Suplantación de identidad y secuestro de cuentas: ¿cómo actuar?(Parte 1)

Suplantación de identidad y secuestro de cuentas: ¿cómo actuar?(Parte 1)

 

En los últimos meses, en la OSI, canal especializado en ciudadanos de INCIBE, hemos recibido un gran número de solicitudes de ayuda y denuncias sobre casos de suplantación de identidad y robo de cuentas. Por ello, vamos a repasar los fundamentos y conceptos básicos en los que se basan este tipo de prácticas fraudulentas, así como varios consejos y recomendaciones para protegernos.

¿Qué es la suplantación de identidad?

Se trata de una actividad malintencionada que busca hacerse pasar por otra persona o entidad por diferentes motivos: robo de datos, fraudes y engaños para obtener información o un beneficio económico, ciberacoso, extorsión, grooming, etc.

Los ataques y fraudes basados en la suplantación de identidad pueden ser muy variados, aunque se distinguen principalmente por dos cosas:

  • Robo o acceso no autorizado a una cuenta: cuando el atacante ha conseguido acceder a nuestra cuenta haciendo uso de nuestras contraseñas, que ha obtenido a través de distintas técnicas y ataques. En este caso, puede suponer la pérdida del control de nuestra cuenta si el ciberdelincuente cambia la clave de acceso y los métodos de recuperación, aunque en otros casos el atacante puede que solo utilice la cuenta para publicar en nuestro nombre, ver datos almacenados, etc.; todo ello sin nuestro consentimiento.

  • Creación de un perfil falso: el atacante ha creado una cuenta o perfil muy similar al nuestro o al de otra persona, entidad o empresa. Para ello, utiliza información que ha podido conseguir fácilmente a través de Internet y no implica el robo de nuestra cuenta ni accesos no autorizados.

Os mostramos los tipos de suplantación de identidad que más incidencia están teniendo entre los usuarios en este momento:

Robo o secuestro de cuentas de WhatsApp en cadena

Imagen ejemplo mensaje fraude

Si un atacante instalase WhatsApp en otro dispositivo utilizando nuestro número, nos llegaría por SMS un código de verificación para confirmar que somos nosotros los que estamos configurando la app en otro dispositivo. Es entonces cuando el ciberdelincuente trataría de engañarnos para que le facilitásemos el código de verificación, haciéndose pasar por un contacto conocido (familia o amigo) que ha cambiado de número y, por seguridad o dudas, prefirió utilizar nuestro teléfono para recibir el SMS.

Si lo compartimos, el atacante nos quitará el control de la cuenta y activará la verificación en dos pasos para evitar que podamos recuperarla fácilmente.

Más detalles sobre cómo funciona este fraude en: ¡Socorro me han secuestrado WhatsApp!

¿Cómo podemos protegernos?

  • No compartiendo nunca el código de verificación con nadie. Si alguien nos los solicita, debemos desconfiar.

  • Activando la verificación en dos pasos. Incluso si obtienen nuestro código, con esta función no podrán robarnos la cuenta.

Secuestro de nuestras cuentas personales

Imagen fraude twitterMediante ataques a nuestras contraseñas o técnicas basadas en ingeniería social, como el phishing, los atacantes son capaces de hacerse con nuestras credenciales y secuestrar nuestras cuentas. Una vez que están bajo su control, tendrán total libertad para lanzar fraudes en nuestro nombre, obtener información personal, cambiarnos la contraseña y los datos de recuperación de la cuenta y pedirnos incluso un rescate a cambio de recuperar el control de la misma.

Este tipo de prácticas no se limitan solo a las redes sociales, sino que pueden afectar a nuestras cuentas de correo electrónico o de otros servicios digitales, por lo que conviene revisar detenidamente las opciones de seguridad y privacidad para prevenirlo.

¿Cómo podemos protegernos?

  • Configurando correctamente las opciones de privacidad y seguridad de nuestra cuenta.

  • Activando la verificación en dos pasos y utilizando contraseñas robustas.

  • No aceptando peticiones de amistad de usuarios desconocidos o con perfiles falsos.

  • Publicando solo la información que queramos que sea visible y protegiendo los datos más sensibles, como dirección, correo electrónico, DNI, datos bancarios, etc. para que no nos puedan extorsionar a través de otros medios.

Suplantación de identidad y difusión de fraudes entre contactos y seguidores

En este caso, los atacantes tienen como objetivo suplantar aquellas cuentas con muchos seguidores, tanto de usuarios particulares como empresas, como un medio para engañar al mayor número de usuarios posibles y dañar la reputación del perfil legítimo.

Su modus operandi es la creación de una cuenta falsa que guarda un gran parecido, casi idéntico, a la cuenta oficial, que en ocasiones solo se diferencian por un carácter en el alias o nickname. De esta forma, los usuarios despistados siguen creyendo que son las cuentas “buenas”. Es entonces cuando el atacante aprovechará para lanzar y publicar desde los perfiles fraudulentos sorteos o campañas de publicidad falsas, con enlaces maliciosos o formularios con los que recoger información personal de los usuarios víctimas.

Existe una variante donde la cuenta suplantada es la de un contacto nuestro (familiar o amigo), que el atacante utiliza para solicitarnos ayuda económica o que nos descarguemos algún tipo de software malicioso.

¿Cómo podemos protegernos?

  • Desconfiando de cualquier petición de amistad por parte de desconocidos.

  • Confirmando que estamos siempre siguiendo a un perfil legítimo. Ante la duda, será mejor contrastar la información utilizando otras fuentes de confianza.

  • Si un contacto nos solicita ayuda o nos realiza una petición que nos genera dudas, debemos contactar con él por otra vía para verificar que es cierta la información.

SIM swapping

Este tipo de ataque de suplantación de identidad se basa en la duplicación de nuestra tarjeta SIM, y para ello, los atacantes necesitan algunos datos personales, como nombre y apellidos, DNI, fecha de nacimiento, los 4 últimos dígitos de nuestra cuenta bancaria, etc., que han podido obtener por otras vías, como el phishing o comprando en tiendas online fraudulentas.

Con estos datos, los atacantes solicitan un duplicado de nuestra SIM, suplantando nuestra identidad con los datos anteriores ante la operadora. Mientras, lo único que notamos es que nuestro dispositivo se queda sin cobertura móvil, y cuando nos conectemos a una red wifi, comenzaremos a recibir notificaciones de movimientos realizados desde nuestro móvil sin nuestro consentimiento, como transferencias bancarias o compras online, entre otras.

¿Cómo podemos protegernos?

  • Contactando con nuestra compañía telefónica si nos quedamos permanentemente sin cobertura en sitios donde habitualmente tenemos.

  • Utilizando solo servicios de confianza y protegiendo nuestras cuentas con credenciales robustas y la verificación en dos pasos.

  • Conociendo las distintas técnicas de ingeniería social que utilizan los ciberdelincuentes para hacerse con nuestros datos.

Phishing, smishing vishing

Estos ataques basados en ingeniería social se sirven de la suplantación de identidad para hacerse pasar por nuestros contactos o entidades de confianza a través del correo electrónico, SMS o llamadas telefónicas, respectivamente. Su principal objetivo es engañarnos para que realicemos una acción bajo cualquier pretexto: acceder a una web para que facilitemos datos privados, descargar un fichero malicioso, realizar un pago, etc.

¿Cómo podemos protegernos?

  • Desconfiando de cualquier mensaje o llamada de desconocidos que intente obtener información personal.
  • No descargando ni haciendo clic en ningún archivo o enlace sospechoso.
  • Verificando la legitimidad del mensaje utilizando otras vías, por ejemplo, contactando directamente con la empresa o servicio que dice ser