La suplantación o robo de identidad en internet consiste en hacerse pasar por otra persona para cometer actividades delictivas, tales como fraude o estafas, obtener datos o información sensible o confidencial, cyberbulling (acoso a personas a través de Internet), grooming (abuso sexual de menores)…
Para Francisco Perez Bes, socio de derecho digital de Ecix Group y exsecretario general de INCIBE, “es muy difícil poder prevenir un intento de suplantación de nuestra identidad en Internet, siendo un riesgo al que todos estamos expuestos. Lo importante es actuar con rapidez cuando nos enteramos de que se está produciendo un intento de suplantación, al objeto de evitar las consecuencias para nuestra reputación y, en ocasiones, para nuestras finanzas”.
Existen indicios que pueden alertarnos de un intento de suplantación, tanto a nuestra persona como a nuestra empresa. Así, por ejemplo, “si detectamos que se da de alta una cuenta en redes sociales similar a la que tenemos, o que usa nuestro nombre o imagen, deberemos estar alerta, pues puede tratarse de un intento de usarla ilícitamente por ejemplo, para intentar contactar con nuestros clientes con fines fraudulentos”.
Gestionar una situación de este tipo suele, también, ser complicado. “Afortunadamente cada vez hay más tecnología que nos permite imagen sin consentimiento, o que intentan confundir a los usuarios en cuanto a su verdadera identidad”.
Para reconducir este tipo de situaciones “lo más efectivo es contactar con la plataforma que aloja esa cuenta, en la confianza que tengan un protocolo de gestión de este tipo de situaciones”.
“En la mayoría de los casos, dado que esas plataformas no son españolas, se incrementa la dificultad de ese proceso de cierre de cuentas suplantando la identidad de terceros, y es, desgraciadamente, cada vez más habitual que sus algoritmos rechacen la existencia de cuentas fraudulentas, alegando que no incumplen sus términos y condiciones”, comenta
En este contexto recomienda “denunciar tal suplantación ante las fuerzas y cuerpos de seguridad del Estado, fiscalía si es delictivo o si se trata de actos preparatorios, como pudiera ser un phishing”.
Desde su punto de vista “el factor tiempo es clave para evitar que cualquier suplantación de identidad nos genere un daño irreparable. Una de las claves es el rastrear y monitorizar lo que se dice de ti en Internet”.
Hay sectores que, desde hace tiempo, vienen usando este tipo de tecnologías para evitar riesgos de suplantación, por ejemplo, las compañías financieras, que también registran nombres de dominio con variedades del original para tratar de dificultar el uso inconsentido de su marca. “Eso le permite actuar de forma preventiva”, comenta.
Para este jurista “se trata de utilizar esas herramientas tecnológicas que permiten identificar, en tiempo real, que alguien está intentando suplantarte para evitar que logre su objetivo. Es una de las maneras más eficaces que existen actualmente para poder frenar este tipo de prácticas”, añade.
En su opinión “siempre es recomendable registrar defensivamente tu nombre o marca en distintas plataformas, y realizar búsquedas en redes sociales como twitter o linkedin, por ejemplo, para identificar si hay cuentas que usan tu nombre o tu imagen sin consentimiento, o que intentan confundir a los usuarios en cuanto a su verdadera identidad”.
Para reconducir este tipo de situaciones “lo más efectivo es contactar con la plataforma que aloja esa cuenta, en la confianza que tengan un protocolo de gestión de este tipo de situaciones”.
“En la mayoría de los casos, dado que esas plataformas no son españolas, se incrementa la dificultad de ese proceso de cierre de cuentas suplantando la identidad de terceros, y es, desgraciadamente, cada vez más habitual que sus algoritmos rechacen la existencia de cuentas fraudulentas, alegando que no incumplen sus términos y condiciones”, destaca.
En este contexto recomienda “denunciar tal suplantación ante las fuerzas y cuerpos de seguridad del Estado, fiscalía si es delictivo o si se trata de actos preparatorios, como pudiera ser un phishing”.
Desde su punto de vista “el factor tiempo es clave para evitar que cualquier suplantación de identidad nos genere un daño irreparable”.
Un problema de difícil solución
Este jurista reconoce que estamos ante un problema complejo que no es fácil de solventar “las redes sociales no han mostrado mucha colaboración ante esta lacra. Ahora hay esperanzas renovadas con la nueva directiva aprobada por la Comisión Europea, la Digital Services Act (DSA) y la Digital Markets Act (DMA) que, en cierta manera, puede ayudar a que los market places o plataformas digitales asuman una mayor responsabilidad ante este tipo de supuestos. O, incluso, la nueva directiva NIS2 si este tipo de actuaciones pueden estar relacionadas con intentos de ciberataques”.
En su opinión la normativa en preparación quiere regular la nueva problemática que hay en Internet, entre ellos este tipo de situaciones “Se trata de reclamar a las plataformas una mayor diligencia en este tipo de actuaciones. Europa les va a exigir mayores requisitos de prevención y cumplimiento, al objeto de dotar de mayor protección a los usuarios y a las propias empresas”.
Al final esta regulación “trata de mejorar la actividad del comercio electrónico y dificultar la comisión de posibles fraudes; mejorar las relaciones de los consumidores con las plataformas y, en cierta manera, tratar de dar solución a toda una serie de demandas que los profesionales del derecho digital venimos exigiendo desde hace tiempo”.
“En cierto modo se reabre el viejo debate sobre la responsabilidad de las plataformas por no cerrar este tipo de cuentas irregulares, y se vuelve a hablar de otras vías de identificación en Internet. Sin embargo, no debemos olvidar que la otra cara de este debate es, desde un punto de vista jurídico, los límites a la libertad de expresión, asunto éste siempre complejo pero imprescindible”.
A su juicio “también el debate de la suplantación ha tomado más fuerza por culpa de las campañas de desinformación y la proliferación de cuentas bot, cuyo nivel de extensión de ha puesto de manifiesto con la controversia suscitada durante la oferta de compra de Twitter por parte de Elon Musk”.ç
Todo ello ha vuelto a poner sobre la mesa la responsabilidad de las plataformas a la hora de disponer de canales adecuados para luchar contra las cuentas que incumplen la normativa de un determinado país.
En cuanto al uso de cuentas para acosar o calumniar a personas, este profesional reconoce las dificultades añadidas de lograr evidencias de quién es el responsable detrás de esas cuentas. Fiscalía y las Fuerzas y Cuerpos de Seguridad del Estado se esfuerzan en su investigación, pero sin la colaboración de las plataformas, su tarea se torna muy difícil.
En cualquier caso, “hay que estar sensibilizados de la importancia y gravedad potencial de este tipo de prácticas, y estar preparados para poderlas gestionar lo antes posible, actuando con diligencia para evitar las eventuales responsabilidades y consecuencias negativas que genera este tipo de prácticas”
“Las empresas y os personajes famosos lo saben, y ya cuentan con profesionales que les asesoran y ayudan en la gestión de su reputación y de la protección de su marca. No obstante, no siempre son infalibles: “es evidente que la libertad de expresión ampara abrir cuentas similares a la de un tercero, o cuentas parodia. Pero debe quedar claro que son cuentas de titulares distintos, con una intención no delictiva”, destaca.
Otra cuestión “es que si bien la suplantación propiamente dicha no está penalmente reconocida, sí lo están las actuaciones que se desarrollen a través de esa cuenta, por lo que hay que estar muy atento a la actividad de tales cuentas, aclara”
Debate jurídico interesante
Este experto reconoce que hay un debate jurídico interesante ya que en España “la normativa de protección de la imagen y del honor, así como la de protección de datos personales, en ocasiones pueden ser herramientas eficaces en la lucha contra la suplantación de identidad”.
“Lo que sucede es que estas leyes son de aplicación territorial limitada, que determinadas plataformas no respetan porque aplica su normativa local, y sus términos y condiciones de uso”. No esperemos, por tanto, que, por ejemplo, la plataforma china Tik Tok vaya a ser un modelo de protección de la identidad de nuestros ciudadanos.
Este jurista insiste en la necesidad de gestionar bien la situación y resolverla lo antes posible “el factor tiempo es fundamental. La suplantación de identidad puede tener muchas consecuencias negativas sino se pone freno de manera conveniente. Hay que seguir luchando para evitar la actual sensación de impunidad, y tomar conciencia de que se trata de proteger nuestra imagen, reputación y marca personal, que es un activo cada vez más importante”
Pérez Bes recuerda que estas controversias ya las vivimos con las marcas y los nombres de dominio. La gente registraba como nombre de dominio marcas de terceros para intentar hacerse pasar por esa empresa o vender esa cuenta. Esa picaresca siempre ha existido, y en parte se resolvió con procesos extrajudiciales para la recuperación de dominios.
La suplantación también se ha convertido en un problema grave para el sector financiero, especialmente con el robo de credenciales de clientes En situaciones concretas “gracias a la ley de servicios de pago y a la jurisprudencia actual, en muchas ocasiones la entidad financiera responde del robo del dinero de esa cuenta, aunque sólo en determinadas circunstancias”. El seguro de la entidad, posteriormente, se hace cargo de dichos siniestros.
Responsabilidad de los bancos
Este jurista recuerda que “la entidad financiera tiene la obligación de diligencia de identificar a los clientes de una manera adecuada. Ahí entra todo lo que conocemos sobre la identificación del cliente durante el proceso de onboarding y el Know Your Client, la firma digital, las medidas de doble factor de autenticación, etc. Si las medidas fallan, el banco puede ser legalmente responsable y exigirle la reparación de los daños causados”.
Sin embargo “si mediante engaños, el titular de la cuenta es quien, voluntariamente, traspasa su dinero a la cuenta de un ciberdelincuente, la ley exime de responsabilidad al banco y será el titular de la cuenta quien deba asumir ese fraude”.
El debate social, político y jurídico sobre la identidad digital ha vuelto con más fuerza. Y, dentro de este, el de la lucha contra la suplantación de identidad.
Este jurista se pregunta si “¿Debería regularse en el código penal? ¿Deberían buscarse nuevas fórmulas de resolución de controversias en esta materia?
En su opinión, “habrá que esperar a la aplicación de las soluciones de las nuevas normativas europeas y, en su caso, a si el problema se torna socialmente más complejo y se requieren nuevas soluciones, similares al canal prioritario creado por la Agencia Española de Protección de Datos”.
Por @LuisjaSanchez, Periodista Jurídico y Francisco Pérez Bes, socio de Derecho Digital de Ecix Group.