Robo de Identidad

¿Robo de Identidad? ¿Usurpación de Identidad? ¿Suplantación de Identidad? ¿Ingeniería Social?

Aunque existen muchos términos asociados a este fenómeno, lo cierto es que el que es más ampliamente utilizado no necesariamente es el más correcto desde el punto de vista técnico. El término con el que internacionalmente se le reconoce a esta figura delictiva es “robo de identidad” (ID theft), aunque técnicamente es más correcto llamarle “usurpación de identidad” o “suplantación de identidad”.

La usurpación o suplantación de identidad es la apropiación indebida de datos (personales y/o financieros) de una persona física con el objeto de hacerse pasar por ella para:

  • Afectar su reputación o imagen en sociedad (simulación de identidad, creación perfiles falsos en redes sociales, esparcir datos falsos); y/o
  • Recabar datos de un tercero mediante engaño (phishing, vhising, ciberacoso, extorsión) ; y/o
  • Adquirir un beneficio económico (obtención de créditos, compras por internet, robo cibernético).

Para llegar al robo de identidad, el atacante pudo haber utilizado diversas técnicas o estrategias para apoderarse de tus datos financieros y personales, entre ellas:

  • Skimming (clonación de tarjetas de crédito/débito): apoderamiento de los datos de una tarjeta de crédito durante el momento de la transacción. Esta labor se logra gracias a pequeños aparatos llamados “skimming devices”, que son portátiles o pueden ser colocados sobre los propios lectores de tarjetas de los cajeros automáticos (más una microcámara para captar el número PIN).
  • Ingeniería social: el propósito más común de la ingeniería social es es apoderarse de datos personales y financieros de un individuo para lograr así el robo de identidad para su posterior uso fraudulento.
    • La estrategia más común es el phishing, por su fácil ejecución y alcance masivo.
    • También es posible que cibercriminales diseñen páginas web apócrifas para venderte algún producto o servicio, y te atraigan a ellas -a diferencia del phishing- a través de: (a) publicaciones en avisos de ocasión en internet; (b) publicaciones en portales de intermediarios (como Mercadolibre); (c) publicaciones en redes sociales; (d) mensajes de texto enviados a tu celular (práctica conocida como SMiShing); o (e) llamadas telefónicas (práctica conocida como Vishing).
  • Dumpster diving: en Estados Unidos y otros países existen empresas que se dedican legalmente a ejecutar esta práctica. Consiste en acudir a los botes de basura de edificios u oficinas y llevarse la misma antes de que pase el camión recolector. Estas empresas tienen personal y equipo sofisticado para volver a “armar” papel previamente triturado.

 

Factores que facilitan la usurpación:

  • Engaño + ciberdelincuencia (ingeniería social, phising, vishing).
  • Descuido (clonación de tarjetas) o negligencia (mal manejo de nuestra información personal y financiera).
  • Accesibilidad de la información (mucha información está al alcance de muchos).
  • Ausencia de controles en las empresas (medidas de seguridad técnicas, físicas y administrativas).
  • Falta de sentido común de las personas. No cumplimiento de leyes aplicables.
  • Leyes insuficientes e inadecuadas que la tipifiquen.

 

Te compartimos algunos videos noticiosos o ilustrativos sobre robo de identidad:

 

 

 

 

 

¿Estas conductas están contempladas como delitos en México?

Pocos códigos penales tipifican como delito la usurpación o suplantación de identidad. Algunos congresos estatales, como el de Jalisco, han recibido varias propuestas para incluir esta conducta en sus códigos penales pero hasta ahora no lo han logrado.

 

Código Penal para el Estado de Colima:

  • ARTÍCULO 234.- Se considera fraude y se impondrá pena de tres a nueve años de prisión y multa hasta por 100 unidades…:
    • VII.- Al que por algún uso del medio informático, telemático o electrónico alcance un lucro indebido para sí o para otro valiéndose de alguna manipulación informática, instrucciones de código, predicción, intercepción de datos de envío, reinyecte datos, use la red de redes montando sitios espejos o de trampa captando información crucial para el empleo no autorizado de datos, suplante identidades, modifique indirectamente mediante programas automatizados, imagen, correo o vulnerabilidad del sistema operativo cualquier archivo principal, secundario y terciario del sistema operativo que afecte la confiabilidad, y variación de la navegación en la red o use artificio semejante para obtener lucro indebido.

 

Código Penal para el Distrito Federal:

  • Artículo 211 Bis.- Al que por cualquier medio usurpe, con fines ilícitos, la identidad de otra persona, u otorgue su consentimiento para llevar a cabo la usurpación en su identidad, se le impondrá una pena de uno a cinco años de prisión y de cuatrocientos a seiscientos días multa. Se aumentaran en una mitad las penas previstas en el párrafo anterior, a quien se valga de la homonimia, parecido físico o similitud de la voz para cometer el delito establecido en el presente artículo.

 

Ley para el Uso de Medios Electrónicos del Estado de México:

  • Artículo 53.- Comete el delito de apropiación de certificado y sustitución de identidad, el que por cualquier medio obtenga, reproduzca, se apodere, administre, utilice o de cualquier forma dé un uso indebido a un certificado, a una firma electrónica y/o a un sello electrónico, sin que medie el consentimiento o autorización expresa de su titular o de quien se encuentre facultado para otorgarlos.
  • Por la comisión de este delito se impondrá una pena de tres a ocho años de prisión y una multa de ochocientos a mil quinientos días de salario mínimo general vigente en la zona de que se trate, independientemente de las sanciones administrativas o penales que puedan corresponder a la conducta realizada.

 

Código Penal para el Estado de Morelos:

  • ARTÍCULO 189 Bis.- Al que por cualquier medio, suplante la identidad de otra persona, u otorgue su consentimiento para llevar a cabo la suplantación en su identidad, causando con ello un daño o perjuicio u obteniendo un lucro indebido, se le impondrá una pena de uno a cinco años de prisión, de cuatrocientos a seiscientos días multa y, en su caso, la reparación del daño que se hubiere causado. Serán equiparables al delito de suplantación de identidad y se impondrán las mismas penas previstas en el párrafo que precede, las siguientes conductas:
    • I. Al que, por algún uso de los medios informáticos o electrónicos, valiéndose de alguna manipulación informática o intercepción de datos de envío, cuyo objeto sea el empleo no autorizado de datos personales o el acceso no autorizado a bases de datos automatizadas para suplantar identidades, con el propósito de generar un daño patrimonial u obtener un lucro indebido para sí o para otro;
    • II. A quien transfiera, posea o utilice, sin autorización, datos identificativos de otra persona, con la intención de causar un daño patrimonial a otro u obtener un lucro indebido, o
    • III. Al que asuma, suplante, se apropie o utilice a través de internet, cualquier sistema informático, o medio de comunicación, la identidad de una persona física o jurídica que no le pertenezca, causando con ello un daño o perjuicio u obteniendo un lucro indebido.

 

Boletín N°. 2661 Delito de usurpación de identidad será castigado con uno a seis años de prisión
  • 29-11-2016.- La Cámara de Diputados aprobó, con 414 votos a favor, el dictamen que adiciona un artículo 430 al Código Penal Federal, para sancionar la usurpación de identidad con una pena de uno a seis años de prisión y 400 a 600 días de multa y, en su caso, la reparación del daño que se hubiere causado.
  • El dictamen, enviado al Senado de la República para sus efectos constitucionales, destaca que comete el delito de usurpación de identidad quien por sí o por interpósita persona, usando cualquier medio lícito o ilícito, se apodere, apropie, transfiera, utilice o disponga de datos personales sin autorización de su titular o, bien, suplante la identidad de una persona, con la finalidad de cometer un ilícito o favorecer su comisión.
  • Las penas aumentarán hasta en una mitad cuando el ilícito sea cometido por un servidor público que, aprovechándose de sus funciones, tenga acceso a bases de datos que contengan este tipo de información, así como a los particulares responsables del tratamiento de datos personales sensibles, en términos de la ley en la materia.

 

Joel A. Gómez Treviño