Llega el viernes, y como ya es habitual, procedo con la entrada de esta semana de #AskToPablo, donde intento dar una respuesta más completa a alguna de las preguntas que durante estos últimos días me habéis hecho por los diferentes canales en los que estamos (tenéis al final de la entrada enlace a todos y cada uno de ellos).
En este artículo, hablaremos del caso de Pedro (nombre que no tiene porqué ser el verdadero), que se puso en contacto mediante mail con un servidor para pedir consejo sobre las opciones que tenía a su disposición para recuperar la identidad que le había sido robada en Facebook.
Y es que la suplantación de identidad digital es un problema realmente serio en un mundo profundamente dependiente de internet. A efectos prácticos, un mensaje privado escrito desde la cuenta de facebook de una persona es entendido como proveniente de dicha persona. Las redes sociales se han transformado en una verdadera extensión de la identidad de cada uno, sea persona o empresa, y puede tener resultados tan catastróficos como una bajada global de la bolsa por un tweet publicado por la cuenta comprometida (ES) de un medio con gran reputación en el sector.
Hay varias cuestiones a tener en cuenta, y que iré detallando a continuación:
Índice de contenido
¿Por qué iban a querer secuestrar mi identidad (phishing) sino soy alguien importante?
Uno de los mayores errores que podemos cometer, y que en la práctica es la principal ventaja que usan los timadores para seguir sacando provecho de la suplantación de identidad. Cualquier cuenta, cualquiera, es un potencial objetivo para timadores. No necesitas ser una celebridad para que tu cuenta sea interesante, y es que bajo este sucio negocio, hay varios modelos de monetización diferentes:
- Reputación: Es el que a priori nos viene a la mente. Una cuenta hackeada, puede ser usada para hundir la reputación de una persona o un colectivo (si viene de su cuenta, es que es él), o bien para aumentar los beneficios (económicos o sociales) de un tercero, ya sea mediante extorsión directa, o indirecta (perder credibilidad frente a la competencia, por ejemplo).
- Obtener información del verdadero objetivo: Puede que una cuenta comprometida no sea el objetivo, sino el medio para llegar a otra que sí nos interesa. Este ataque es de los más comunes en operaciones a gran escala. Parafraseando al dicho, «Un sistema es tan débil como el más débil de los elementos que lo forman«. Cada vez más, nos llegan noticias de grandes empresas (o celebrities) que han sido atacadas gracias a un amigo o empleado que fue en principio comprometido. Y lo peor de todo es que los timadores no tienen porqué utilizar la misma red social para ello, sino que quizás accediendo a una red, puedan acceder al correo de ese usuario, y desde ahí al resto de servicios del mismo.
- El timo de la abuela: ¿Qué ocurriría si hoy recibieras un mensaje desde la cuenta de ese primo con el que apenas hablas que te pide que por favor que le ayudes a salir de un problema muy gordo y que no avises a nadie? Pues esto funciona, y también se le llama «Grandma Scam«. Consiste en hacerse pasar por una persona para, mediante ingeniería social, obtener beneficio de sus allegados. Y como ves, no tienes porqué ser nadie importante.
- Aprovechar la credibilidad del usuario: Este es un compendio de los anteriores, y nuevamente destinado a cualquier tipo de persona. Consiste en enviar links con diferentes servicios y negocios negros que vienen de parte de un conocido tuyo. Está demostrado que si un amigo te recomienda algo, hay muchísimas más posibilidades de que caigas en el engaño. De hecho es uno de los malwares de moda en las redes sociales.
Una vez entendamos que todos podemos ser objetivos, paso a comentar los vectores de ataque más comunes:
¿Cómo se lleva a cabo una suplantación de identidad o phishing?
Hay principalmente dos maneras.
- Cuenta comprometida: Es la directa. Mediante algún ataque, conseguimos acceso a la cuenta (recordar que el ataque puede provenir de la misma red, o de cualquier servicio de internet), y una vez dentro, cambiamos la contraseña y evitamos que el usuario real pueda entrar. En este momento, tenemos pleno acceso a su identidad digital (somos esa persona, y podemos actuar en consecuencia). Si además tenemos acceso a su correo, tendremos en nuestra mano el potencial de toda la identidad digital de esa persona que dependa de dicho correo.
- Bloqueo: La indirecta. Creamos una copia de dicha cuenta, usando para ello todo lo que el usuario tiene en su perfil de manera pública. Si sabemos jugar bien nuestras cartas (y creerme que los timadores están por encima), conseguiremos bloquear al usuario real, y mediante ingeniería inversa, acabaremos por obtener las amistades que más nos interesan (el típico «me he creado otro perfil porque soy un manta y se me ha olvidado la contraseña» es muy socorrido). Pasado un tiempo, seremos dueños de esa identidad.
¿Qué pautas puedo seguir para evitar una suplantación de identidad?
Ya hemos visto que cualquiera puede llegar a ser un objetivo de timadores (o ex cabreados), y que solo hace falta un poco de conocimiento del funcionamiento de las redes para acabar suplantándonos. Como en la mayoría de los casos, existen algunas recomendaciones para minimizar la posibilidad de ser objetivos jugosos de los interesados en lo ajeno:
- Contraseñas distintas y verificación en dos pasos: Cada servicio tiene que tener diferente contraseña, alfanumérica con signos y que no sea una palabra o frase legible, y ésta sólo la debemos conocer nosotros mismos. Si usamos la misma contraseña, estamos sirviendo en bandeja el resto de servicios a un posible atacante. Además, algunos de estos servicios ya cuentan con la verificación en dos pasos, como es el caso de Google, y desde hoy, Twitter. Si llega a ocurrir algo, tendremos más alternativas para solucionarlo, además que con esto restringimos los vectores de ataque a los puramente locales (es necesario tener acceso físico a nuestro teléfono para suplantarnos).
- Al loro con permisos y contactos que permitimos: La mayoría de perfiles sociales usan servicios de terceros para agregar funcionalidades extra (aplicaciones), que pueden ser motivo de ataques. No viene nada mal de vez en cuando consultar a quién hemos dado permiso, y borrar todas aquellas que ya no usemos (o no sepamos ni siquiera de qué son). Lo mismo se puede extrapolar a los usuarios en redes sociales cerradas como Facebook. Sino lo conocemos, o ya tenemos un perfil de esa persona, no lo agreguéis, ya que puede ser un posible suplantador, y traernos problemas futuros.
- Datos personales públicos: Puedes tener una presencia importante en internet y no mostrar datos comprometedores. En este caso, quien se lleva la medalla de oro es Facebook y su complicada privacidad (sobre todo en publicaciones de amigos que nos etiquetan). Todas las fotos y datos (incluido el listado de amigos) que publiquéis deben estar con privacidad cerrada, no públicas. La excepción (lamentablemente), es la foto de perfil y la portada, que son por defecto públicas. Es por ello que algunos recomiendan usar imágenes que nos representen, pero que en esencia no sean fotos nuestras (de esta manera, cumpliremos con las exigencias de Facebook, y no comprometeremos nuestras fotos). Editar esto es muy sencillo (aunque pesado la primera vez), y basta con darle al botón editar (en Facebook) y cambiar la privacidad. En el resto de redes sociales más abiertas, no publicar NUNCA datos personales (o de terceros) comprometedores.
Me han suplantado la identidad, ¿Qué hago?
Ha llegado el momento de la verdad. Un día entras a tu cuenta, y ves que no puedes, o has descubierto que hay otro perfil idéntico al tuyo que está haciéndose pasar por tí (eso si el que esté detrás no es listo y te ha bloqueado de base). En este caso, lo primero de todo es ponerte en contacto con la empresa. Los enlaces (o el tutorial) a los servicios más comunes están bajo estas palabras:
Suplantación en correos electrónicos:
Suplantación en redes sociales:
Tenéis más información al respecto en una entrada antigua sobre los pasos internos que sigue Facebook cuando se denuncia.
Es importante así mismo saber que, según el grado de usurpación, puede ser penalizable:
- Si la suplantación de identidad no usa ningún dato personal (fotografías incluídas) a excepción del nombre, deberá hacerse cargo la empresa. No es por tanto penalizable legalmente.
- Si en la suplantación, usan algún dato personal, como la imagen, estarían incumpliendo el artículo 18 de la Constitución Española (ES), lo que podría llevar a penas de hasta 3 años de cárcel según el artículo 401 del código penal (ES), descontando que el uso de herramientas de hackeo para fines ilícitos también puede conllevar penas superiores.
- En España, el Grupo de Delitos Telemáticos de la Guardia Civil (ES) son los encargados de casos de robo de identidad online, acoso y ciberbulling. La semana pasada en #X1RedMasSegura tuve la suerte de hablar con el comandante Oscar de la Cruz y el alférez Mario Farnós, y como ya os había comentado por experiencia propia en referencia a las estafas de alquileres de pisos, es relativamente sencillo recuperar nuestra identidad (las compañías de redes sociales entienden el peligro de este tipo de actos, y obran en consideración), pero casi imposible recuperar los bienes que puedan haber sido sustraídos (dinero, posibles chantajes, y mucho menos la reputación manchada).
Y con todo esto puedo ayudarte. Me llevo dedicando años a la consultoría de reputación online, y en todo este tiempo me he encontrado con muchísimas situaciones diferentes, tanto que afectan a negocios como a profesionales y marcas personales.
Cuéntame tu caso y te explico cómo podemos agilizar todos estos trámites.
Como ya sabéis, podéis proponer nuevos temas sobre los que hablar en los canales de comunicación siguientes:
- Mencionándome (@PYDotCom).
- Email desde la página de Contacto.
- Mensaje privado en la página de Facebook.
Intentad dejar esta entrada para consultas de la propia entrada. Muchas gracias, ¡y seguimos en contacto!
Edit varias horas más tarde: El CIGTR, en su infatigoso trabajo por acercar el mundo de la seguridad informática a todo tipo de perfiles, toma nuevamente la entrada de hoy como parte de su periódico diario, tanto en su versión español como inglés. A saber:
Ya que hablamos de cambios, también podemos parafrasear a al actor de EEUU, Elliot Gould, y su “nadie puede ser esclavo de su identidad: cuando surge una posibilidad de cambio, hay que cambiar”. Bien, pero cuando el cambio procede de fuera y es impuesto, es decir, cuando te roban la identidad, más imperiosa es la necesidad de no ser esclavo de esa nueva identidad. El blogger +Pablo F. Iglesias, en su sección #AskToPablo, nos cuenta en su último post qué hacer, precisamente, ante un robo de identidad.
Y la Policía, o Guardia civil, puede llegar a localizar a la Persona que ha creado un Perfil falso de Facebook, suplantado una identidad¿?. Porque con las IP dinámicas, no hay forma de localizar lal Conexión, hubicación desde dónde se hizo. O la Policía y Guardia civil sí pueden hacerlo. un saludo
Poder se puede Roberto. Las IP dinámicas no son la panacea. En cada conexión se te asigna un número finito de IPs, y además, junto con tu conexión en redes sociales como Facebook también sueles dejar rastros de Geoposición.
Por tanto, sí, la Guardia Civil puede llegar a localizar a un usuario que haya suplantado la identidad de otro o haya cometido algún otro delito.
Los procesos, de todas formas, suelen llevar tiempo, no te voy a engañar. Tienen que pedir permiso a la red social y salvar unas cuantas legalidades antes de que obtengan la información. Pero los datos están ahí, y tarde o temprano los malos acaban cayendo :).
Me han usurpado mi identidad en Facebook y he denunciado. Pero quisiera saber si habría alguna forma de saber con quien hablo haciendose pasar por mi, los mensajes privados. Un beso
Tienes acceso a la cuenta Tana, o simplemente han duplicado tu cuenta? ¿Quizás desde algún móvil asociado? Si es así, podrías mirar el registro, revisando también las archivadas y ocultas. En caso contrario, dependes de la decisión de Facebook, que a veces se hace esperar.
Si tienes constancia de algún abuso legal (timos a familiares o amigos), también puedes recurrir a la policía, que agilizará seguramente las cosas.
Saludos, ¡y mucha suerte!
me han duplicado la cuenta, pero me gustaria saber si de alguna manera esa persona que se ha echo pasar por mi ha hablado con el y saber de que
y en el caso contrario, si fuera yo la que ha usurpado la identidad de otra persona, y me mandan una carta de codigo penal citandome para declarar, que me podria pasar? podrian saber las conversaciones privadas que he tenido yo desde esa cuenta? seria de muy grata tu ayuda
Con una orden judicial, y dependiendo de la jurisprudencia de cada país, sí. Por tu parte únicamente, dependes de lo que Facebook quiera hacer. Y no te va a dejar mirar con quién han hablado. Como mucho cerrarle la cuenta.
Saludos!
y que pasaría si he usurpado una cuenta de Facebook y tengo que ir a declarar en septiembre, que me puede pasar?
solo me hice pasar por una persona y subi unas cuentas fotos de ella, pero nada mas. No hice nada malo, solo lo hice por cotillear que podría pasarme?
Pues depende de la legislación de tu país y de lo que hayas hecho. Desde un simple aviso, a multa o si fuera muy grave pena de cárcel.
Para el caso que comentas seguramente lo primero o lo segundo, según la gravedad de lo hecho.