Inicio /Suplantación de identidad y secuestro de cuentas. ¿Cómo actuar?

Suplantación de identidad y secuestro de cuentas. ¿Cómo actuar?

Enviado por csirtutpl el Sáb, 02/06/2021 - 13:05

La suplantación de identidad se trata de una actividad malintencionada que busca hacerse pasar por otra persona o entidad por diferentes motivos: robo de datos, fraudes y engaños para obtener información o un beneficio económico, ciberacoso, extorsión, grooming, etc.

Los ataques y fraudes basados en la suplantación de identidad pueden ser muy variados, aunque se distinguen principalmente por dos cosas:

  • Robo o acceso no autorizado a una cuenta: cuando el atacante ha conseguido acceder a nuestra cuenta haciendo uso de nuestras contraseñas, que ha obtenido a través de distintas técnicas y ataques. En este caso, puede suponer la pérdida del control de nuestra cuenta si el ciberdelincuente cambia la clave de acceso y los métodos de recuperación, aunque en otros casos el atacante puede que solo utilice la cuenta para publicar en nuestro nombre, ver datos almacenados, etc.; todo ello sin nuestro consentimiento.
  • Creación de un perfil falso: el atacante ha creado una cuenta o perfil muy similar al nuestro o al de otra persona, entidad o empresa. Para ello, utiliza información que ha podido conseguir fácilmente a través de Internet y no implica el robo de nuestra cuenta ni accesos no autorizados.

 Los tipos de suplantación de identidad que más incidencia están teniendo entre los usuarios en este momento:

Robo o secuestro de cuentas de WhatsApp en cadena

Si un atacante instalase WhatsApp en otro dispositivo utilizando nuestro número, nos llegaría por SMS un código de verificación para confirmar que somos nosotros los que estamos configurando la app en otro dispositivo. Es entonces cuando el ciberdelincuente trataría de engañarnos para que le facilitásemos el código de verificación, haciéndose pasar por un contacto conocido (familia o amigo) que ha cambiado de número y, por seguridad o dudas, prefirió utilizar nuestro teléfono para recibir el SMS.

Si lo compartimos, el atacante nos quitará el control de la cuenta y activará la verificación en dos pasos para evitar que podamos recuperarla fácilmente.

¿Cómo podemos protegernos?

  • No compartiendo nunca el código de verificación con nadie. Si alguien nos los solicita, debemos desconfiar.
  • Activando la verificación en dos pasos. Incluso si obtienen nuestro código, con esta función no podrán robarnos la cuenta.

Secuestro de nuestras cuentas personales

Mediante ataques a contraseñas o técnicas basadas en ingeniería social, como el phishing, los atacantes son capaces de hacerse con nuestras credenciales y secuestrar nuestras cuentas. Una vez que están bajo su control, tendrán total libertad para lanzar fraudes en nuestro nombre, obtener información personal, cambiarnos la contraseña y los datos de recuperación de la cuenta y pedirnos incluso un rescate a cambio de recuperar el control de la misma.

Este tipo de prácticas no se limitan solo a las redes sociales, sino que pueden afectar a nuestras cuentas de correo electrónico o de otros servicios digitales, por lo que conviene revisar detenidamente las opciones de seguridad y privacidad para prevenirlo.

¿Cómo podemos protegernos?

  • Configurando correctamente las opciones de privacidad y seguridad de nuestra cuenta.
  • Activando la verificación en dos pasos y utilizando contraseñas robustas.
  • No aceptando peticiones de amistad de usuarios desconocidos o con perfiles falsos
  • Publicando solo la información que queremos que sea visible y protegiendo los datos más sensibles, como dirección, correo electrónico, C.I, datos bancarios, etc. para que no nos puedan extorsionar a través de otros medios.

Suplantación de identidad y difusión de fraudes entre contactos y seguidores

En este caso, los atacantes tienen como objetivo suplantar aquellas cuentas con muchos seguidores, tanto de usuarios particulares como empresas, como un medio para engañar al mayor número de usuarios posibles y dañar la reputación del perfil legítimo.

Su modus operandi es la creación de una cuenta falsa que guarda un gran parecido, casi idéntico, a la cuenta oficial, que en ocasiones solo se diferencian por un carácter en el alias o nickname. De esta forma, los usuarios despistados siguen creyendo que son las cuentas “buenas”. Es entonces cuando el atacante aprovechará para lanzar y publicar desde los perfiles fraudulentos sorteos o campañas de publicidad falsas, con enlaces maliciosos o formularios con los que recoger información personal de los usuarios víctimas.

Existe una variante donde la cuenta suplantada es la de un contacto nuestro (familiar o amigo), que el atacante utiliza para solicitarnos ayuda económica o que nos descarguemos algún tipo de software malicioso.

¿Cómo podemos protegernos?

  • Desconfiando de cualquier petición de amistad por parte de desconocidos.
  • Confirmando que estamos siempre siguiendo a un perfil legítimo. Ante la duda, será mejor contrastar la información utilizando otras fuentes de confianza.
  • Si un contacto nos solicita ayuda o nos realiza una petición que nos genera dudas, debemos contactar con él por otra vía para verificar que es cierta la información.

¿Qué podemos hacer si detectamos una suplantación de identidad o nos han robado el acceso a la cuenta?

Si creemos que estamos sufriendo una suplantación de identidad o somos víctimas de algún fraude donde se ha suplantado la identidad de alguna entidad o persona, debemos seguir las siguientes recomendaciones:

  1. Documentar todo lo ocurrido, recabando copias de los correos o mensajes con capturas de pantalla, y revisar nuestras cuentas para comprobar cuáles han podido ser afectadas.
  2. Estar alerta y contactar con nuestros contactos, familiares y amigos para contarles lo ocurrido y evitar que se conviertan en víctimas del fraude a su vez.
  3. Recuperar las cuentas y cambiar las credenciales de aquellas donde aún podamos acceder con contraseñas robustas, además de activar el factor de autenticación múltiple o verificación en dos pasos.

Es recomendable que revisemos las opciones de recuperación de cuenta cada cierto tiempo para comprobar que no hayan sido modificadas. Un ciberdelincuente que haya robado una cuenta tratará de cambiar estas opciones lo antes posible, como el teléfono o correo alternativo, para impedirnos recuperar el control de nuestra cuenta. 

La mayoría de servicios online, como redes sociales o correo electrónico, cuentan con mecanismos para recuperar cuentas “hackeadas” y denunciar la existencia de perfiles falsos o casos de suplantación de identidad.

 

Tags: 
#suplantaciondeidentidad
#ciberacoso

Añadir nuevo comentario

Más información sobre los formatos de texto

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
Copyright 2023. Universidad Técnica Particular de Loja
Políticas de Privacidad | Términos y condiciones