La caza de los selfis: piénsatelo antes de confirmar tu identidad

13 Ago 2019

Durante el registro, algunos servicios online, te solicitan que confirmes tu identidad subiendo un selfi en el que aparezcas con tu documento de identidad. Es un modo muy práctico de demostrar quién dices ser sin tener que desplazarte a alguna oficina lejana en la que te esperaría una larga cola. Simplemente te sacas una foto, la subes y esperas un poco a que un administrador valide tu cuenta.

Por desgracia, no solo a las web legítimos que gozan de buena reputación les interesan tus selfis; también a los phishers (suplantadores de identidad). A continuación, te decimos cómo funciona el fraude, por qué los criminales buscan tus fotos con documentos de identidad y cómo evitar caigas en la trampa.

Verificando tu identidad

En la actualidad, un escenario empresarial común empieza con un correo electrónico de un banco, un sistema de pagos o red social en el que, por “seguridad adicional” (o cualquier otro motivo), debes confirmar tu identidad.

El enlace lleva a una una página con un formulario que te solicita que introduzcas tus credenciales, datos de tu tarjeta, dirección, número de teléfono, etc., así como cargar un selfi en el que aparezcas con algún documento de identidad oficial claramente visible. En ese momento, deberías pararte a pensar: ¿es de verdad una buena idea subir un selfi con tu documento de identidad? Puede que se trate de estafadores.

Los estafadores se hacen pasar por un sistema de pagos y un banco y te piden que subas una selfi con un documento oficial

Los estafadores se hacen pasar por un sistema de pagos y un banco y te piden que subas una selfi con un documento oficial

Por qué quieren los estafadores tus selfis con documentos de identidad

Como ya hemos señalado, algunos servicios online solicitan una foto en la que sostengas algún documento de identidad para registrarte. Si envías un selfi a los estafadores, podrán crear cuentas a tu nombre (por ejemplo, para el cambio de criptomonedas) con el objetivo de usarlas para lavar dinero. En consecuencia, puedes meterte en problemas con las autoridades. Y eso no está nada bien.

En el mercado negro, tu selfi en el que aparece un documento de identidad puede alcanzar una suma superior a la de un simple documento escaneado. Una vez con la codiciada foto caiga en su poder, los estafadores pueden venderla muy bien y los compradores pueden usar tu nombre como les venga en gana.

Señales comunes de un fraude online

Por fortuna para todos, pocas veces suelen cuidarse todos los detalles en el fraude online. Con realizar un análisis detallado del correo y la web de phishing a la que conduce el enlace casi siempre basta para advertir varios elementos sospechosos.

1. Errores y faltas de ortografía

Es muy probable que la redacción del correo electrónico y el formulario de registro no sea la mejor. ¿Acaso los sitios web oficiales y correos electrónicos de grandes organizaciones tienen errores gramaticales y faltas de ortografía?

2. La dirección del remitente resulta sospechosa

Dichos mensajes a menudo provienen de direcciones registradas en servicios de correo electrónico gratuito o pertenecen a empresas que no tienen nada que ver con la que mencionan en el cuerpo del mensaje.

3. El nombre de dominio no concuerda

Aunque la dirección del remitente parezca legítima, es probable que el host del formulario de phishing esté alojado en un dominio malicioso o sin relación. A veces, la dirección puede ser muy similar (pero aun así, hay diferencias); en otras, la diferencia es notoria. Por ejemplo, un mensaje supuestamente de LinkedIn que por alguna razón invita a los usuarios que carguen una foto en Dropbox.

¿Por qué iba a pedirte LinkedIn que subas una foto a Dropbox? Son estafadores.

¿Por qué iba a pedirte LinkedIn que subas una foto a Dropbox? Son estafadores

4. El plazo de entrega es demasiado breve

A menudo, los autores de dichos correos intentan por todos los medios meter prisa al destinatario; por ejemplo, afirman que el enlace caducará pasadas 24 horas. Los estafadores recurren con frecuencia a esta técnica porque la falsa sensación de urgencia hace que muchos actúen sin pensar. Pero es improbable que las organizaciones de renombre te metan prisa sin motivo alguno.

5. Te solicitan información que ya has proporcionado

Sé triplemente cuidadoso si ya has proporcionado al menos parte de la información solicitada durante el registro (por ejemplo, la dirección de correo electrónico o un número telefónico). Y en el caso de los bancos, tu identidad quedó confirmada al abrir la cuenta. ¿Para qué ibas a tener que verificarla otra vez bajo el pretexto de una vaga “seguridad adicional”?

6. Solicitudes en lugar de ofertas

Muchos recursos ofrecen funciones avanzadas, incluyendo las relacionadas con la seguridad, a cambio de información sobre ti; pero en tu cuenta personal de la web, no por correo electrónico. Y normalmente se trata de una oferta que puedes rechazar. Pero en el formulario al que te lleva el enlace del correo fraudulento, solo hay un botón, como si sugiriera que no hay otra opción que cargar el selfi.

7. No existe información al respecto en la web oficial

En realidad, puede que ya hayas confirmado tu identidad en un recurso que llevas usando mucho tiempo. Sin embargo, es la excepción, no la regla; los detalles de lo que está sucediendo deben estar disponibles en la web oficial del servicio y debe ser fácil encontrarlos con Google.

No mandes selfis con documentos de identidad

Con el fin de evitar que los defraudadores te roben la identidad, ten cuidado con todas las solicitudes de datos, en especial cuando hay documentos de por medio.

  • Desconfía de las solicitudes para verificar tu identidad en los servicios que llevas usando desde hace tiempo. Si no sabes si ignorar un mensaje en particular, busca información en el sitio web oficial de la empresa.
  • Presta atención a la calidad del texto. Recuerda que es muy poco frecuente ver errores gramaticales, palabras omitidas y errores de ortografía en los mensajes corporativos genuinos.
  • Verifica de dónde proviene el mensaje y hacia dónde lleva el enlace. Las empresas envían mensajes de correo desde dominios oficiales y en sus sitios web se ofrecen explicaciones para las excepciones. En los recursos oficiales se suelen citar las encuestas, los formularios de inicio de sesión y otras páginas oficiales.
  • Cualquier restricción, como una fecha de entrega ajustada, debería alertarte. Es mejor incumplir la fecha límite que enviar tus datos a los cibercriminales.
  • Si tienes dudas, llama al servicio de atención al cliente. Pero no uses el número proporcionado en el mensaje; encuéntralo en el sitio web oficial o en el correo de confirmación de registro.
  • Usa un programa de antivirus confiable con protección contra el phishing y el fraude en línea.