Robo de identidad: Definición, tipos comunes y prevención

El robo de identidad es el uso ilegal de los datos financieros o personales de otra persona —nombre, fecha de nacimiento, número de seguridad social, dirección, datos de la licencia de conducir, número de tarjeta de crédito, etc. — para obtener algún beneficio, normalmente monetario. En pocas palabras, los ladrones de identidad fingen ser alguien que no son cuando interactúan con organizaciones y empresas para aprovecharse de su “nueva persona”.

Para obtener datos de identidad, los estafadores usan numerosas tácticas. Estas son algunas comunes destacadas por el sitio web USAGov:

• Robar pertenencias de una persona, como una billetera o bolso, para obtener su ID y tarjetas bancarias

• Revisar la basura de alguien para encontrar estados de cuenta bancarios, pólizas de seguro o documentos fiscales

• Usar skimmers en cajeros automáticos, cajas registradoras y surtidores de combustible para obtener digitalmente información de tarjetas bancarias

• Extraer datos personales de dispositivos móviles conectados a Wi-Fi público

• Emplear ingeniería social para obtener datos de forma fraudulenta mediante correos electrónicos de phishing, SMS o llamadas telefónicas

• Revisar cuentas de redes sociales para encontrar información de identidad en publicaciones o fotos

• Pedir información personal en cuestionarios y encuestas en línea

Las filtraciones masivas de datos también son una fuente rica de datos personales para los estafadores.

Además, el robo de identidad puede involucrar colaboración entre el titular del ID y sus asociados. Por ejemplo, varios conductores pueden compartir una cuenta vinculada a un ID asociada con servicios de ride-hailing para evadir impuestos y obtener ingresos no registrados. Como los asociados pueden no tener licencia de conducir en absoluto, eso plantea riesgos de seguridad para los pasajeros y daños financieros para las empresas.

El robo de identidad tiene un impacto doble: afecta tanto a las víctimas cuyas identidades han sido robadas como a las empresas donde la identidad robada se usa para transacciones fraudulentas.

Como es difícil detectar el robo de identidad en etapas tempranas, el daño del delito es significativo.

Robo de identidad es un término cercano a fraude de identidad. Así se distinguen.

El robo de identidad siempre es la primera parte de la acción criminal. Inicialmente, los estafadores necesitan robar u obtener de otra manera los datos de identidad de alguien para pasar al siguiente paso. El fraude de identidad es una de las numerosas formas de engañar a empresas o personas con los datos obtenidos ilegalmente.

Por ejemplo, los defraudadores pueden usar información robada para crear un documento de identidad falso y comprar productos con restricción de edad o incluso acceder a áreas restringidas. El uso indebido de datos proporcionados legalmente para una razón específica también puede interpretarse como fraude de identidad. Así que el robo de identidad no es un componente obligatorio para que los defraudadores de identidad actúen.

Ambos delitos terminan en pérdida de dinero y daño reputacional para una empresa, por lo que el robo de identidad y el fraude son el mismo mal en términos de consecuencias. Además, afectan a empresas en diferentes industrias. Como muestran las estadísticas de fraude de identidad, el 95% de las empresas grandes y el 90% de las pequeñas empresas enfrentaron el problema el año pasado.

Las mentes criminales no son originales cuando se trata de estafas y esquemas de fraude. Por eso existen varios tipos de robo de identidad que muchas personas intentan aprovechar. Veámoslos.

En este escenario, los datos de una persona menor de edad — nombre, dirección, SSN, etc. — se usan para obtener beneficios o servicios, o cometer fraude, según el sitio web oficial para consumidores de la Federal Trade Commission. La información robada puede ser usada por ladrones de identidad para abrir una nueva cuenta o línea de crédito, contratar servicios públicos, solicitar desempleo o beneficios gubernamentales, o incluso alquilar una propiedad.

La víctima de robo de identidad puede descubrir el problema varios años después, por ejemplo, cuando llega el momento de solicitar un préstamo universitario. Es más, monitorear transacciones fraudulentas que involucran el nombre de un menor se convierte en responsabilidad de los padres. Los adultos que no conocen la amenaza pueden pasarla por alto fácilmente. Por eso el robo de identidad infantil resulta tan atractivo para los delincuentes.

Cuando los datos de alguien se usan como cobertura en actividades ilegales, se conoce como robo de identidad criminal. Los culpables pueden usar el ID de otra persona al interactuar con las fuerzas del orden; por ejemplo, pueden presentar una licencia de conducir robada para evitar cargos penales como exceso de velocidad o accidentes.

Este tipo de robo de identidad es el más común. Aplica a casos en los que una persona usa los datos de otra para obtener beneficios financieros. La lista de posibles usos fraudulentos incluye robo de números de tarjetas de crédito y débito, transacciones en tiendas en línea usando la información de pago de otra persona, actividad no deseada con cuentas corrientes o de ahorro a nombre de la víctima, fraude de seguros, etc.

El robo de identidad médica ocurre cuando un estafador se hace pasar por otra persona para financiar servicios médicos. La principal fuente de datos personales en este caso son las filtraciones de datos de salud, así como correos electrónicos, mensajes y llamadas de phishing. Además, los delincuentes pueden revisar documentos médicos antiguos y tarjetas de seguro médico que no fueron desechados correctamente. Por lo tanto, proteger esta información sensible es crucial, y muchos proveedores de salud están recurriendo a las principales empresas de desarrollo de software para healthcare con el fin de integrar medidas de seguridad avanzadas en sus sistemas.

Como resultado, la víctima de robo de identidad médica puede ver procedimientos médicos desconocidos en su historial, o incluso deudas médicas desconocidas.

Este tipo de robo de identidad es uno de los más complejos. El robo de identidad sintética implica el uso de datos personales para crear una identidad inexistente. Los defraudadores suelen mezclar un dato genuino, como un número de Seguro Social o una dirección de domicilio, con artefactos generados por IA, como un nombre, una foto, etc.

Esta identidad sintética puede usarse luego en una gran cantidad de actividades fraudulentas. Normalmente, los estafadores apuntan a instituciones bancarias, principalmente en Estados Unidos. Uno de los esquemas habituales implica abrir una cuenta bancaria con un ID sintético. Al actuar como un cliente regular durante un tiempo, los defraudadores pueden ganarse cierta confianza del banco y obtener una puntuación crediticia más alta, solo para cerrar la cuenta y desaparecer después.

Las empresas de los sectores de banca y fintech siguen siendo el principal objetivo de los defraudadores, ya que ahí ocurre la mayor parte de todos los casos de robo de identidad financiera.

Los bancos de inversión, prestamistas hipotecarios, compañías de seguros y fondos de private equity también entran en la categoría vulnerable. Como existen regulaciones bancarias y supervisión por parte de autoridades, como instituciones no bancarias, estos negocios pueden prestar menos atención a la seguridad de datos y a los problemas de robo de identidad. Por ejemplo, la reciente enmienda legal de la FTC exige que las instituciones financieras no bancarias reporten filtraciones de datos que afecten a 500 o más clientes.

Los negocios de e-commerce, como comercios en línea, empresas de telecomunicaciones y operadores de pagos, también están bajo ataque. Según el Euro Retail Payments Board (ERPB), el robo de identidad, entre otros tipos de fraude, contribuye al aumento del fraude en pagos en la UE. Por ejemplo, el 14% de los consumidores en Portugal (con una población de alrededor de 10.4 millones) fueron víctimas de fraude en pagos, lo que generó pérdidas promedio de €155.50 por persona.

Lamentablemente, la mayoría de los estafadores que viven de ataques de suplantación y robo de identidad ya no son actores aislados, sino profesionales, afirma el grupo de trabajo del ERPB. Adoptan rápidamente nuevas tecnologías y emplean IA y deepfakes para modernizar sus técnicas. Como resultado, prevenir el robo de identidad es un desafío para muchas empresas que requiere un enfoque integral para abordarse de forma efectiva.

En algunos países, como Estados Unidos, las organizaciones deben diseñar e implementar programas escritos de prevención de robo de identidad que describan señales de alerta y red flags que los empleados deben conocer en sus operaciones diarias. Según la Red Flag Rule de la FTC de Estados Unidos, las instituciones financieras y los acreedores deben cumplir este requisito.

Además, existen regulaciones más globales que ayudan a mitigar riesgos de seguridad relacionados con el robo y el fraude de identidad. Estas son algunas que vale la pena revisar:

• Estándares de la International Civil Aviation Organization (ICAO)

• General Data Protection Regulation (GDPR)

• Regulaciones Anti-Money Laundering (AML) y Counter-Terrorist Financing (CTF)

• Regulaciones Know Your Customer (KYC)

• Reglamento Electronic Identification, Authentication, and Trust Services (eIDAS)

• Recomendaciones de Financial Action Task Force (FATF)

• Payment Card Industry Data Security Standard (PCI DSS)

• Consumer Privacy Acts

• Electronic Signatures in Global and National Commerce Act (ESIGN), etc.

En general, la mayoría de estos documentos declara la verificación de identidad como uno de los componentes obligatorios en las interacciones de las empresas con los clientes.

Veamos qué puede hacer exactamente para hacer que su empresa sea más resistente al fraude y prevenir casos de robo de identidad:

Como el robo de identidad a menudo implica el uso de tácticas psicológicas por parte de delincuentes, algunos de sus clientes siguen siendo vulnerables a ataques fraudulentos engañosos destinados a obtener acceso no autorizado a su información personal. Además, a medida que la IA sigue expandiéndose y volviéndose más avanzada, se espera que estas herramientas se conviertan en armas para actores de amenaza que lanzarán estafas de phishing más sofisticadas a escala.

Con miles de clientes a bordo, es difícil revisar cada cuenta y transacción en detalle. Los clientes informados sobre la amenaza del robo de identidad pueden convertirse en sus aliados leales contra cualquier tipo de fraude. Por eso vale la pena invertir recursos en contenido educativo dentro de los materiales en línea de su empresa y en sucursales físicas.

Como el robo de identidad es una de las consecuencias de una filtración de datos, necesita que su personal cumpla todas las políticas y requisitos de seguridad. Es crucial añadir capacitación regular en ciberseguridad para empleados a su programa antifraude, así como invertir en ejercicios de simulación de phishing para su equipo.

Los cursos aumentan la conciencia sobre amenazas y ataques actuales, además de equipar a sus especialistas con conocimientos sólidos para identificar señales de alerta en el comportamiento de los clientes y prevenir incidentes mayores. Estos cursos suelen cubrir protección de correo electrónico, ingeniería social y mejores prácticas en políticas de contraseñas, todos componentes esenciales en cualquier estrategia de prevención de filtraciones de datos.

Esta medida tiene como objetivo la detección del robo de identidad al mejorar el flujo de verificación de identidad del cliente. La autenticación multifactor (MFA) que involucra una combinación de biometría —por ejemplo, una selfie o huella dactilar— con contraseñas de un solo uso, códigos SMS, etc., le permite confirmar que un usuario es quien dice ser.

Es importante destacar que MFA puede estar más centrada en el cliente que los protocolos estándar de login/contraseña. Por ejemplo, la autenticación biométrica de usuarios con Regula Face SDK toma segundos. Además, puede reducir significativamente la carga de trabajo de su equipo de soporte, ya que los problemas relacionados con contraseñas constituyen la mayoría de las solicitudes de soporte.

Los ladrones de identidad prefieren operar en línea, por lo que usted debe prestar más atención a revisar y mejorar el proceso de identificación para escenarios remotos. Afortunadamente, algunas partes pueden automatizarse con software de verificación de identidad.

Por ejemplo, el banco privado más grande del mundo implementó un proceso automatizado de incorporación de clientes que involucra ID biométrico y verificación NFC. Como resultado, los nuevos clientes pueden abrir una cuenta en pocos minutos a través de su dispositivo móvil. El sistema, respaldado por Regula Document Reader SDK y Regula Face SDK, sigue siendo seguro gracias a la verificación del chip RFID —que todo documento electrónico de identidad contiene— y a una comprobación de los rostros entre la selfie del usuario y la foto de su ID.

Industrias como seguridad pública, banca, educación y salud están obligadas a realizar revisiones regulares de políticas de ciberseguridad según lo exigen los estándares de cumplimiento gubernamentales y de la industria.

Sin embargo, no hace falta esperar un impulso externo con una fecha límite estricta. Las nuevas amenazas y trucos fraudulentos evolucionan, y sus sistemas deben mantenerse actualizados para abordar estos desafíos. Por lo tanto, debe revisar todas las medidas de seguridad implementadas al menos una vez al año.

También es importante revisar sus políticas y procesos internos relacionados con seguridad cada vez que haya un cambio notable en su organización, como la apertura de nuevas oficinas o la incorporación de nuevos productos. Además, actualizar políticas es obligatorio después de que se detecte un incidente o una violación de políticas.

En la era de la digitalización, el robo de identidad sigue siendo una amenaza de seguridad importante para muchas organizaciones. Los defraudadores aprovechan los procesos de negocio en línea y diseñan estafas engañosas para sus clientes y empleados en la web.

Para proteger sus ingresos y reputación, necesita un programa integral de prevención de robo de identidad que incluya cumplimiento con las regulaciones de su industria, desarrollo de políticas estrictas de seguridad y acceso a datos, y mejora de todos los procesos relacionados con dinero y datos en términos de debida diligencia.

La contribución de Regula a la prevención del robo de identidad es una solución completa para verificación de ID y biométrica que refuerza su seguridad sin dejar de estar plenamente centrada en el cliente. Agende una llamada o demo para saber más.