Alguien me está suplantando en línea

Suplantación de identidad

Alguien me está suplantando en línea

Problema

Una amenaza a la que se enfrentan muchas activistas y medios independientes es encontrarse con que su identidad ha sido suplantada por adversarios que crean perfiles, sitios web o correos electrónicos falsos. Los motivos pueden ser múltiples, como difundir información engañosa, desacreditar o robar credenciales de pago.

Es importante saber que hay muchas formas de hacerse pasar por otra persona (perfiles falsos en redes sociales, sitios web clonados, correos electrónicos falsificados, publicaciones sin consentimiento de imágenes y vídeos personales, etc.). Diagnosticar el problema y encontrar posibles soluciones para la suplantación de identidad puede ser complicado. Es una buena práctica configurar alertas y monitorear internet para averiguar si la persona o su organización están siendo suplantadas.

Solución

Si está afectando a una persona a nivel individual es posible que desee alertar a sus contactos. Para hacerlo, recomendar que se utilice una cuenta de correo, un perfil o un sitio web que esté totalmente bajo su control.

Reacción / Apagafuegos

¿Cómo está siendo suplantada la identidad?
A través de un sitio web falso que se hace pasar por una persona o por mi grupo

Comprobar si el sitio web es conocido por ser malicioso, buscando su URL en los siguientes servicios en línea:

Si el sitio web es malicioso:

Denunciar la URL en Google Safe Browsing. Rellenar el formulario para informar sobre el caso (en inglés). Hay que tener en cuenta que este reporte puede llevar algún tiempo en ser procesado. Mientras tanto, se recomienda enviar una solicitud de eliminación al proveedor de hosting y al registrador de dominios, o guardar la página en los marcadores y regresar en unos días.

Si no se sabe si el sitio web es malicioso:

Intentar reportar el sitio web al proveedor de hosting o al registrador de dominios, y solicitar su eliminación. Es posible que quien reporta deba probar que eres la propietaria legítima del contenido original:

  • Con el contrato original con el registrador de dominios y/o el proveedor de hosting.
  • Haciendo una búsqueda en Wayback Machine. Si los sitios web se han indexado allí, se mostrará un historial que permitirá demostrar que el sitio web original existía antes de que se publicara el sitio web falso.

Para enviar una solicitud de eliminación, también se requiere recopilar información sobre el sitio web falso:

  1. Ir al Servicio NSLookup de Network Tools y averiguar la dirección IP del sitio web falso, ingresando su URL en el formulario de búsqueda. Anotar la dirección o direcciones IP.
  2. Ir al Servicio de búsqueda de Whois de Domain Tools y buscar tanto el dominio como la dirección IP del sitio web falso.
  3. Tomar nota del nombre y la dirección de correo electrónico del proveedor de alojamiento y del servicio de dominio. Si aparece en los resultados de su búsqueda, tomar nota, también, del nombre del propietario del sitio web.
  4. Escribir al proveedor de hosting y al registrador de dominios del sitio web falso para solicitar la eliminación del mimso. En el mensaje, incluir información sobre las direcciones IP, la URL y el propietario del sitio web que realiza suplantación de identidad, así como las razones por las que se está cometiendo abuso.
  5. Se puede utilizar la plantilla de la línea de ayuda de Access Now (en inglés) para informar de sitios web clonados a un proveedor de alojamiento web.
  6. Se puede utilizar la plantilla de la línea de ayuda de Access Now (en inglés) para informar sobre suplantaciones o clonación a un proveedor de dominio.
A través de una cuenta de red social que se hace pasar por la persona

Si la suplantación se hace a través de una cuenta real, revisar las estrategias de respuesta de la ficha Recuperar cuentas robadas (unauthorized access).

En el caso de que se creen cuentas por parte de terceros (por ejemplo, con el nombre real de una persona o parecido):

A través de la distribución de vídeos o imágenes sin consentimiento

Si se está suplantando la identidad de una persona en un sitio web, lo primero que se debe hacer es comprender en dónde está alojado ese sitio, quién lo administra y quién le ha proporcionado el nombre de dominio. Esta investigación tiene como objetivo identificar la mejor manera de solicitar la eliminación del contenido malicioso. Antes de continuar con tu investigación, si vives en la UE, puedes solicitar a Google que elimine el sitio web de los resultados de búsqueda de tu nombre. Esto no elimina el contenido, solo lo elimina de los resultados de búsqueda (se desindexa).

Recursos para eliminar contenido:

A través de una dirección de correo electrónico o una dirección similar

Por razones técnicas propias de esta tecnología, es bastante difícil autenticar correos electrónicos. Esta es la razón por la cual es muy fácil crear direcciones y correos electrónicos falsos.

  • Si se ha suplantado la identidad a través de su propio correo electrónico: la persona suplantadora podría haber obtenido la cuenta de correo electrónico. Para descartar esta posibilidad, cambia tu contraseña. Se recomienda revisar las estrategias de Recuperar cuentas robadas (unauthorized access).
  • Si estás siendo suplantada a través de una dirección similar, por ejemplo con el mismo nombre de usuaria, pero con un dominio diferente, advierte a tus contactos sobre este intento. Esto debe hacerse desde una cuenta de correo, perfil o sitio web que se encuentre totalmente bajo tu control.
A través de una llave PGP conectada a la dirección de correo electrónico.

Alerta a tus contactos a través de un canal de confianza que controles, como Signal u otra herramienta cifrada de extremo a extremo (E2E), de que alguien está tratando de hacerse pasar por ti. Después, deberás comunicarles que pueden reconocer tu llave real basándose en (1) las firmas de contactos confiables y/o (2) la huella digital de tu llave real.

En caso de pérdida de dispositivo o del control de la llave PGP, crea un nuevo par de llaves y haz que la firmen personas de confianza.

A través de una aplicación falsa que imita mi aplicación.

Si alguien está difundiendo una copia maliciosa de una aplicación u otro software, es una buena idea hacer un comunicado público para advertir a los usuarios que solo descarguen la versión legítima.

También es importante informar sobre la aplicación maliciosa y solicitar su eliminación.

Puede tomar tiempo recibir una respuesta a la solicitud. Puede ser buena idea guardar esta página en los marcadores y volver a este flujo de trabajo en unos días.

Prevención / Sensibilización

  • Crea contraseñas seguras, complejas y únicas para todas tus cuentas. Más información aquí.
  • Considera la posibilidad de usar un administrador de contraseñas para crear y almacenar contraseñas distintas y complejas. Más información aquí.
  • Activar la verificación de dos pasos (2FA) para las cuentas más importantes. Al requerir usar más de un método para iniciar sesión en las cuentas, si alguien obtuviera tu contraseña principal, no podría acceder a tu cuenta a menos que también tuviera tu teléfono móvil u otro medio secundario de autenticación. Más información aquí.
  • Verificar los perfiles en plataformas de redes sociales. Algunas plataformas ofrecen una función para verificar tu identidad y vincularla a tu cuenta. Más información aquí.
  • Mapear la presencia en línea. El self-doxing consiste en explorar la inteligencia de código abierto sobre una misma para evitar que los actores maliciosos encuentren y utilicen esta información para hacerse pasar por ti.
  • Configurar alertas de Google. Cuando aparezcan nuevos resultados en la búsqueda de Google se puede, por ejemplo, obtener información sobre las menciones de tu nombre o el nombre de tu organización/colectivo.
  • Capturar una página web tal y como aparece ahora para usarla como evidencia en el futuro. Si el sitio web permite rastreadores, puedes utilizar Wayback Machine. Ingresa el nombre de tu sitio web y haz clic en el botón “Guardar página ahora”.

Consideraciones legales

El art. 401 del Codigo Penal, relativo a la usurpación de estado civil, sirve de base para dar a esta conducta la categoría de delito, consistente en:

I). Crear un perfil digital falso en el que no añada información personal de la víctima salvo su nombre.

II). Incorporar datos de la víctima en cualquier otro perfil digital.

III). Acceder a un servicio de usuario haciéndose pasar por él.

- Elementos que conforman el concepto de estado civil de las personas son

a) Nombre y apellidos

b) Edad

c) Sexo

d) Nacionalidad

e) Estado familiar (matrimonio o unión de hecho)

- Requisitos para el tipo delictivo de suplantación de identidad

  1. La persona suplantada tiene que ser real, incluyendo estas personas vivas y fallecidas
  2. El que comete el delito tiene que tener como fin usurpar la personalidad de la otra persona
  3. Debe existir una intención de causar daño y obtener un beneficio económico
  4. Su conducta debe implicar una alteración de la verdad realizada conscientemente
  5. Esta alteración de la verdad debe ser capaz de provocar un daño o perjuicio así como lesionar intereses ajenos

- Medios utilizados para la Suplantación de identidad

a) Sustracción o pérdida del DNI. Este tipo de suplantación es peligrosa, ya que para contratar determinados servicios no son necesarios muchos datos, basta con el nombre y el DNI.

b) Falsificación de firma. Se considerará un delito siempre y cuando la firma suplantada haya sido utilizada para la compra de un inmueble o el pago de deudas.

c) Suplantación de identidad en la contratación de servicios

d) En Internet. Consiste en el tratamiento de datos personales sin consentimiento de su titular. Las intenciones pueden ser muy variadas:

  • Phishing: Envía un correo electrónico haciéndose pasar por una empresa o entidad con el objetivo de robar información privada. ( Ejemplo: ataque de servicios básicos com el agua, electricidad o gas).
  • Web scraping: Redirige a una persona a una web falsa con el objetivo de robarle sus datos personales.
  • Delitos contra la imagen
  • Estafa
  • Perfil falso en redes sociales, para obtener notoriedad o causarle algún daño a la víctima

- Procedimiento judicial

A) Inicio del Proceso: Denuncia o Querella

  • Una denuncia es una comunicación oficial de unos hechos que pueden ser delictivos y se reclama la investigación. La puede hacer la persona agraviada o no.

Habrá que describir los hechos de forma detallada y clara, identificar las personas que consideramos responsables y aportar la prueba de la qué disponemos o indicar la práctica de diligencias de investigación que creemos que conducirán a averiguar los hechos y su autoría. Es importante leer bien la denuncia antes de firmarla porque aquel relato predeterminará la posterior investigación.

La persona puede dirigirse a una comisaría de policía de los Mossos d’Esquadra, a cualquier Juzgado de Guardia o también se pueden hacer denuncias ante la Fiscalía.

Además, en aquellos delitos donde, además, se haya producido sustracción de dinero, la persona afectada deberá interponer una denuncia y llevarla a la entidad financiera correspondiente para que el seguro del banco restituya la cantidad robada.

Mossos d’ Esquadra MMEE. https://mossos.gencat.cat/ca/serveis_i_tramits/Cita_previa/index.html

Jujats (https://www.mjusticia.gob.es/BUSCADIR/ServletControlador?apartado=buscadorGeneral&lang=es_es)

  • La querella es una denuncia “calificada” que además de los elementos de la denuncia, contendrá una calificación provisional del delito o delitos cometidos, de las personas responsables y propondrá una serie de diligencias de investigación para averiguar los hechos. La querella supone que la persona agraviada se persona como acusación particular y requerirá que la querella venga subscrita por una abogada y por una procuradora.

Derechos y medidas cautelares

Derechos de las víctimas de violencia de género

Consejos para acceder a la justicia gratuita: solicitar abogada y procuradora de oficio

Sistematización, preservación, y validez de la prueba de las violencias machistas digitales

B) Tipos de personación:

  • Como simple perjudicada, esto supone que no intervendrá en el impulso ni las decisiones del procedimiento. Su condición procesal será la de testigo– perjudicada y actuará en el procedimiento cuando sea citada a realizar los trámites que ordene el Juzgado, como declarar o ser examinada por el personal forense.

  • también, como parte, ejerciendo la acusación particular, contratando los servicios de una abogada y de una procuradora, que actuarán en el procedimiento de forma activa, proponiendo prueba, interrogando testigos e investigados, recorriendo las resoluciones perjudiciales para la agraviada, formalizando un escrito de acusación con la petición de delitos, penas y una indemnización e interviniendo en el juicio oral.

C) Juzgado competente:

Corresponde la competencia jurisdiccional al juez del lugar donde se produjo el resultado perjudicial del delito.

D) Fases del Proceso:

PROCEDIMIENTO ABREVIADO:

Se utiliza para las infracciones castigadas con pena de prisión inferior a nueve años u otras penas no privativas de libertad.

FASE 1: INSTRUCCIÓN (INVESTIGACIÓN HECHOS)

• Una vez el Juzgado de guardia reciba la denuncia, según sus reglas, se quedaráel asunto o lo enviará a que se reparta a alguno de los Juzgados de instrucción de la localidad en la qué se haya cometido el delito.

• También decidirá si archiva el caso o bien lo inicia como delito estándar, decisión que determinará el tipo de procedimiento que se seguirá.

• La resolución también tendría que acordar las diligencias urgentes como la detención de la persona u otros. Y si la denuncia se reclama la adopción de una orden de protección, se tendría que celebrar la vista en la qué se determine si se adopta esta o no.

• El procedimiento tiene una primera etapa de investigación en la qué el Juzgado de Instrucción reúne las pruebas sobre los hechos y sobre la autoría. Si hay bastante elementos, cerrará la investigación y emplazará a las acusaciones, - particular y pública (Fiscalía)-, para que presenten sus escritos de acusación, y con posterioridad el Juzgado dictará una resolución por la que fije las personas investigadas y los delitos por los cuales se abre juicio oral para que formalicen sus escritos de defensa.

FASE 2: ENJUICIAMIENTO (JUICIO ORAL)

• Después el caso se repartirá a un Juzgado (1 solo juez o jueza), y este dictará una resolución por la qué aceptarán las pruebas y fijarán fecha para el juicio oral.

• Una vez celebrada el juicio oral, dictarán una sentencia, que se podrá recurrir por las partes ante el superior jerárquico del Juzgado o Tribunal.

FASES 3: RECURSOS

• Las partes pueden recorrer la sentencia —tanto si es absolutoria como condenatoria— ante el órgano superior, el cual confirmará la sentencia o estimará el recurso y la modificará.

FASE 4: EJECUCIÓN

• Si se confirma la sentencia condenatoria, se abre la fase de ejecución, en que una jueza o juez supervisa que el condenado cumpla lo impuesto en la sentència.si lo deseas, a través de la Oficina de Atención a la Víctima puedes informarte si es producen cambios en el cumplimiento de la condemna (permisos penitenciarios, tercer grado, etc.).

E) Duración del proceso:

Los procedimientos judiciales en general no son rápidos, en el caso de la jurisdicción penal, losplazos de los procedimientos vienen recogidos en la Ley de Enjuiciamiento Criminal, y desde hace unos años se fijaron unos periodos máximos con un sistema de prórrogas.

Asimismo, segun la normativa vigente se establece que la investigación judicial se desarrollará en un plazo máximo de doce meses desde la incoación de la causa. Si, con anterioridad a la finalización del plazo, se constatare que no será posible finalizar la investigación, el juez, de oficio o a instancia de parte, oídas las partes podrá acordar prórrogas sucesivas por periodos iguales o inferiores a seis meses.

Por tanto, la dilatación de los procedimientos depende de muchos factores, por ejemplo el de la carga de trabajo del Juzgado o bien si la investigación requiera efectuar informes técnicos o cursar el auxilio judicial internacional.

En términos generales, la fase de investigación, puede alargarse entre 1 y 3 años, después hay la fase de los escritos de acusación y de defensa y posteriormente llegará la celebración del juicio que puede celebrarse entre 2 y 5 años después de los hechos. Hasta que la sentencia no acontece firme, después de los recursos, pueden haber llegado a pasar entre los 5 y los 7 desde los hechos.

F) Sentencia- Pena:

Para considerar la gravedad de estos actos se tendrán en cuenta distintos factores: • CARACTERÍSTICAS DEL SUCESO: vulneración del derecho a la intimidad, robo de información personal, actuaciones en nombre de otra persona • PÉRDIDAS DE LA VÍCTIMA: daños psicológicos, robo de dinero, inclusión en listas de morosos • REINCIDENCIA DE LA SUPLANTACIÓN DE IDENTIDAD • GRAVEDAD DE LOS HECHOS: beneficio económico, nivel de las humillaciones, duración del delito

En el caso, que finalice el proceso penal con sentencia condenatoria, se establece pena de prisión de 6 meses a 3 años, y además dependiendo de la actuación del agresor estamos ante unos tipos de delitos u otro, como es:

  • Delito de Descubrimiento y Revelación de secretos: Pena de prisión de 1 a 4 años y multa de 12 a 24 meses
  • Delito de Robo de datos: Pena de prisión de 6 meses a 2 años
  • Delito de estafa informatica o Phishing: de 2 meses a 6 años de prisión

G) Prescripción del delito:

El Código Penal prevé unos plazos específicos de prescripción del delito, en función de la gravedad, y este delito prescribe transcurrido cinco años de haberse cometido. El plazo de prescripción se interrumpe, cuando se dirige el procedimiento hacia la persona responsable de cometer el delito. Para los delitos continuados, el inicio de la prescripción será desde el último de los actos tificados como delito.

Tags: posible-delito plataformas webs reaccion tecnologica