Suplantación de identidad ‘online’: cuál es el riesgo y cómo protegerse

En el clímax de la película, aparece la gran revelación: ese personaje que creíamos que era el hermano de la protagonista, la pareja de dicho hermano o la mejor amiga y confidente se saca su logradísima máscara y descubre su verdadero rostro: ¡No es alguien de confianza, es el malo! Fuera de la ficción, las suplantaciones de identidad pierden ese elemento vistoso de ver a alguien sacarse una cara y desvelar la verdadera, pero pueden llegar a ser mucho más elaboradas. Además, ya no es necesario perder el DNI para abrir esa caja de Pandora en la que pueden pedir préstamos a tu nombre. Los datos necesarios para que alguien se haga pasar por ti están ya en la red.

Aunque en este tipo de ciberdelito es habitual que quien sea suplantado sea una empresa (los típicos correos electrónicos que dicen ser del banco o de una empresa de reparto, por ejemplo), caer en ellos es una forma de dar en bandeja a los cibercriminales la información necesaria para suplantarnos a nosotros. “La suplantación de identidad es cualquier intento deliberado de hacerse pasar por otra persona o entidad, utilizando información personal, profesional o corporativa, con el objetivo de engañar, manipular o realizar acciones fraudulentas que resulten en un beneficio económico, social o en el acceso indebido a datos sensibles”, define Adrián Flecha, técnico de ciberseguridad de INCIBE-CERT, el servicio de respuesta a incidentes del Instituto Nacional de Ciberseguridad.

Entre los métodos más comunes, señala, “destaca el phishing, basado en correos electrónicos engañosos para robar información confidencial, y su variante más sofisticada, el spear phishing, que utiliza datos específicos de la víctima para aumentar su efectividad. También proliferan tácticas como el smishing, a través de mensajes de texto, y el vishing, mediante llamadas telefónicas”.

Es un tipo de delito que va en aumento. Según el Informe sobre la Cibercriminalidad en España 2023, elaborado por el Ministerio de Interior, los delitos informáticos aumentaron un 23% en 2023 con respecto al año anterior. De ellos, más del 90% pertenecían a la categoría de fraude, donde se encuentran los relativos a la identidad. “Durante el año 2023 han continuado proliferando campañas de suplantación de la identidad de clientes o proveedores, mediante vía telefónica y correo electrónico”, indica el informe.

Formas de suplantarte la identidad

Dejando de lado la modalidad en la que nos convencen de que la princesa Leonor o Brad Pitt nos están pidiendo dinero, y centrándonos en la que hay cibercriminales haciendo cosas en nuestro nombre, ¿qué puede ocurrir? “Básicamente, va a haber un daño reputacional, un daño financiero o un daño legal”, resume Elena Gil, abogada digital en Data Guardians y divulgadora a través de TechandLaw.

El primero, el daño reputacional, es el clásico en el que alguien secuestra las redes sociales de otra persona o se abre perfiles haciéndose pasar por ella. El riesgo aquí es mayor para las personalidades públicas, señala Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación en la Universitat Oberta de Catalunya (UOC) y experto en ciberseguridad. “Pueden hacerlo, si eres famoso, para intentar buscar tu desprestigio”, explica, pero “lo que puedan hacer, en general, depende de los datos que hayan conseguido de ti”.

En este sentido, Elena Gil destaca el uso de la inteligencia artificial (IA) que ya se está haciendo en algunos ataques. “A partir de tu foto y tu voz, podrían crear un vídeo dando un mensaje falso, que manipule opiniones, que polarice, que cree un daño reputacional”, asegura. Los vídeos o contenidos sexuales, que no solo atañen a celebrities, entrarían en esta categoría. También se puede suplantar identidad de alguien para engañar a familiares o personas cercanas (a través, por ejemplo, de mensajes de WhatsApp o llamadas con su voz).

En el ámbito personal, sin embargo, el daño más inmediato suele ser el económico, añade Adrián Flecha, del INCIBE. “Los delincuentes pueden acceder a cuentas bancarias, solicitar préstamos o realizar compras en nombre de la víctima”. La IA aumenta aquí también la efectividad del fraude. “Permite crear deepfakes de voz y vídeo, usados para engañar a empleados y lograr transferencias fraudulentas. Un caso destacado ocurrió en 2019, cuando los atacantes replicaron la voz de un directivo para solicitar 220.000 euros en una llamada aparentemente legítima”, ejemplifica el experto.

La parte del daño legal también se nutre de esta tecnología. “Alguien, por ejemplo, podría crear a partir de tu foto una falsificación de un DNI y un vídeo para intentar abrirse una cuenta bancaria a tu nombre y pedir créditos, de forma que te dejen con deudas o cometer fraudes sin dejar su propio rastro, dejando el tuyo”, alerta Elena Gil.

Cómo protegerse (y qué hacer si ocurre)

¿Quién está más en riesgo? ¿Hay perfiles que resulten más vulnerables? “Aunque todos estamos expuestos, las personas con una alta presencia en redes sociales o que comparten mucha información personal en Internet son más vulnerables, ya que los ciberdelincuentes pueden usar esos datos públicos para construir un perfil creíble. Asimismo, los profesionales de alto rango o con acceso a información sensible o recursos financieros, como ejecutivos, responsables de recursos humanos o empleados de banca, suelen ser objetivos prioritarios”, sostiene Flecha. Eso sí, cuando los atacantes optan por campañas masivas de phishing o smishing, no discriminan y las dirigen a cualquier usuario, “independientemente de su posición o actividad”.

Esta es la razón por la que Serra, de la UOC, indica que lo mejor para protegerse es desconfiar de todo. “Sobre todo de correos electrónicos que recibamos o de llamadas como esas en las que dicen que te quieren contratar. Al final te piden que les envíes el DNI y la cuenta corriente para hacerte los pagos. Con esos datos te pueden suplantar en un banco, pueden pedir un crédito a tu nombre”. En el caso de las redes sociales, además de compartir lo mínimo, es fundamental activar el segundo factor de autenticación y que la contraseña sea complicada. “Es más molesto, pero es como nos protegemos”, señala Serra.

Además, es importante estar al tanto de las tácticas más comunes para poder detectarlas, añade Adrián Flecha. “La seguridad digital no es solo tecnología, también es sentido común”.

Si, pese a todas nuestras precauciones, detectamos que alguien está suplantando nuestra identidad, el primer paso debe ser recopilar toda la evidencia posible, explica el experto: “capturas de pantalla de perfiles falsos, correos sospechosos o transacciones no autorizadas. Esto es fundamental para respaldar y documentar cualquier denuncia”. A continuación, debemos “comunicarlo a las plataformas o servicios afectados para solicitar la eliminación de cuentas falsas o detener transacciones fraudulentas”. Las redes sociales suelen tener procedimientos específicos para reportar suplantaciones, aunque son lentas y no siempre funcionan bien.

Por supuesto, otro paso clave es informar a las autoridades “presentando una denuncia formal en la policía o a través de servicios especializados, como el 017, la Línea de Ayuda en Ciberseguridad del INCIBE. Esto permite activar mecanismos legales y, en algunos casos, iniciar una investigación”. En el caso de que nuestra información bancaria haya sido comprometida, debemos también alertar a la entidad financiera cuanto antes para bloquear cuentas o revertir transacciones.

Cuando se trata de contenido de tipo sexual, además de contactar con las redes en las que han sido publicados para que los eliminen, es importante también saber que tenemos a nuestra disposición armas legales, recuerda Elena Gil. “La Agencia Española de Protección de Datos, por ejemplo, tiene un el llamado Canal Prioritario, en el que te ayudan de forma muy rápida y gratuita a quitar este tipo de contenido violento o sexual de redes sociales”, señala.

En cualquier caso, “actuar rápido y con determinación es clave para limitar el alcance de los daños y recuperar nuestra identidad”, concluye Adrián Flecha.

¿Es posible recuperar la normalidad?

Ha pasado lo peor, pero hemos dado los pasos correctos y todo se ha arreglado. ¿Volveremos al punto en el que estábamos antes o tendremos que empezar de cero en nuestra vida online? “Una suplantación de identidad puede ocasionar pérdida de datos, historial de publicaciones, problemas financieros, legales o reputacionales, por lo que no siempre podemos regresar al punto inicial. En muchos casos, aunque logremos recuperar el control de nuestras cuentas y detener el daño inmediato, puede ser necesario crear nuevos perfiles y recuperar la confianza o los contactos perdidos”, explica Adrián Flecha, que menciona también las consecuencias emocionales (estrés, ansiedad, pérdida de confianza…) de que nos pase algo así.

Por otra parte, hay que tener en cuenta también que los atacantes conservan la información que utilizaron previamente para suplantarnos, como datos personales, imágenes o patrones de comunicación. “Esta información puede volver a ser utilizada en intentos de suplantación futuros, por lo que debemos extremar las precauciones y reducir riesgos”, apunta Flecha.

Es definitiva, lo mejor es prevenir para intentar evitar que nuestra identidad acabe en manos equivocadas. Si bien la protección total no existe y siempre estaremos algo expuestos, sí es posible reducir los riesgos a través de lo que Elena Gil denomina “higiene digital”. Y, si ocurre, saber que hay unos pasos que podemos seguir para tratar de minimizar las consecuencias.