Suplantación de identidad y secuestro de cuentas: ¿cómo actuar?

Actualizado: 13 abr

Cada vez son más los casos de suplantación de identidad a los que se enfrentan los usuarios. Por este motivo, queremos ayudar tanto a prevenirlos como al saber cómo actuar en caso de ser víctima de alguno.


Robo de identidad

En los últimos meses, en la OSI (Canal especializado en ciudadanos de INCIBE), se han recibido un gran número de solicitudes de ayuda y denuncias sobre casos de suplantación de identidad y robo de cuentas. Por ello, vamos a repasar los fundamentos y conceptos básicos en los que se basan este tipo de prácticas fraudulentas, así como varios consejos y recomendaciones para protegernos.


¿Qué es la suplantación de identidad?


Se trata de una actividad malintencionada que busca hacerse pasar por otra persona o entidad por diferentes motivos: robo de datos, fraudes y engaños para obtener información o un beneficio económico, ciberacoso, extorsión, grooming, etc.


Los ataques y fraudes basados en la suplantación de identidad pueden ser muy variados, aunque se distinguen principalmente por dos cosas:


  1. Robo o acceso no autorizado a una cuenta: cuando el atacante ha conseguido acceder a nuestra cuenta haciendo uso de nuestras contraseñas, que ha obtenido a través de distintas técnicas y ataques. En este caso, puede suponer la pérdida del control de nuestra cuenta si el ciberdelincuente cambia la clave de acceso y los métodos de recuperación, aunque en otros casos el atacante puede que solo utilice la cuenta para publicar en nuestro nombre, ver datos almacenados, etc.; todo ello sin nuestro consentimiento.

  2. Creación de un perfil falso: el atacante ha creado una cuenta o perfil muy similar al nuestro o al de otra persona, entidad o empresa. Para ello, utiliza información que ha podido conseguir fácilmente a través de Internet y no implica el robo de nuestra cuenta ni accesos no autorizados.


Robo o secuestro de cuentas de WhatsApp en cadena


Si un atacante instalase WhatsApp en otro dispositivo utilizando nuestro número, nos llegaría por SMS un código de verificación para confirmar que somos nosotros los que estamos configurando la app en otro dispositivo. Es entonces cuando el ciberdelincuente trataría de engañarnos para que le facilitásemos el código de verificación, haciéndose pasar por un contacto conocido (familia o amigo) que ha cambiado de número y, por seguridad o dudas, prefirió utilizar nuestro teléfono para recibir el SMS.


¿Cómo podemos protegernos?


  • No compartiendo nunca el código de verificación con nadie. Si alguien nos los solicita, debemos desconfiar.

  • Activando la verificación en dos pasos. Incluso si obtienen nuestro código, con esta función no podrán robarnos la cuenta.


Secuestro de nuestras cuentas personales

Mediante ataques a nuestras contraseñas o técnicas basadas en ingeniería social, como el phishing, los atacantes son capaces de hacerse con nuestras credenciales y secuestrar nuestras cuentas. Una vez que están bajo su control, tendrán total libertad para lanzar fraudes en nuestro nombre, obtener información personal, cambiarnos la contraseña y los datos de recuperación de la cuenta y pedirnos incluso un rescate a cambio de recuperar el control de la misma.


Este tipo de prácticas no se limitan solo a las redes sociales, sino que pueden afectar a nuestras cuentas de correo electrónico o de otros servicios digitales, por lo que conviene revisar detenidamente las opciones de seguridad y privacidad para prevenirlo.


¿Cómo podemos protegernos?


  • Configurando correctamente las opciones de privacidad y seguridad de nuestra cuenta.

  • Activando la verificación en dos pasos y utilizando contraseñas robustas.

  • No aceptando peticiones de amistad de usuarios desconocidos o con perfiles falsos.

  • Publicando solo la información que queramos que sea visible y protegiendo los datos más sensibles, como dirección, correo electrónico, DNI, datos bancarios, etc. para que no nos puedan extorsionar a través de otros medios.


Phishing, smishing y vishing

Estos ataques basados en ingeniería social se sirven de la suplantación de identidad para hacerse pasar por nuestros contactos o entidades de confianza a través del correo electrónico, SMS o llamadas telefónicas, respectivamente. Su principal objetivo es engañarnos para que realicemos una acción bajo cualquier pretexto: acceder a una web para que facilitemos datos privados, descargar un fichero malicioso, realizar un pago, etc.


¿Cómo podemos protegernos?


  • Desconfiando de cualquier mensaje o llamada de desconocidos que intente obtener información personal.

  • No descargando ni haciendo clic en ningún archivo o enlace sospechoso.

  • Verificando la legitimidad del mensaje utilizando otras vías, por ejemplo, contactando directamente con la empresa o servicio que dice ser.


¿Qué podemos hacer si detectamos una suplantación de identidad o nos han robado el acceso a la cuenta?


Si creemos que estamos sufriendo una suplantación de identidad o somos víctimas de algún fraude donde se ha suplantado la identidad de alguna entidad o persona, debemos seguir las siguientes recomendaciones:


  • Documentar todo lo ocurrido, recabando copias de los correos o mensajes con capturas de pantalla, y revisar nuestras cuentas para comprobar cuáles han podido ser afectadas.

  • Estar alerta y contactar con nuestros contactos, familiares y amigos para contarles lo ocurrido y evitar que se conviertan en víctimas del fraude a su vez.

  • Recuperar las cuentas y cambiar las credenciales de aquellas donde aún podamos acceder con contraseñas robustas, además de activar el factor de autenticación múltiple o verificación en dos pasos.




#Robodeidentidad #Robo #Ciberseguridad #ciberacoso #extorsión #grooming


Referencias y Créditos:

osi.es (05/02/2021). Suplantación de identidad y secuestro de cuentas: ¿cómo actuar? https://www.osi.es/es/actualidad/blog/2021/02/05/suplantacion-de-identidad-y-secuestro-de-cuentas-como-actuar

52 visualizaciones0 comentarios