Las filtraciones de datos son una amenaza creciente para las empresas y una pesadilla para sus clientes. Según las últimas cifras, en 2024 se produjeron 3.158 incidentes denunciados públicamente en Estados Unidos, apenas debajo del máximo histórico. Como resultado, se tuvieron que enviar más de 1.300 millones de cartas de notificación de violación de datos a las víctimas, de las cuales más de 1.000 millones se vieron afectadas por cinco megabrechas de más de 100 millones de registros cada una.

La mala noticia es que esto es solo la punta del iceberg. Hay muchas otras formas de que tu información personal identificable (IPI) caiga en las manos equivocadas. Una vez que circula en la clandestinidad de la ciberdelincuencia, es sólo cuestión de tiempo que se utilice en intentos de fraude de identidad.

¿Qué está en juego?

¿De qué datos estamos hablando? Podrían incluir:

  • Nombres y direcciones
  • Números de tarjetas de crédito/pago
  • Números de documentos de identidad oficiales
  • Números de cuentas bancarias
  • Datos de credenciales de servicios de salud
  • Pasaporte o carné de conducir
  • Datos de acceso a cuentas personales y de empresa en Internet

Una vez que tus datos personales fueron robados, ya sea en una brecha masiva de datos o a través de uno de los muchos métodos enumerados a continuación, es probable que estos datos sean vendidos o cedidos a otros para su uso en diversos esquemas de fraude. Esto podría ir desde compras ilegales hasta la toma de control de cuentas (ATO), fraude de cuentas nuevas o esquemas de phishing diseñados para obtener información aún más sensible. En algunos casos, se mezclan datos reales con otros generados por máquinas para crear identidades sintéticas más difíciles de bloquear por los filtros antifraude.

Es un gran negocio. Según Javelin Strategy & Research, el fraude de identidad y las estafas costarán a los estadounidenses 47.000 millones de dólares solo en 2024.

¿Cómo funciona el robo de identidad?

En última instancia, el fraude de identidad se reduce a los datos. Entonces, ¿cómo pueden conseguir los tuyos los ciberdelincuentes? Si no están robando grandes cantidades de datos de terceras organizaciones, los principales vectores de ataques dirigidos contra individuos son:

  • Phishing/smishing/vishing: los ataques clásicos de ingeniería social pueden producirse a través de varios canales, desde el tradicional phishing por correo electrónico hasta mensajes de texto(smishing) e incluso llamadas telefónicas(vishing). El autor de la amenaza suele utilizar técnicas conocidas y probadas para engañarle y conseguir que cumpla sus órdenes, que suelen ser hacer clic en un enlace malicioso, rellenar datos personales o abrir un archivo adjunto malicioso. Entre ellas se incluyen el uso de marcas oficiales para hacerse pasar por una empresa o institución conocida, y trucos como la suplantación del identificador de llamadas o del dominio.
  • Robo digital: Para hacerse con los datos de su tarjeta, los autores de la amenaza pueden insertar un código malicioso de skimming en las páginas web de un sitio popular de comercio electrónico o similar. Todo el proceso es completamente invisible para la víctima.
  • Wi-Fi públicas: las redes Wi-Fi públicas no seguras pueden facilitar los ataques man-in-the-middle en los que se intercepta su información personal. Los hackers también pueden instalar puntos de acceso fraudulentos para recopilar datos y redirigir a las víctimas a sitios maliciosos.
  • Malware: el malware Infostealer es un problema creciente tanto para usuarios corporativos como para consumidores. Puede instalarse involuntariamente a través de diversos mecanismos, como mensajes de phishing, descargas no solicitadas de sitios web infectados, juegos pirateados, anuncios de Google o incluso aplicaciones de aspecto legítimo, como falsos programas de reuniones. La mayoría de los infostealers cosechan archivos, flujos de datos, detalles de tarjetas, criptoactivos, contraseñas y pulsaciones de teclas.
  • Publicidad maliciosa: Los anuncios maliciosos pueden programarse para robar información, a veces incluso sin exigir la interacción del usuario.
  • Sitios web maliciosos: Los sitios de phishing pueden falsificarse para que parezcan auténticos, hasta el dominio. En el caso de los drive-by-downloads, basta con que el usuario visite una página maliciosa para que se inicie la instalación encubierta del malware. A menudo, los sitios web maliciosos se colocan en las primeras posiciones de los rankings de búsqueda para tener una mayor exposición, gracias a nefastas técnicas de SEO.
  • Aplicaciones maliciosas: Los programas maliciosos, incluidos los troyanos bancarios y los ladrones de información, pueden camuflarse como aplicaciones legítimas, con un riesgo especialmente alto fuera de las tiendas de aplicaciones oficiales como Google Play.
  • Pérdida o robo de dispositivos: Si pierdes tu dispositivo y no cuentas con la protección adecuada, los hackers podrían asaltarlo en busca de datos personales y financieros.

Cómo prevenir el fraude de identidad

La forma sencilla es impedir que los delincuentes accedan a tu información personal y financiera. Para ello es necesario seguir una serie de pasos que, aplicados en conjunto, pueden hacer un buen trabajo para conseguir precisamente esto:

  • Contraseñas fuertes y únicas: Elije una contraseña distinta para cada sitio, aplicación o cuenta, y guárdalas en un gestor de contraseñas. Activa la autenticación de doble factor (2FA) en tus cuentas, de esta forma, aunque alguien obtenga tu contraseña, no podrá utilizarla. La mejor opción es una aplicación de autenticación o una llave de seguridad.
  • Instala software de seguridad: Esto escaneará y bloqueará aplicaciones y descargas maliciosas, detectará y bloqueará sitios web de phishing y alertará sobre actividades sospechosas, entre otras.
  • Sé escéptico: Estate atento a las señales de advertencia del phishing: un mensaje no solicitado que insta a actuar con rapidez y que contiene enlaces o archivos adjuntos. Algunas excusas que usan para engañarte son supuestos sorteos de premios con límite de tiempo o advertencias de multas si no respondes cuanto antes.
  • Utiliza únicamente aplicaciones de sitios legítimos: App Store de Apple y a Google Play, por ejemplo, para dismuniir la probabilidad de descargar aplicaciones maliciosas. Comprueba las reseñas y los permisos antes de descargarlas.
  • Desconfía de las redes Wi-Fi públicas: Mantente alejado de las redes Wi-Fi públicas o, si debes usar una no ingreses a cuentas sensible mientras estés conectado. En cualquier caso, utiliza una VPN.

Responder a una brecha

Evita guardar tu tarjeta de pago o tus datos personales al comprar artículos, así habrá menos información que los ciberdelincuentes puedan robar si consiguen acceder a una empresa en la que dejarte un registro. También puedes adoptar una actitud proactiva:  utiliza productos de protección de la identidad que rastrean la web oscura en busca de sus datos, para ver si ya han sido vulnerados, por ejemplo. Así si descubren que tus datos están allí puedes cancelar tarjetas, cambiar contraseñas y tomar otras precauciones. 

Otras medidas posteriores a la violación podrían ser:

  • Comunícalo a tu banco: Bloquea tus tarjetas (se puede hacer a través de la mayoría de las aplicaciones bancarias), denuncia el fraude y solicita tarjetas de sustitución.
  • Denuncia a las autoridades: Principalmente la policía, y las entiedades que sean pertinentes: por ejemplo si te robaron la licencia de conducir denúncialo antes el organismo que la emitió.
  • Cambia tus claves de acceso y, si no lo habías hecho antes, activa el 2FA.

El fraude de identidad sigue siendo una amenaza porque es relativamente fácil obtener beneficios con el en el mundo cibercriminal Al reducir las vías que pueden utilizar para extraer nuestra información personal, podemos incomodar a nuestros adversarios y, con suerte, mantener nuestras propias vidas digitales a salvo y seguras.