Subdirección de Seguridad de la Información

Subdirección de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7 8

Robo de Identidad y Consecuencias Sociales

pdf

¿Qué es el robo de identidad?

El robo de identidad (Identity theft o "ID theft") se produce cuando una persona adquiere, transfiere, posee o utiliza información personal de una persona física o jurídica de forma no autorizada, con la intención de efectuar o vincularlo con algún fraude u otro delito.

La identidad la constituyen datos personales como el nombre, teléfono, domicilio, fotografías, huellas dactilares, números de licencia y de seguridad social; números de tarjeta de crédito y de cuentas bancarias; nombres de usuario y contraseñas; incluyendo información financiera o médica, así como cualquier otro dato que permita identificar a una persona. Se debe tener especial cuidado en el manejo de documentos, como la credencial de elector, número de seguro social, acta de nacimiento, licencia de manejo y cédula profesional; ya que estos pueden ser falsificados.

El robo de identidad es un problema que en los últimos años se ha incrementado con el uso de Internet y el comercio electrónico.

¿Cómo adquieren los ladrones acceso no autorizado a los datos personales de otras personas?

El acceso no autorizado a los datos personales puede llevarse a cabo por diversos medios entre los que se encuentran:

  • Dumpster diving (buceo de basurero): Se refiere al acto de husmear entre la basura, de esta manera se pueden obtener documentos con información personal o financiera de una persona.

  • Pretextos : Estos se presentan cuando un supuesto representante de una institución financiera, de una compañía de teléfonos o algún otro servicio, pregunta por información de la cuenta del cliente.

  • Shoulder surfing (espiar por el hombro): Se refiere a la acción de ver u observar por encima del hombro, o desde lugares muy próximos, justo en el momento en que la víctima ingresa su PIN (Personal Identification Number) en un cajero automático o realiza algunas otras operaciones en la computadora.

  • Skimming : De las cintas magnéticas de las tarjetas de crédito o débito se realiza la captura de datos personales; dichos datos son copiados y transmitidos a otro lugar para hacer "tarjetas de crédito o débito" fraudulentas.

  • Robo de registros de negocio : se refiere al robo de datos de un negocio (por ejemplo archivos o documentos), y por medio de sobornos obtener información de la organización.

Los principales métodos empleados por los delincuentes para adquirir información personal de las víctimas en línea son:

  • El diseño y uso de software para recolectar información personal, el cual es instalado silenciosamente en computadoras o dispositivos móviles. Por ejemplo: malware.

  • El uso de correos electrónicos o sitios Web falsos para engañar a las personas haciendo que éstas revelen información personal. Por ejemplo: phishing y spam.

  • Comprometer computadoras o dispositivos móviles para obtener datos personales.

Una vez que los ladrones de identidad obtienen estos datos, utilizan la información adquirida ilícitamente para realizar numerosas actividades fraudulentas. A continuación se presentan algunos ejemplos de los malos usos que los delincuentes hacen con la información personal de las víctimas:

  • Mal uso de las cuentas existentes:

Los ladrones de identidad usan cuentas existentes de las víctimas, incluyendo cuentas de tarjetas de crédito, ahorro y de cheques, teléfono (teléfono fijo y servicio móvil), pago del servicio de Internet, correo electrónico y otras cuentas a las que estén suscritas en Internet, así como cuentas de seguros médicos; para hacer compras o realizar el pago de servicios, con cargo a las víctimas.

  • Abrir nuevas cuentas:

Los ladrones de identidad acostumbran abrir nuevas cuentas utilizando la información de las víctimas, por ejemplo cuentas para nuevos servicios de teléfono, tarjetas de crédito, solicitudes de préstamos o seguros de automóviles; para conseguir créditos o adquirir bienes, que más tarde serán cobrados al verdadero titular de la información robada.

  • Perpetuar otros fraudes:

Los ladrones de identidad pueden utilizar la información de las víctimas cuando la policía los detiene o los acusa de algún crimen; también pueden manipularla para conseguir tratamientos médicos o servicios, hacerse acreedores a ciertos beneficios que el gobierno otorga, así como para el alquiler de alguna vivienda o para alguna situación específica de empleo.

Los criminales explotan principalmente tres recursos:

  • Uso y creación de plataformas técnicas basadas en la web.

  • Técnicas de ingeniería social como vehículos alternativos para engañar y llevar a cabo fraudes.

  • Vulnerabilidad y falta de información de algunos usuarios, sobre todo aquellos que son nuevos o bien, tienen poco tiempo utilizando los sitios de subastas o de servicios financieros.

También, aprovechan las escasas regulaciones y la dificultad que representa para las autoridades ubicar exactamente el lugar físico donde se llevan a cabo las operaciones fraudulentas, así como la persecución hasta su lugar de origen.

¿Qué daños puede causar el robo de identidad?

El robo de identidad causa serios problemas económicos, pero también afecta severamente la reputación de la víctima.

Los daños y perjuicios causados por el robo de identidad no se limitan únicamente a problemas financieros, éste puede tener un alto costo tanto en el aspecto personal y sentimental de la víctima, debido a que puede dejar una sensación de violación a la vida privada. El impacto de este crimen sobre la víctima es económico, emocional y psicológico.

Los efectos negativos en su reputación y las subsecuentes dificultades para restablecer su credibilidad, son cuestiones que lamentablemente afectan la vida del individuo a escala social dando lugar a eventos como la pérdida de empleo, expulsión de círculos personales, profesionales o académicos, divorcios o separaciones, litigios legales, entre otras.

Si sospecha ser víctima del robo de identidad debe actuar inmediatamente, contacte a su institución financiera para solicitar interponga una "alerta de fraude", así como el cierre y la cancelación de las cuentas que podrían estar involucradas. Alerte a sus proveedores de servicios virtuales, cambie las contraseñas o bloquee las cuentas que pudieran estar comprometidas, denuncie además ante la autoridad correspondiente. En México algunas de las entidades a las que se puede acudir son la Condusef , la PROFECO y la Policía Federal .

Entidades o leyes que protejan contra el robo de identidad en México

El delito de robo de identidad no existe como tal en México. Es importante el desarrollo y cumplimiento de leyes y regulaciones que establezcan y protejan la seguridad de los datos personales, incluyendo iniciativas para la realización de investigaciones apropiadas, así como reforzar acciones contra entidades que violen las leyes que rigen la seguridad de los datos.

En el Código Penal Federal , seis artículos (del 386 al 389bis) contemplan el delito de fraude, previendo penas y multas de acuerdo con el monto y valor de lo defraudado; sin embargo, ninguno de dichos artículos contempla el fraude cometido a través del uso de medios electrónicos o de Internet.

Desde el año 2000, se han desarrollado en la Cámara de Diputados algunos esfuerzos e iniciativas para reformar el Código Penal Federal y su legislación, con el objeto de prever y castigar algunos delitos informáticos y financieros que se cometen a través de Internet. Desafortunadamente ninguna de las iniciativas presentadas ha fructificado debido a la poca información que manejan los legisladores acerca de estos temas.

El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) está facultado para imponer infracciones y sanciones a quienes hagan mal uso de los datos personales. Aquellas entidades que manejan datos personales deberán prever medidas de seguridad y establecer mecanismos para que los usuarios puedan Acceder, Rectificar, Cancelar u Oponerse al manejo de su información personal.

La nueva Ley Federal de Protección de Datos Personales protege la información personal que pueda encontrarse en las bases de datos de cualquier persona física, o empresa como, aseguradoras, bancos, tiendas departamentales, telefónicas, hospitales, laboratorios, universidades, etc. Esta ley regula la forma y condiciones en que las empresas deben utilizar los datos personales de sus clientes.

En México, la Universidad Nacional Autónoma de México (UNAM) ha colocado alertas en varios sitios web para prevenir a los consumidores y usuarios sobre todo tipo de riesgos de seguridad en línea. Además de proporcionar información sobre:

Algunos miembros de la Asociación Mexicana de Internet ("AMIPCI") crearon el sitio web www.navegaprotegido.org , con el objetivo de educar a los consumidores sobre el riesgo del robo de identidad en línea.

¿Cómo evitar el robo de identidad?

Debido a la dificultad y costo que representa para las autoridades rastrear delincuentes y estafadores cibernéticos, el mejor mecanismo para evitar el robo de identidad es a través de métodos educativos y preventivos, por ejemplo, estar bien enterados e informar acerca de los peligros de este delito para incrementar la concientización en la sociedad.

Es muy importante, nunca proporcionar información personal por teléfono o a través de Internet, a menos de tener la certeza de que quien la solicita sea realmente un representante de la compañía bancaria o de cualquier otro servicio.

A continuación se presentan algunos tips para protegerse contra el robo de identidad:

  1. Revisar el informe de crédito: Obtenga una copia de su informe de crédito cada año y verifique aquellos elementos que le parezcan extraños, por ejemplo, compras, traspasos o retiros que no recuerda haber realizado.

  2. Contraseñas robustas: Es importante utilizar contraseñas que no guarden relación obvia con el propio usuario, por ejemplo: no utilizar fechas de cumpleaños, números telefónicos, nombres de familiares, etc., en las contraseñas de bancos, teléfonos y cuentas de tarjetas de crédito. Además es importante cambiar las contraseñas que sean asignadas al tramitar algún tipo de cuenta bancaria.

  3. Eliminación de información: Cuando se disponga a eliminar cualquier tipo de documento, sobre todo los personales como copias de actas de nacimiento, identificaciones personales, cualquier tipo de comprobante de domicilio, documentos escolares o trabajo; es muy recomendable destruir perfectamente cualquier indicio de información legible en estos. Lo ideal es contar con una trituradora de papel que permita cortar en partes muy pequeñas estos documentos, de tal manera que su reproducción a partir de los desechos de la trituradora sea imposible.

  4. Resguardo de información: Los documentos personales deben ser resguardados en un lugar seguro, además de reportar aquellos que hayan sido extraviados o robados.

Referencias

Crisis "dispara" robo de identidad - CIO México
http://www.cio.com.mx/Articulo.aspx?id=7541
OECD Policy Guidance on Online Identity Theft
http://www.oecd.org/dataoecd/49/39/40879136.pdf
AMIPCI - Pregúntale al ABOGADO
http://www.amipci.org.mx/ayuda/preguntale_al_abogado
IFAI - Datos Personales: Lo que tiene que saber
http://www.ifai.org.mx/Particulares/fyi
Identity Theft and Fraud
http://ezinearticles.com/?Identity-Theft-and-Fraud&id=5016429
Identity Theft Prevention and Protection
http://www.identitytheftrefuge.com/
NACPEC: North American Consumer Project on Electronic Commerce - Robo de identidad
http://www.nacpec.org/es/links/robo_identidad/index.html

Revisión histórica

  • Liberación original: Lunes, 25 Octubre 2010
  • Última revisión: Jueves, 16 Junio 2011

La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

  • Carmina Cecilia Espinosa Madrigal

Para mayor información acerca de este documento contactar a:

UNAM-CERT: Equipo de Respuesta a Incidentes UNAM
Subdirección de Seguridad de la Información
Dirección General de Cómputo y Tecnologías de Información y Comunicación
Universidad Nacional Autónoma de México
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43


Universidad Nacional Autonoma de México 100 años UNAM EQA ISO 27001 FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT