Robo de identidad y fraude de identidad

Cómo pueden las empresas protegerse de las consecuencias legales, financieras y reputacionales

La ciberdelincuencia ya no es solo un problema para particulares. Las empresas también son cada vez más el objetivo de robos y fraudes de identidad, con consecuencias en ocasiones masivas a nivel financiero, legal y reputacional. Mientras la digitalización abre nuevas oportunidades, al mismo tiempo aumenta la superficie de ataque para engaños dirigidos, robo de datos y fraudes en nombre de terceros.

Aclaración de conceptos: robo de identidad versus fraude de identidad

Robo de identidad se refiere a la apropiación no autorizada de datos personales o relevantes para la empresa, ya sea de particulares, empleados, directivos o incluso perfiles corporativos completos.

Fraude de identidad, en cambio, describe el uso indebido posterior de esta información. Es decir, alguien se hace pasar ante terceros por otra persona u organización para, por ejemplo, obtener pedidos de forma fraudulenta, manipular datos de pago para compras o conseguir acceso a sistemas utilizando una identidad previamente robada.

¿Cuáles son las consecuencias del robo de identidad para las empresas?

Independientemente del sector en el que opere una empresa u organización, los impactos del robo y fraude de identidad suelen ser complejos y profundos. Además del propio robo de datos —ya de por sí alarmante— surgen otros riesgos, por ejemplo en relación con posibles cadenas de suministro, relaciones con clientes, contratos y cumplimiento normativo.

Escenarios típicos de fraude de identidad en empresas

Las posibilidades de abuso son tan variadas como los métodos mediante los cuales los delincuentes obtienen los datos. El phishing, los SMS fraudulentos y otras formas de ingeniería social son las más comunes para robar identidades. Y los escenarios imaginables dan una idea de la magnitud que puede alcanzar el ID-Fraud:

Fraude del CEO (CEO Fraud)

En esta “técnica del jefe”, los delincuentes se hacen pasar por la directora o el director general mediante correo electrónico y ordenan, por ejemplo, transferencias de grandes sumas a cuentas —por supuesto— falsas.

Candidaturas falsas

El área de RR. HH. también puede verse afectada, por ejemplo cuando se envían solicitudes manipuladas para introducir malware y así obtener acceso a redes internas.

Phishing de cuentas de empleados

Aunque el phishing ya es sobradamente conocido, las señales de alarma típicas son hoy casi imperceptibles. Gracias a la IA, los correos de phishing están tan “profesionalizados” que es muy fácil para los criminales obtener las credenciales de acceso de empleados y utilizarlas para entrar de forma ilícita en sistemas corporativos.

Engaño a clientes

Cuando los delincuentes se hacen pasar por una empresa y envían facturas falsas a sus clientes, esto puede causar graves daños reputacionales, especialmente si los pagos terminan en cuentas fraudulentas y no pueden rastrearse.

Ataques a proveedores y/o empresas asociadas

El uso de identidades comprometidas que permiten amplios accesos a sistemas corporativos o a la cadena de suministro también puede tener consecuencias severas.

Marco legal

RGPD y entorno B2B

Incluso en el ámbito B2B se aplican estrictos requisitos de protección de datos. Las empresas deben proteger los datos personales de sus clientes, empleados y socios; de lo contrario, pueden enfrentarse a cuantiosas multas, incluso cuando la pérdida de datos no sea culpa suya.

El RGPD de la UE establece numerosas regulaciones para garantizar la protección de identidades digitales. Las empresas, por ejemplo, deben informar a clientes y socios sobre los datos personales almacenados y, dentro de los límites legales, permitir su eliminación. Las excepciones incluyen datos almacenados por autoridades (p. ej., condenas penales) o datos médicos.

Ante vulneraciones de los derechos de protección de datos, puede existir incluso una reclamación de indemnización, aunque su procedencia depende de cada caso.

Código Penal españo

Los conceptos de “robo de identidad” y “fraude de identidad” aún no están definidos explícitamente en el Código Penal español. Sin embargo, conductas como la usurpación de estado civil (art. 401 CP), la falsedad documental (por ejemplo, art. 392 CP), la estafa (art. 248 CP) o la estafa informática (tipificada dentro del delito de estafa) pueden englobarse dentro de estas figuras. Además, estos actos suelen ir acompañados de otras infracciones, como el descubrimiento y revelación de secretos (art. 197 CP) o el acceso ilícito a sistemas informáticos (art. 197 bis CP), que sancionan el acceso no autorizado a información o sistemas informáticos. Finalmente, quienes utilizan una identidad ajena suelen cometer también estafa (art. 248 CP).

Medidas para protegerse del robo de identidad en empresas

Para las empresas es especialmente importante implementar medidas adecuadas de protección. Los criminales podrían hacerse pasar por clientes para adquirir productos o servicios, o robar la identidad de empleados para acceder a bases de datos internas y servidores, donde el daño podría ser mucho mayor.

Sensibilización y formación de empleados

Los empleados son la primera línea de defensa. Dado que en muchos sectores los sistemas de verificación segura de identidad son obligatorios, las formaciones periódicas son una medida indispensable.

Implementar procedimientos de identificación seguros

Los intentos de engaño son tan antiguos como la humanidad, y en la web son un fenómeno cotidiano. Un solo clic erróneo puede bastar para entregar datos sensibles —y, con ello, la identidad— a los atacantes.

Revisión y actualización constante de los sistemas

Todos los sistemas corporativos deben revisarse y actualizarse de forma continua para identificar vulnerabilidades. Los componentes de terceros también deben cumplir con los requisitos legales vigentes.

Soluciones para protegerse del robo y fraude de identidad

Existen diversas soluciones con las que empresas y autoridades pueden verificar la identidad de sus usuarios cumpliendo, entre otros, los requisitos de compliance. Entre ellas se encuentran los procedimientos de videoidentificación, métodos biométricos y soluciones para leer el chip de documentos oficiales.

Verificación de documentos de identidad

Hay distintos proveedores que ofrecen procedimientos de verificación de documentos como parte de la identificación online.

WebID, por ejemplo, es un referente en identificación digital y ofrece un amplio portafolio de soluciones conformes al AML y la normativa de protección de datos. En los siguientes productos, la verificación de documentos forma parte esencial del proceso:

• VideoID (Review) es nuestra solución conforme a eIDAS y SEPBLAC que incrementa tu nivel de seguridad al revisar el proceso de verificación de identidad automatizada por uno de nuestros expertos en verificación.
• VideoID (Live) permite una identificación conforme a la Ley de Prevención del Blanqueo de Capitales. La persona sube su documento y luego se verifica en una videollamada con un agente especializado.
• AccountID permite la identificación online mediante transferencia de referencia. Tras subir el documento y un selfie —verificados con detección de vida y comparación biométrica— se realiza una transferencia desde la banca online y se completa el proceso con un código SMS-OTP.

Identificación biométrica

Los rasgos biométricos como huellas dactilares, reconocimiento facial o escaneo del iris se consideran casi infalibles, ya que son únicos para cada persona y extremadamente difíciles de falsificar. WebID también ofrece soluciones basadas en datos biométricos.

Además de AccountID —que ya usa comparación biométrica y detección de vida— estos métodos también se emplean en AutoID, que compara de forma completamente automatizada el selfie de la persona con la imagen almacenada en un documento oficial, como un DNI.