Lectura fácil
El fraude digital por suplantación de identidad crece cada día suponiendo un freno para el uso de la Administración Electrónica debido a la desconfianza generada entre ciudadanos y empresas.
Este tipo de estafa afecta tanto a personas físicas como jurídicas. En 2017, la empresa tecnológica Hocelot estimó en 1.600 millones de euros las pérdidas anuales derivadas del robo de identidad en España. Unos riesgos económicos y reputacionales que no paran de crecer. Entre 2013 y 2017 las denuncias por suplantación de identidad han aumentado a un ritmo medio anual del 16,5 %. En el código civil viene reconocido como delito de “usurpación del estado civil” y acarrea unas penas de prisión de 6 meses a 3 años.
La suplantación de identidad se entiende como un medio para acometer más delitos
Normalmente vinculados al fraude económico. Es más, esta suplantación de identidad supone un ciberdelito poco percibido entre los españoles, solo el 35 % es consciente de los problemas que puede acarrear, según el Eurobarómetro. Sin embargo, el porcentaje de ciudadanos españoles que se muestran preocupados por la suplantación digital de la identidad se sitúa entre los más altos de Europa, junto a búlgaros e ingleses.
La protección contra ciberataques y la formación en ciberseguridad no paran de evolucionar para poder enfrentarse a las nuevas amenazas que van apareciendo. El problema es que los estafadores no se quedan atrás: sus herramientas y procesos también van evolucionando para poder superar estos "obstáculos".
La última tendencia entre los ciberdelincuentes es intentar recopilar información de su interés aprovechándose del FOMO (acrónimo de la expresión en inglés “fear of missing out”) o del miedo a perderse algo que puedan tener sus potenciales víctimas.
En qué consiste la técnica de suplantación de identidad multipersona
Esta novedosa técnica de ingeniería social se ha denominado dentro del mundo de la ciberseguridad como "suplantación de identidad multipersona". En ella, el ciberdelincuente utiliza al menos dos identidades falsas diferentes en un mismo hilo de correos electrónicos para así dar veracidad a los mensajes y ser más convincente. Esto mismo la convierte en una técnica de lo más llamativa en la que se utilizan más recursos por interacción y se requiere una coordinación entre estas diferentes “personalidades”.
Normalmente, el ciberdelincuente se hace pasar por un individuo, como un periodista, que quiere colaborar con el objetivo, que suele ser un académico, político, diplomático u otro periodista. Inicia una conversación en apariencia inofensiva, haciendo una serie de preguntas sobre un tema en el que la víctima es experta o tiene gran interés.
Estas preguntas podrían ser un pretexto para enviar un enlace para recopilar credenciales o entregar un documento malicioso, como en otras estafas de spear phishing. Pero también es posible que sean útiles en sí mismas para obtener información confidencial.
Cómo evitar este tipo de ataques
Todos los ciberdelincuentes están actualizando constantemente sus herramientas, avanzando en algunas mientras que otras quedan obsoletas. Por lo tanto, es probable que esta nueva táctica siga evolucionando y transformándose.
En este momento, algunos elementos que pueden indicar un ataque de este tipo son el uso de una dirección de correo “personal” (Gmail, Hotmail, Outlook o AOL) en lugar de una institucional, incluir otros emails personales en la conversación, solicitudes de colaboración, ofrecer una llamada por Zoom y el envío no solicitado de "borradores de colaboración" adjuntos.
Los investigadores, especialmente los dedicados a la seguridad internacional, deben estar alerta cuando reciban correos electrónicos inesperados, aunque traten temas de su interés o de su campo de trabajo, y verificar la dirección de correo electrónico de los remitentes antes de compartir información confidencial.
Añadir nuevo comentario