El robo o usurpación de identidad de una persona consiste en su apropiación, en hacerse pasar por ella, asumir su identidad ante otros, en público o en privado, en su gran mayoría con el único objetivo de acceder a ciertos recursos, realizar compras, obtener créditos y beneficios en nombre de ella. Esta nota profundiza en el concepto de ingeniería social y en sus tipos más comunes de ataques, así como también, en las formas de prevenirlos. Por otra parte, indaga acerca de las coberturas disponibles y sus características, para asegurarse contra el delito de robo de identidad.
Escribe Dra. Gabriela Álvarez
Inmersos en la sociedad que hoy en día nos toca vivir, la sustracción de objetos personales está prácticamente a la orden del día. Ya no resulta una noticia importante o que figure en la tapa de los diarios el detalle de esos delitos cometidos, salvo cuando se trata de casos muy puntuales que, generalmente, incluyen una violencia desatada y sin fundamento alguno contra la víctima que implica la muerte o, bien, lesiones de gran importancia o, en su defecto, un gran sufrimiento físico de su parte. Sin embargo, son hechos que ocurren todos los días, en cualquier horario y en cualquier lugar, ya no hay sitios seguros, barrios seguros u horarios seguros.
Lo cierto es que al ser víctima de un robo, luego de agradecer que no hemos sido asesinados ni lastimados, entramos en la segunda etapa que tiene que ver con todos los trámites que tenemos que realizar ante el robo de objetos personales, tales como carteras, bolsos, mochilas, celulares, lo cual implica un verdadero dolor de cabeza. La sustracción de las tarjetas de crédito y débito obligan a radicar la denuncia tanto en la policía como ante los mismos entes emisores de dichas tarjetas; el robo del dni lleva consigo la obtención de un turno para sacarlo lo más pronto posible, la cédula verde del auto y el registro de conducir siguen el mismo camino. Sumado a ello, está el tema del dinero que implica la realización de todos esos trámites que obviamente no son gratuitos.
Luego de todo ello, comienza la preocupación por el destino que los delincuentes le darán a los documentos que nos fueron sustraídos, un detalle no menor que puede ocasionarnos grandes problemas. Y ahí es donde surge el llamado delito de robo de identidad.
Concepto
Pero, ¿en qué consiste tal delito y de qué se trata? El robo o usurpación de identidad es justamente la apropiación de la identidad de una persona: hacerse pasar por ella, asumir su identidad ante otros, en público o en privado, en su gran mayoría con el único objetivo de acceder a ciertos recursos, realizar compras, obtener créditos y beneficios en nombre de ella.
Con el surgimiento de la pandemia de Covid 19, la digitalización se aceleró a pasos agigantados. La necesidad de continuar la actividad de las diferentes empresas, llevó a éstas a adaptar sus sistemas para que sus empleados pudieran trabajar desde sus hogares. Los hábitos de la sociedad entera cambiaron, las compras por internet, las empresas de entrega a domicilio, la bancarización de muchas actividades, todo ello generó un movimiento de datos personales de un lado a otro que los delincuentes supieron aprovechar. El avance mismo de la sociedad y la tecnología, con el uso de las billeteras virtuales, hicieron aún más interesante el ciber delito provocando que éste creciera exponencialmente.
Es por ello que el delito de robo de identidad fue mutando con el paso del tiempo y surgieron nuevas modalidades tales como el phishing, fraude a través del cual un cibercriminal se hace pasar por una empresa o persona de confianza, con el sólo objetivo de engañar al usuario y hacer que éste revele información confidencial, como datos de su tarjeta de crédito, datos bancarios, financieros, entre otros, y el ransomware, tipo de ciberdelito que consiste en el secuestro de datos por medio de un programa malicioso que cifra archivos impidiendo que el usuario pueda tener acceso al contenido.
Para llevar a cabo estos delitos, los delincuentes utilizan trucos de ingeniería social para engañar a sus víctimas.
Pero, ¿qué es exactamente la ingeniería social y cómo funciona?
La Ingeniería Social
En cualquier cadena de seguridad, los humanos son generalmente el eslabón más débil. Si bien las máquinas también pueden ser engañadas, las personas somos mucho más susceptibles de ser víctimas de tácticas manipuladoras por parte de los hackers. A este tipo de prácticas utilizadas para engañar, se las denomina ingeniería social.
La ingeniería social se aprovecha de los sesgos cognitivos de las personas, que son una especie de fallos en el hardware humano, que las personas malintencionadas aprovechan para obtener datos personales y financieros de las víctimas delante de sus narices. Como ejemplo más claro podemos citar la tendencia humana de confiar en personas percibidas como amables, atractivas o con alguna autoridad, lo cual puede usarse en nuestra contra en ataques de este tipo.
Además, no es solo el dinero lo que está en peligro. En ocasiones, las calificaciones crediticias y las reputaciones en Internet se desmoronan y se acumulan las deudas en su nombre. Aunque estas situaciones pueden revertirse, pueden transcurrir semanas de gestiones interminables con empresas y organismos para limpiar su nombre.
Sin embargo, hay algo especialmente peligroso sobre las prácticas de manipulación de ingeniería social, y es que normalmente las víctimas no logran advertir que están siendo manipuladas, hasta que ya es demasiado tarde y el delincuente ya ha obtenido toda la información que era de su interés.
Los ataques de ingeniería social a menudo aparecen como un mensaje de correo electrónico, de texto o de voz de una fuente aparentemente inofensiva. Usar software antivirus ayuda, pero no es 100% efectivo. Por ello, la mejor manera de protegerse frente a ataques de este tipo es aprender a reconocerlos y evitarlos todo lo posible.
Los tipos más comunes de ataques de ingeniería social podemos resumirlos en:
• Spam en el correo electrónico
El spam en el correo electrónico es uno de los tipos de ingeniería social más antiguos en Internet y es responsable de prácticamente toda la basura que llega a la bandeja de entrada. En el mejor de los casos, el spam en el correo electrónico es molesto. En el peor de los casos, se trata de una estafa para obtener sus datos personales. Muchos servidores de correo electrónico revisan los mensajes automáticamente en busca de spam malicioso, pero el proceso no es perfecto y, a veces, llegan mensajes peligrosos a la bandeja de entrada.
• Phishing
El phishing generalmente se lleva a cabo a través del correo electrónico, pero siempre parece ser legítimo. Es un tipo de ataque de ingeniería social en el que los mensajes parecen provenir de una fuente fiable y están diseñados específicamente para engañar a las víctimas y que revelen sus datos personales o financieros. Después de todo, por qué habría de dudar de la autenticidad de un mensaje que provenga de un amigo, un familiar o una tienda que visitamos a menudo.
• Baiting
Los ataques de ingeniería social no siempre tienen su origen en Internet, también pueden empezar fuera de las redes. El baiting se refiere al caso en el que un atacante deja un dispositivo infectado con malware (por ejemplo, una unidad USB) en algún lugar fácil de encontrar. Estos dispositivos suelen tener etiquetas provocativas para crear curiosidad. Si alguien especialmente curioso lo recoge y lo conecta a su equipo, éste podría infectarse con malware. Obviamente, nunca es buena idea tomar unidades flash desconocidas y conectarlas a su dispositivo.
• Vishing
El vishing, también llamado phishing por voz, es un tipo sofisticado de ataque de phishing. En estos ataques, se suplanta un número de teléfono para que parezca legítimo, de modo que los atacantes se hacen pasar por técnicos, compañeros de trabajo, personal de informática, etc. Algunos atacantes incluso usan filtros de voz para enmascarar su identidad.
• Smishing
El smishing es un tipo de ataque de phishing que toma la forma de mensajes de texto, o SMS. Habitualmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de vínculos maliciosos en los que hacer clic o números de teléfono a los que llamar. Solicitan a las víctimas que revelen información personal que los atacantes pueden usar para beneficio propio. Suelen transmitir una sensación de urgencia y se aprovechan de la confianza de las personas en los mensajes de sus smartphones para que actúen rápidamente y sean víctimas de un ataque.
• Pretexting
Los atacantes se hacen pasar por otra persona para obtener datos personales. Los ataques de pretexting pueden suceder en Internet o fuera de las redes, y ahora es más fácil que nunca que estos delincuentes investiguen y espíen a las posibles víctimas para crear una historia (o pretexto) creíble con la que engañarlas.
Formas de prevenir los ataques
Con el fin de evitar ser víctima de los delitos mencionados debemos tomar los siguientes recaudos:
• Blindaje de equipos. Consiste en instalar en el ordenador y teléfono inteligente un firewall y antivirus, actualizándolos constantemente. A su vez, evitar descargar programas y apps gratuitos de sitios no seguros.
• Contraseñas. Para que ésta sea segura, debería contener como mínimo 8 caracteres e incluir cifras, letras y números de forma aleatoria. Asimismo, crear una contraseña diferente para cada cuenta. Y evitar que tengan relación con datos personales, como fechas de nacimiento o teléfonos. Nunca enviarlas por correo electrónico ni a terceras personas.
• Documentos. Conservarlos en lugares seguros. Es importante destruir aquellos que contengan información personal, financiera o sensitiva, así como las tarjetas bancarias vencidas.
• Correos electrónicos. No abrir mensajes de origen sospechoso, eliminarlos del servidor.
• Conexión a sitios web. Actualmente, podemos acceder a redes Wifi de acceso abierto en lugares como aeropuertos, cafés o bibliotecas. En estas redes públicas los datos e información circulan en abierto, por lo que corren un alto riesgo de ser interceptados por terceros. Es por esto que siempre se recomienda, en caso de usar este tipo de redes para navegar por Internet, usar el Protocolo seguro de transferencia ‘HTTPS’ cuando se introduzca una dirección, así como activar la conexión segura cuando se envíen correos electrónicos. Ingresar directamente a los portales oficiales de las instituciones financieras, evitando hacerlo a través de ligas encontradas en correos o mensajes electrónicos
• Correspondencia a domicilio. No aceptar invitaciones de instituciones financieras, establecimientos o comercios que exijan proporcionar datos personales para recibir beneficios o promociones, así como tarjetas de crédito o préstamos ‘pre-aprobados’.
• Estados de cuenta. Evitar recibirlos por correo. Siempre es mejor consultarlos en línea y verificarlos de manera constante.
• Compras por Internet. Siempre hay que asegurarse que el sitio que se visita sea seguro y confiable, observando la privacidad, las políticas de venta, la ubicación física, la denominación legal, así como la información del proveedor.
• Redes sociales. Hay que tener mucho cuidado con lo que se publica en las redes sociales. Tratar de evitar datos personales, nombres, cuentas de correo. Mantener la privacidad en los sitios públicos.
• Evitar los recolectores de datos en Internet. Antes de abonarse a un boletín de noticias o registrarse en una página de servicios, echar un vistazo a las Condiciones de uso y Términos Generales, a las Declaraciones de Protección de Datos y al Aviso Legal de las páginas webs correspondientes para desechar sospechas.
Nuevas Coberturas: Seguros para Delitos de Robo de Identidad
Los riesgos de ciberdelito o robo de identidad, constituyen un tipo de seguro nuevo en nuestro país. Si bien a nivel local, aún le falta desarrollo, con el surgimiento de la pandemia hubo un aumento considerable en los pedidos de cotización y las compañías de seguros supieron estar a la altura de la situación.
A los efectos de un seguro, se considera ciberdelito al daño que surge de las debilidades en los sistemas tecnológicos de las empresas, en los procesos que los soportan o en la mala utilización de la información de la firma por parte de los delincuentes. Este tipo de delitos pueden ocasionar pérdidas financieras enormes a las empresas, daños operacionales e incluso un daño difícil de revertir en la reputación de la organización.
Sin embargo, a la hora de contratar un seguro es imprescindible conocer la exposición que cada empresa tiene, es decir, cómo es el desarrollo habitual de su negocio, si es cien por ciento de manera online, si posee información muy sensible (historial de enfermedades, datos de cuentas bancarias propias y de terceros, datos de tarjetas de crédito, de funcionarios, entre los principales), o si simplemente ha modificado su operatoria a home office.
El Seguro de Robo de Identidad tiene como cobertura principal el reintegro de todos los gastos incurridos para revertir la situación de sustracción de la identidad con el fin de procurar limitar los eventuales perjuicios económicos que el asegurado pueda sufrir.
Las coberturas de seguros abarcan desde la seguridad informática hasta el acompañamiento y el asesoramiento tecnológico, como así también los daños propios que pudiera sufrir la empresa asegurada y los que sufran terceros a consecuencia de una violación de seguridad de datos o un incidente cibernético.
En relación a los daños propios, los seguros abarcan la recuperación de información digital y restauración de datos, la interrupción de su actividad empresarial (en este caso la póliza paga la utilidad que pudo haber obtenido la empresa durante dicho período), extorsión cibernética o pérdida de dinero del asegurado con motivo de una transferencia electrónica no autorizada y transacciones bancarias fraudulentas.
En cuanto a daños a terceros, cubren la responsabilidad por violación de información confidencial o datos personales, gastos de defensa, incluso los gastos para afrontar la contratación de un perito forense con el fin de investigar una violación presunta. Estos tipos de seguros cubren también, en caso de tratarse de personas físicas, los gastos incurridos por robo de documentación, tal como documentación de inmuebles, personal, profesional, bolso o cartera. También hay coberturas que brindan protección para el robo en cajeros, o bien la sustracción de salarios.
Por ello, actualmente para las empresas que manejan su operatoria básicamente por internet, resulta imprescindible contratar este tipo de seguros, sobre todo si tenemos en cuenta que un ataque cibernético de este tipo puede echar por tierra años de esfuerzo y labor.