Las múltiples caras del fraude por suplantación de identidad: Cómo detectar a un impostor antes de que sea demasiado tarde

En un mundo cada vez más digitalizado, el fraude por suplantación de identidad se ha convertido en una de las mayores amenazas para la seguridad digital, reportando pérdidas de más de 1.100 millones de dólares a las víctimas en 2023, según la FTC. Y es que este tipo de fraude puede adoptar múltiples formas, desde el phishing y el uso de aplicaciones móviles fraudulentas, hasta la creación de perfiles falsos en redes sociales.

“Como la mayoría de los fraudes, las estafas de suplantación de identidad están diseñadas para que envíes dinero o datos personales y financieros.  Los ciberdelincuentes pueden vender esta información en la dark web o utilizarlos ellos mismos para cometer fraudes de identidad. El phishing, posiblemente sea la forma más obvia de este tipo de fraude, aunque no es la única. Las cuentas falsas en redes sociales son un reto cada vez mayor ya que se utilizan para difundir enlaces fraudulentos y falsas ofertas. Además, las aplicaciones móviles fraudulentas pueden imitar a las legítimas con el fin de recolectar tu información personal, llenar tu pantalla con publicidad invasiva o suscribirte automáticamente a servicios de pago”, advierte Josep Albors, director de Investigación y Concienciación de ESET España.

En este sentido, ESET, compañía líder de ciberseguridad, hace un repaso sobre cómo detectar a un impostor y evitar caer víctimas de las estafas de suplantación de identidad antes de que sea demasiado tarde:

• Peticiones de dinero: Cada vez son más frecuentes las solicitudes de dinero por parte de alguien que afirma ser un familiar o amigo en una situación comprometida que requiere actuar de forma urgente. Los estafadores a menudo hackean cuentas reales para hacer sus peticiones más creíbles.
• Petición de acceso remoto: En el fraude de soporte técnico, un supuesto funcionario de una empresa de tecnología, telecomunicaciones u otra organización de apariencia legítima, dice necesitar acceso a tu ordenador para solucionar problemas inexistentes, como por ejemplo una infección con malware.

Imagen 1 – Ejemplo de fraude de soporte técnico

• Inspección de cuentas: Recibes un contacto inesperado de alguien que se identifica como policía o funcionario gubernamental, afirmando que deben revisar tu cuenta bancaria por investigaciones de delitos como blanqueo de dinero.
• Presión para actuar rápido: Se te insta a tomar decisiones precipitadas, como enviar dinero o realizar transferencias urgentes, utilizando la presión y el miedo como tácticas. Esta es una técnica de manipulación conocida como ingeniería social, que puede volverse aún más intimidante con el uso de inteligencia artificial para simular secuestros virtuales.
• Recolección de dinero o datos personales: Un supuesto funcionario pretende recolectar dinero, tarjetas, o información valiosa en tu domicilio con excusas falsas, como resolver un pago dudoso con tu tarjeta bancaria o abonar ciertas cantidades relacionadas con el pago de impuestos o multas.
• Notificaciones falsas de seguridad: Enviar alertas engañosas que te piden «confirmar» tus datos personales o financieros es otra forma que tienen los estafadores de hacerse con tu información personal y financiera.

Imagen 2 – Suplantación de identidad para recopilar datos personales

• Mensajes de phishing: Algunos correos de phishing pueden tener errores que delatan el fraude. Aunque los estafadores imitan el nombre del remitente, al pasar el cursor sobre él, la verdadera dirección, a menudo sospechosa, se revela. Sin embargo, algunos estafadores hackean cuentas reales o falsifican identificaciones de llamadas, complicando identificar los correos legítimos de los fraudulentos.
• Paquetería fraudulenta: Falsas empresas de envíos exigen pagos o datos bancarios para liberar un paquete inexistente. En otros casos, los estafadores se hacen pasar por un servicio de entrega conocido y le avisan de «problemas» con su paquete.

Imagen 3 – Suplantación de empresa de mensajería

• Tarjetas regalo como pago: Se solicita el pago de multas o tasas a través de la compra de tarjetas regalo. El estafador prefiere este método de pago en lugar de una transferencia bancaria, ya que es mucho más difícil de rastrear.
• Renovaciones de suscripción falsas: Se te pide conectar con el estafador para «renovar» suscripciones o procesar reembolsos inexistentes.
• Uso de lenguaje inusual: Otra señal reveladora de intentos de phishing podría ser la mala gramática o términos vagos en los mensajes, aunque algunos estafadores ya usan IA para mejorar la credibilidad de sus comunicaciones.

“Los métodos de fraude por suplantación de identidad están en constante evolución, y lo que hemos visto hasta ahora no abarca todo el espectro de posibilidades. Los deepfakes basados en IA, capaces de replicar voces y apariencias de personas conocidas, emergen como una nueva amenaza, habiendo engañado ya a empleados para realizar transferencias indebidas y a individuos en redes sociales para tomar decisiones financieras apresuradas. A medida que esta tecnología se vuelve más accesible, el riesgo de fraude aumenta incluso a niveles más personales”, comenta Albors.

Desde ESET recordamos que es crucial mantenerse escéptico, tomarse el tiempo para verificar la autenticidad de quien se pone en contacto con nosotros, y nunca proporcionar dinero o información personal sin asegurarse de que el contacto es legítimo, contactando directamente a la organización o persona en cuestión a través de medios verificados.