Internet ha revolucionado nuestra forma de comunicarnos con la gente que nos rodea y, en muchos casos, nos ha sirve de puente para establecer nuevos contactos profesionales o conectar con gente con aficiones o inquietudes comunes. Las redes sociales son un instrumento con el que mucha gente permanece en contacto con sus amigos, busca empleo o comparte sus fotos o vídeos, sin embargo, ante este enorme caudal de datos personales que viajan por la red, encontramos que existen personas con no muy buenas intenciones que intentarán acceder a estos datos para comerciar con ellos o, en algunos casos, suplantar nuestra identidad.
Quizás pueda parecer exagerado pero según el observatorio europeo, el 4% de los ciudadanos de la Unión Europea fue víctima de robos de datos personales y/o suplantaciones de identidad, cifra que aumenta en los casos de España y Bulgaria con un 7% de los internautas de estos países. De hecho, para que tengamos en cuenta la gravedad de la situación, el 3% de los internautas europeos sufrió pérdidas financieras debido al uso fraudulento de su tarjeta de crédito o a ataques de phishing (con Letonia a la cabeza con un 8% de sus internautas).
Pensemos que nuestros perfiles en Facebook y en Twitter, de alguna forma, son también nuestra tarjeta de presentación y, en unas manos inadecuadas, podrían causar un gran daño a nuestra reputación; es por ello por lo que debemos extremar las precauciones para evitar que esto suceda y, si tenemos la mala fortuna de ser víctima de una suplantación de identidad, actuar rápidamente para mitigar el daño causado y atajar el problema lo antes posible.
¿En qué consiste un robo de identidad?
Un robo de identidad consiste en el acceso no autorizado a alguno de nuestros perfiles, nuestra cuenta de correo o a nuestra cuenta en la banca online, es decir, cuando alguien consigue nuestro usuario y contraseña en un servicio o es capaz de averiguar nuestra clave o la respuesta a la "pregunta secreta".
El robo de identidad es mucho más antiguo que las redes sociales, de hecho, ocurría si a alguien le robaban su documento de identidad o su tarjeta de crédito y, por ejemplo, realizaban compras en su nombre. Sin embargo, la extensión del uso de servicios online ha propiciado la aparición de robos de identidades digitales, ya sea para espiar lo que hace/dice alguien, manchar su nombre, suplantarle o robarle datos confidenciales.
¿Cómo pueden robar el acceso a nuestra cuenta?
Un despiste, por ejemplo, puede propiciar un acceso no autorizado a alguna de nuestras cuentas. ¿Despistes? Sí, por ejemplo, dejarnos la sesión abierta en un equipo de uso compartido o dejar nuestro equipo con sesiones abiertas en el navegador y dejar que alguien lo utilice (sin nuestra supervisión), acciones a las que no les damos importancia pero que implican la exposición de nuestras cuentas a un tercero.
Al igual que avanza la tecnología, también avanzan los métodos que siguen estos "ladrones digitales" para intentar acceder a nuestros datos. FireSheep, que nos aterrorizó el otoño pasado, no fue más que un aviso que realizó un experto en seguridad que nos mostró lo vulnerables que éramos en un congreso, en una cafetería o en un hotel en la que la red inalámbrica no estuviese cifrada.
Pero, quizás, el mayor de los riesgos esté en nosotros mismos. Una mala política personal de contraseñas puede ser un problema para la preservación de nuestra identidad digital. Usar la misma contraseña en todos los servicios web en los que estamos registrados en un gran riesgo, básicamente, porque si se compromete uno, todos lo están. Este es uno de los fallos más comunes que junto a compartir la contraseña con amigos y/o familiares, apuntar la contraseña en las notas del móvil o en un papel que guardamos en la cartera y poner una obviedad en la respuesta de las "preguntas secretas" son malas prácticas que comprometen nuestros datos. Ponérselo complicado a estos "amigos de lo ajeno 2.0" está en nuestras manos y la contraseña es algo que definimos nosotros mismos.
¿Cómo podemos darnos cuenta?
Desgraciadamente, el robo de identidad se detecta de manera reactiva, es decir, nos enteramos cuando ha sucedido y hemos notado alguno de sus efectos.
¿Efectos? Sí, imaginemos que un día intentamos acceder a nuestra cuenta de correo electrónico o a nuestro perfil en Facebook y por mucho que repetimos la contraseña, ésta aparece como invalida. Intentamos recuperar la contraseña a través de la pregunta secreta pero tampoco somos capaces de dar con al respuesta correcta; al poco, uno de nuestros amigos nos llama para preguntarnos por una publicación fuera de tono que hemos realizado en Facebook y cuando vamos al cajero automático encontramos una compra, pagada a través de PayPal, que no hemos realizado.
Aunque parezca una pesadilla o el guión de un telefilme, es algo que podría suceder y que, de hecho, sucede. Normalmente el usuario se entera después de que haya pasado y, en los casos de pishing o en los robos de documentos de identidad, las víctimas se han encontrado en listas de morosos por impagos de facturas de compras que jamás realizaron. En el mundo de las redes sociales también podría costarnos algún disgusto porque, si alguien entrase en nuestra cuenta de LinkedIn y le dejase un mensaje nada amigable a nuestro Director General, seguramente, no le hiciese demasiada gracia.
¿Qué podemos hacer? ¿Cómo actuar ante una suplantación de identidad?
Si hemos sido víctima de un robo de identidad o sospechamos que algo no funciona bien debemos actuar rápidamente pero sin perder la calma.
Si aún tenemos acceso al servicio, es decir, nuestras credenciales siguen valiendo, es el momento de cambiar las contraseñas de todos los servicios a una que no guarde un patrón similar y que, además, no contenga cadenas de caracteres significativas (apellidos, nombres, ciudades, fechas de nacimiento, etc). Dentro de lo malo, sería el escenario más favorable puesto que podríamos atajar el problema de manera autónoma, eso sí, bueno es dar una vuelta por nuestras cuentas para revisar las publicaciones realizadas. De hecho, deberíamos de esta manera si nuestra contraseña se viese expuesta por cualquier motivo (aunque no haya indicios de robo o suplantación).
En el peor de los casos podríamos estar sin acceso a nuestra cuenta de correo y/o a cualquiera de nuestros perfiles sociales. En tal caso tenemos que mantener la calma y abordar el problema desde dos frentes: recuperar el control de nuestras cuentas y poner el caso en conocimiento de las autoridades.
Para poder recuperar el control de nuestras cuentas, prácticamente, todos los servicios tienen publicado un procedimiento que regula cómo contactar con los responsables del servicio para informar de la pérdida del control de nuestra cuenta, solicitar una suspensión temporal de la actividad de la misma o volver a recuperar el control de ésta:
- Centro de ayuda de Twitter
- Cuentas de Facebook comprometidas y Qué hacer si tu cuenta de Facebook es vigilada por otra persona
- Ayuda en Cuentas de Google
- Restaurar contraseña en Hotmail
- Cuentas en Yahoo! comprometidas
- Acceso fraudulento a una cuenta de Tuenti
Además, para evitar que no nos hagan responsables de lo que hagan o publiquen desde nuestros perfiles (denuncias de terceros, inclusión en alguna lista negra, etc), debemos informar a las autoridades de lo que ha sucedido, en el caso de España, ante la Policía o la Guardia Civil y ante la Agencia de Protección de Datos.
¿Cómo podemos estar prevenidos?
Aunque nadie está libre de ser víctima de un robo de identidad, sí que es verdad que podemos ponérselo algo más complicado a los que intentan acceder a nuestros datos, simplemente, siguiendo unas pautas que nos ayudarán a estar mejor protegidos:
Nunca usar la misma contraseña en todos los servicios en los que estamos registrados y, además, no usar contraseñas sencillas que sean fácilmente asociables a nosotros (fechas de nacimiento, nombres, apellidos, mascotas, etc). No compartir la contraseña de acceso con nadie y cambiarla tras un tiempo prudencial, mínimo tres meses al año y nunca repetir como si fuese una secuencia. En equipos compartidos, o de uso público, usar el modo de navegación anónimo o vaciar caché, historial, contraseñas y formularios guardados. Utilizar navegación segura en todos los sitios web que lo permitan, ya sea configurándolo así o usando algún complemento como HTTPS Everywhere, sobre todo, cuando accedamos a través de redes inalámbricas sin cifrar. Prestar atención a los sitios web a los que solemos acceder para ver si han sufrido algún cambio sustancial o, en el caso de la banca electrónica, no aparecen como sitios seguros. No dejar nuestro equipo sin vigilancia, desbloqueado y con sesiones abiertas. * Jamás enviar contraseñas por correo electrónico. Servicios web como Facebook o Twitter, o la banca electrónica, nunca nos van a pedir por correo electrónico que les enviemos la contraseña y, si recibimos algún correo así, seguramente sea un intento de pishing.