensajes y correos recibidos y, si es posible, pantallazos o capturas de pantallas
  • Guarda una copia impresa de las cabeceras de los correos electrónicos
  • Guarda copia de la dirección web de las páginas fraudulentas
  • En caso de compras fraudulentas o transferencias bancarias, solicita al banco la dirección Ip y la hora de la transacción
  • Si vas a denunciar el hecho ante la policía, apaga tu ordenador o dispositivo móvil y tu router de Internet y no los vuelvas a encender hasta que ellos te lo indiquen

 

 

 

Deja un comentario.

Tu dirección de correo no será publicada.


*


Las siguientes reglas del RGPD deben leerse y aceptarse:

Autodefensadigital.es te informa que los datos de carácter personal que nos proporciones a través de nuestra página web o rellenando el presente formulario serán tratados por Alfredo Sanz como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es permitirnos realizar un seguimiento de los comentarios dejados en nuestra web.

Legitimación: Al marcar la casilla de confirmación siguiente, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en nuestra política de privacidad.

Duración del tratamiento: Los datos proporcionados serán conservados por un periodo de tiempo indefinido, salvo que expreses tu voluntad de que sean suprimidos de forma definitiva.

Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de piensasolutions.es, situados dentro de la UE. Ver
política de privacidad de nuestro proveedor de servicios web.

La no introducción de los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no se pueda atender tu solicitud.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en alfredo@sanzperez.com así como el Derecho a presentar una reclamación ante una autoridad de control.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.