Durante el registro, algunos servicios en línea te solicitan que confirmes tu identidad cargando una selfie donde aparezcas con tu identificación oficial. Es un modo muy práctico de demostrar quien dices ser. No necesitas ir a alguna oficina lejana y formarte en una fila. Simplemente te tomas una foto, la cargas y esperas un poco a que un administrador apruebe tu cuenta.
Desafortunadamente, no solamente a los sitios web legítimos que gozan de buena reputación les interesan tus selfies; también a los phishers (suplantadores de identidad). A continuación, te decimos cómo funciona el fraude, porqué los criminales buscan tus fotos con identificaciones oficiales y cómo evitar morder el anzuelo.
Verifica tu identidad
En estos días, un escenario empresarial común comienza con un correo electrónico de un banco, un sistema de pagos o red social según el cual, por “seguridad adicional” (o cualquier otro motivo), necesitas confirmar tu identidad.
El enlace lleva a una página con un formulario que te insta a ingresar tus credenciales, datos de tu tarjeta, dirección, número telefónico y otros datos, así como cargar una selfie donde salga una identificación oficial u otro documento, claramente visible. En este momento, debes detenerte y pensar: ¿es realmente buena idea cargar una selfie con tu identificación oficial? Puede que se trate de defraudadores.
Porqué los defraudadores quieren tus selfies con identificaciones oficiales
Como ya hemos señalado, algunos servicios en línea requieren una foto sosteniendo una identificación oficial para fines de registro. Si envías una selfie a los defraudadores, ellos podrán crear cuentas a tu nombre (por ejemplo, para el cambio de criptomonedas) con el objetivo de usarlas para lavar dinero. En consecuencia, puedes meterte en problemas con la autoridad. Y eso no está nada bien.
En el mercado negro, tu selfie con tu identificación oficial puede alcanzar una suma superior a la de una simple imagen escaneada de una identificación oficial. Una vez con la codiciada foto en su poder, los defraudadores pueden venderla muy bien y los compradores pueden usar tu nombre como les venga en gana.
Señales comunes del fraude en línea
Afortunadamente para todos, raras veces el fraude en línea es terreno de los meticulosos que cuidan cada detalle a la perfección. Un análisis detallado del correo y el sitio web de phishing adonde conduce el enlace casi siempre revela muchos elementos sospechosos.
1. Errores y faltas de ortografía
Es muy probable que la redacción en el correo electrónico y el formulario de registro no sea la mejor. ¿Acaso los sitios web oficiales y correos electrónicos de grandes organizaciones están plagados de errores gramaticales y faltas de ortografía?
2. La dirección del remitente resulta sospechosa
Dichos mensajes a menudo provienen de direcciones registradas en servicios de correo electrónico gratuito o pertenecen a empresas sin ningún tipo de afiliación con aquella referida en el correo electrónico.
3. El nombre de dominio no concuerda
Incluso si la dirección del remitente parece legítima, es probable que el sitio host del formulario de phishing se encuentre alojado en un dominio malicioso o sin relación. En algunos casos, la dirección puede ser muy similar (pero aun así, hay diferencias); en otras, la diferencia es notoria. Por ejemplo, un mensaje supuestamente de LinkedIn que por alguna razón invita a los usuarios que carguen una foto en Dropbox.
4. El plazo de entrega es demasiado breve
A menudo, los autores de dichos correos intentan por todos los medios apresurar al destinatario; por ejemplo, afirman que el enlace vencerá en 24 horas. Los defraudadores recurren con frecuencia a esta técnica, puesto que la falsa sensación de premura hace que muchos actúen sin pensar. Pero es improbable que las organizaciones de renombre te apresuren sin motivo alguno.
5. Te solicitan información que ya has proporcionado
Sé triplemente cuidadoso si ya has proporcionado al menos parte de la información solicitada durante el registro(por ejemplo, las direcciones de correo electrónico o un número telefónico). Y en el caso de los bancos, tu identidad quedó confirmada al abrir la cuenta. ¿Por qué verificar nuevamente en beneficio de una vaga “seguridad adicional”?
6. Solicitudes en lugar de ofertas
Muchos recursos ofrecen funciones avanzadas, incluyendo aquella relacionadas con la seguridad, a cambio de información sobre ti; pero esto pasa en tu cuenta personal en el sitio web, no por correo electrónico. Y es normalmente una oferta que sí puedes rechazar. Pero en el formulario al que te lleva el enlace en el correo fraudulento, solamente existe un botón, como si sugiriera que no hay otra opción que cargar la selfie.
7. No existe información al respecto en el sitio web oficial
En realidad, puede que ya hayas confirmado tu identidad en un recurso que ya has usado por mucho tiempo. Sin embargo, es la excepción, no la regla; los detalles de lo que está sucediendo deben estar disponibles en el sitio web oficial del servicio y debe ser fácil buscarlos con Google.
No mandes selfies con identificación oficial
Con el fin de evitar que los defraudadores roben tu identidad, sé cuidadoso de todas las solicitudes de datos, especialmente cuando lo que está en juego son documentos.
- Desconfía de las solicitudes de verificación de tu identidad en los servicios que has estado usando desde hace tiempo. Si no sabes si ignorar un mensaje en particular, busca información en el sitio web oficial de la empresa.
- Presta atención a la calidad del texto. Recuerda que son extremadamente infrecuentes los errores gramaticales, las palabras omitidas y los errores de ortografía en los mensajes corporativos genuinos.
- Verifica de dónde proviene el mensaje y hacia dónde lleva el enlace. Las empresas envían mensajes de correo desde dominios oficiales, y en sus sitios web se ofrecen explicaciones para las excepciones. Las encuestas, los formularios de inicio de sesión y otras páginas oficiales por lo general se ven referidas en los recursos oficiales.
- Deben constituir motivo de alarma todas las condiciones; por ejemplo, las fechas límite muy exigentes para el envío de información. Lo mejor es incumplir con la fecha límite que enviar tus datos a los cibercriminales.
- Si tienes dudas, llama a servicios a cliente. Pero no uses el número proporcionado en el mensaje; encuéntralo en el sitio web oficial o en el correo de confirmación de registro.
- Usa un programa de antivirus confiable con protección contra el phishing y el fraude en línea.