suplantación de identidad

¿Qué es la suplantación de identidad?

La suplantación de identidad es un tipo de estafa en la que un delincuente disfraza una dirección de correo electrónico, un nombre para mostrar, un número de teléfono, un mensaje de texto o la URL de un sitio web para convencer a un objetivo de que está interactuando con una fuente conocida y confiable. La suplantación de identidad a menudo implica cambiar solo una letra, número o símbolo de la comunicación para que parezca válido a simple vista. Por ejemplo, podría recibir un correo electrónico que parece ser de Netflix utilizando el nombre de dominio falso "netffix.com".

Cómo funciona la suplantación de identidad

Los delincuentes suplantadores intentan ganarse su confianza y cuentan con hacerle creer que las comunicaciones falsificadas son legítimas. A menudo, usar el nombre de una gran empresa confiable, como Amazon o PayPal, es suficiente para que los objetivos tomen algún tipo de acción o revelen información.

Por ejemplo, un correo electrónico falso de Amazon podría indicar un problema con una compra reciente, lo que podría motivarlo a hacer clic en el enlace para obtener más información (pista: no haga clic en el enlace). Desde ese enlace, puede descargar malware o ser dirigido a una página de inicio de sesión falsa, donde, sin saberlo, ingresa su nombre de usuario y contraseña.

La suplantación de identidad puede llevarlo a divulgar información personal y financiera, enviar dinero y descargar malware, lo que puede conducir a computadoras infectadas, fraude financiero y robo de identidad. La suplantación de identidad se puede utilizar para propagar malware a través de enlaces y archivos adjuntos, eludir los controles de acceso a la red y restringir el acceso a través de ataques de denegación de servicio (DoS). A nivel corporativo, la suplantación de identidad puede causar sistemas y redes informáticos infectados, filtraciones de datos y pérdida de ingresos.

Hay varios tipos de suplantación de identidad, incluida la suplantación de identidad por correo electrónico, la suplantación de identidad por mensaje de texto, la suplantación de identidad de llamadas y la suplantación de URL y GPS. Esencialmente, si hay una forma de comunicación en línea, los falsificadores están tratando de estafar para entrar en ella, y en su identidad y sus activos.

Consideraciones Especiales

Hay varias formas de protegerse de posibles estafadores de suplantación de identidad:

• Active el filtro de spam de su correo electrónico. Esto evitará que muchos correos electrónicos falsificados lleguen a su bandeja de entrada.

• No haga clic en enlaces ni abra archivos adjuntos en correos electrónicos de remitentes desconocidos. Si existe la posibilidad de que el correo electrónico sea legítimo, comuníquese directamente con el remitente para confirmar que es real.

• Si recibe un correo electrónico o mensaje de texto sospechoso que le pide que inicie sesión en su cuenta por algún motivo, no haga clic en el enlace provisto. En su lugar, abra una nueva pestaña o ventana (o la aplicación dedicada en su teléfono) e inicie sesión directamente en su cuenta.

• Mostrar extensiones de archivos en Windows. Windows no muestra las extensiones de archivo de forma predeterminada, pero puede cambiar la configuración. Para hacerlo, haga clic en la pestaña "Ver" en el Explorador de archivos y marque la casilla para mostrar las extensiones de archivo. Si bien esto no evita que los estafadores falsifiquen extensiones de archivos, podrá ver las extensiones falsificadas y evitar abrir archivos maliciosos.

• Invertir en software de ciberseguridad de buena reputación. Un buen software lo alertará sobre posibles amenazas, detendrá las descargas y evitará que el malware se haga cargo. Tenga en cuenta que el software solo funciona si lo mantiene actualizado y lo usa regularmente.

• Si recibe una consulta solicitando información personal, no la proporcione. Cuelgue (o cierre la sesión) y luego busque el número de teléfono o la dirección de correo electrónico de servicio al cliente de la entidad que supuestamente se comunicó con usted para obtener su información personal.

Si cree que lo han estafado, puede presentar una queja en el Centro de Quejas del Consumidor de la Comisión Federal de Comunicaciones (FCC). La FCC no actúa sobre quejas individuales, pero agregará esa información a su base de datos. Si ha perdido dinero debido a la suplantación de identidad, la FCC recomienda comunicarse con el departamento de policía local.

Tipos de suplantación de identidad

Falsificación de correo electrónico

La suplantación de identidad por correo electrónico es el acto de enviar correos electrónicos con direcciones de remitente falsas, generalmente como parte de un ataque de phishing destinado a robar sus datos, pedir dinero o infectar su computadora con malware. Esta táctica es utilizada tanto por anunciantes deshonestos como por ladrones. El falsificador envía correos electrónicos con una línea "De:" falsificada para engañar a las víctimas haciéndoles creer que el mensaje es de un amigo, su banco o alguna otra fuente legítima. Cualquier correo electrónico que solicite su contraseña, número de Seguro Social o cualquier otra información personal podría ser un engaño.

Estos correos electrónicos suelen incluir una combinación de características engañosas, que incluyen:

• Direcciones de remitente falsas que se parecen a alguien que usted conoce y en quien confía

• Una dirección de remitente que falta, o al menos una que es difícil de encontrar para el usuario promedio

• Marca corporativa familiar, como logotipos, colores, botones de llamada a la acción y similares

• Errores tipográficos, mala gramática y sintaxis inusual (p. ej., "Buenos días, señor, asegúrese de que estos datos estén bien").

Falsificación de mensajes de texto

A veces denominada smishing, la suplantación de identidad por mensaje de texto (SMS) es similar a la suplantación de identidad por correo electrónico. El mensaje de texto parece provenir de una fuente legítima, como su banco o el consultorio de un médico. Puede solicitar que llame a un número de teléfono específico o que haga clic en un enlace dentro del mensaje para que divulgue información personal.

Suplantación de identidad de llamadas

Aquí, el falsificador falsifica el número de teléfono desde el que está llamando con la esperanza de que usted atienda su llamada. En su identificador de llamadas, puede parecer que la llamada proviene de una agencia comercial o gubernamental legítima, como el Servicio de Impuestos Internos (IRS). Tenga en cuenta que el IRS dice que no llama a los contribuyentes para decirles que deben impuestos sin antes enviarles una factura por correo.

La suplantación de identidad se presenta de muchas formas, pero el objetivo suele ser engañar a las personas para que divulguen información personal que los delincuentes puedan usar.

Suplantación de identidad de vecinos

Este es un tipo de suplantación de identidad de llamadas en el que la llamada parece ser de alguien que conoces o de una persona que vive cerca de ti. La FCC dice que la Ley de Veracidad en la Identificación de Llamadas prohíbe que "cualquier persona transmita información de identificación de llamadas engañosa o inexacta con la intención de defraudar, causar daño u obtener erróneamente algo de valor". Si los atrapan (y ese es un gran "si"), el falsificador puede enfrentar multas de hasta $10,000 por cada infracción.

Suplantación de URL o sitio web

La suplantación de URL ocurre cuando los estafadores configuran un sitio web fraudulento para obtener información de las víctimas o instalar malware en sus computadoras. Por ejemplo, las víctimas pueden ser dirigidas a un sitio que parece pertenecer a su banco o compañía de tarjetas de crédito y se les puede pedir que inicien sesión con su ID de usuario y contraseña. Si la persona cae en la trampa e inicia sesión, el estafador podría usar la información que la víctima ingresó para iniciar sesión en el sitio real y acceder a sus cuentas.

Falsificación de GPS

La falsificación de GPS tiene un propósito algo diferente. Intenta engañar a un receptor de GPS haciéndole creer que está en una ubicación diferente o que se dirige en una dirección diferente mediante la transmisión de señales de GPS falsas u otros medios. En este punto, es más probable que la falsificación de GPS se use en la guerra o por parte de los jugadores (por ejemplo, jugadores de Pokémon GO) que para dirigirse a los consumidores individuales, aunque existe la tecnología para hacer que cualquiera sea vulnerable.

Ataques Man-in-the-middle (MitM)

Estos ataques de suplantación de identidad involucran a tres jugadores: la víctima, la entidad con la que la víctima intenta comunicarse y el "hombre en el medio" que intercepta las comunicaciones. El falsificador intenta espiar el intercambio o hacerse pasar por una de las partes. El objetivo es interceptar información útil, confidencial o potencialmente rentable (p. ej., credenciales de inicio de sesión e información de tarjetas de crédito). La información robada se puede utilizar para aprobar transacciones financieras, para el robo de identidad o se puede vender a un tercero.

Falsificación de IP

Este tipo de estafa ocurre cuando alguien quiere disfrazar u ocultar la ubicación desde donde envía o solicita datos, por lo que reemplaza la dirección de protocolo de Internet (IP) de origen por una falsa. La dirección IP falsificada parece provenir de una fuente confiable (la dirección IP original) mientras enmascara su verdadera identidad: un tercero desconocido.

Suplantación de identidad facial

Esta es la última forma de suplantación de identidad. Con la suplantación de identidad facial, un delincuente usa el rostro de una persona y simula su biometría facial usando una foto o un video para reemplazar su identidad. La suplantación de identidad facial se usa más comúnmente para cometer fraude de identidad bancaria. Sin embargo, también se utiliza en el lavado de dinero.

Cómo detectar la suplantación de identidad

La suplantación de identidad puede ser sofisticada, por lo que la clave es prestar mucha atención a los detalles y confiar en sus instintos. Tenga cuidado con los sitios web sin símbolos de candado o barras verdes, o URL que comiencen con HTTP en lugar de HTTPS, la versión cifrada de HTTP. Otra forma de identificar un sitio web falso es si su administrador de contraseñas no completa automáticamente su inicio de sesión, una señal de que no reconoce el sitio web.

Con los correos electrónicos, mire de cerca la dirección del remitente, teniendo en cuenta que los estafadores usarán dominios falsos que son muy similares a los legítimos. Por supuesto, los errores tipográficos, la mala gramática y la sintaxis inusual en el correo electrónico también son señales de alerta. Si aún no está seguro, copie y pegue el contenido del correo electrónico en Google, donde una búsqueda rápida puede revelar si circula una estafa conocida. Finalmente, coloque siempre el cursor sobre un enlace incrustado para revelar la URL antes de hacer clic en él. Si la URL parece sospechosa, es probable que sea una estafa.

Para pasar el cursor sobre un enlace que está en su teléfono inteligente, mantenga el dedo sobre el enlace durante unos segundos. Aparecerá una ventana que muestra la URL completa del enlace. Esto puede ayudarlo a determinar si el enlace es confiable o sospechoso.

Con los teléfonos, el identificador de llamadas se falsifica fácilmente. Los estafadores a menudo usan la suplantación de identidad de vecinos, por lo que parece que las llamadas provienen de un número local. También pueden falsificar un número de una agencia gubernamental o empresa que conoce y en la que confía. La FCC aconseja a las personas que no respondan llamadas de números desconocidos y que cuelguen de inmediato si responde una llamada de este tipo.

Reflejos

• Sea escéptico ante cualquier solicitud de información personal, descargue archivos solo de fuentes confiables e instale software antivirus y antimalware confiable.

• Si cree que lo han estafado, presente una queja en el Centro de Quejas del Consumidor de la Comisión Federal de Comunicaciones (FCC). Si ha perdido dinero, póngase en contacto con la policía local.

• La suplantación de identidad para engañarlo para que divulgue información personal se puede hacer a través de correo electrónico, mensajes de texto, identificador de llamadas e incluso receptores GPS.

PREGUNTAS MÁS FRECUENTES

¿Cuál es un ejemplo de suplantación de identidad?

Un escenario común de suplantación de identidad ocurre cuando se envía un correo electrónico desde una dirección de remitente falsa, pidiéndole al destinatario que proporcione datos confidenciales. Por lo general, se le solicita al destinatario que haga clic en un enlace para iniciar sesión en su cuenta y actualizar los detalles personales y financieros. Los enlaces en los correos electrónicos falsos también infectan la computadora del destinatario con malware.

¿Cuáles son algunos tipos de suplantación de identidad?

La suplantación de identidad adopta muchas formas, incluida la suplantación de identidad por correo electrónico, suplantación de identidad por mensaje de texto (SMS), suplantación de identidad de llamadas, suplantación de identidad de sitios web, suplantación de identidad de GPS, suplantación de identidad de IP y suplantación de identidad facial.

¿Cuál es la diferencia entre suplantación de identidad y phishing?

Los términos "suplantación de identidad" y "phishing" a menudo se usan indistintamente, pero significan cosas diferentes. La suplantación de identidad utiliza una dirección de correo electrónico, un nombre para mostrar, un número de teléfono o una dirección web falsos para hacer creer a las personas que están interactuando con una fuente conocida y confiable. El phishing lo engaña para que proporcione datos personales que pueden usarse para el robo de identidad. Muchos phishers utilizan tácticas de suplantación de identidad para engañar a sus víctimas haciéndoles creer que están proporcionando información personal a una fuente legítima y confiable.