A principios de este año, unos conocidos le informaron a la modelo independiente con sede en Derbyshire Elle Jones que alguien que decía ser ella los había contactado. Al investigar, Jones descubrió que se había creado una cuenta de Instagram imitando su propio perfil, que ofrecía contenido pornográfico a través de un enlace. Jones informó sobre la cuenta, pero dos días después recibió una respuesta automática que decía que la cuenta no había sido eliminada. Luego envió un correo electrónico a Instagram, impugnando la inacción, y dos días después se eliminó la cuenta fraudulenta.
La experiencia de Jones no es única. La identidad del autor Joe Dunthorne fue explotada cuando un perfil de Instagram, que decía ser él, intentó convencer a la gente de que comprara criptomonedas. Por supuesto, el problema no se limita a Instagram. Por ejemplo, la artista y cosplayer Giulietta Zawadzki hizo que su Gorjeo cuenta clonada a principios de este año, en un intento de vender pornografía.
Estos imitadores se dirigen tanto a las empresas como a las personas: cualquier cuenta que tenga muchos seguidores en las redes sociales puede convertirse en un objetivo para el robo de identidad. En 2020, se clonó la cuenta de Little Soap Company. Luego, la cuenta fraudulenta contactó a los participantes en su competencia en línea de forma privada para informarles que habían ganado y les pidió sus datos de PayPal.
A medida que nos convertimos en una sociedad cada vez más digital, ha habido un aumento asociado en la cantidad de perfiles de redes sociales fraudulentos que se crean. Estas cuentas luego se utilizan para distribuir información errónea, compartir enlaces fraudulentos, vender productos o intentar solicitar datos bancarios.
“Es bastante fácil crear y clonar la cuenta de otra persona, tratar de robar su identidad (de una persona, empresa o institución) y usar esa cuenta para forzar información de otras personas, forzar dinero, pero también para difundir información errónea, etc. ”, dice Piotr Bródka, profesor del Departamento de Inteligencia Artificial de la Universidad de Ciencia y Tecnología de Wroclaw.
El impacto de los ataques de ingeniería social se extiende más allá de las pérdidas inmediatas debido a actividades maliciosas: la persona cuyo perfil se copia puede asociarse con las acciones del suplantador, causando daños a la reputación.
El impacto de estos ataques de ingeniería social se extiende más allá de las pérdidas inmediatas debidas a actividades maliciosas. La persona cuyo perfil se copia puede asociarse con las acciones del suplantador, causando daños a la reputación. “El problema mayor, que posiblemente no vemos, es el daño a la gente; cómo son vistos por sus amigos y cuán dañina es la desinformación”, dice Bródka.
“Veo muchos clientes que tendrán una cuenta rival configurada en Twitter que se parece mucho a ellos”, dice la consultora de reputación Madelaine Hanson. “Esa persona luego afirmará que la cuenta original fue pirateada, o que no puede recordar su contraseña, y luego compartirá recomendaciones sobre NFT. [non-fungible tokens] o criptomonedas para invertir”.
Un problema de las plataformas, no solo de los usuarios
También hay un impacto en las plataformas de redes sociales, porque a medida que ocurran más de estos incidentes, habrá una pérdida de confianza asociada en la capacidad de esa plataforma para proteger a sus usuarios. Esto conducirá a cambios en los hábitos de los usuarios, como limitar el uso de plataformas percibidas como vulnerables al robo de identidad o cambiar a plataformas que se consideran más seguras.
“Desde que sucedió en Instagram, cambié mi perfil a una cuenta privada”, dice Jones. “Antes tenía una cuenta comercial, pero con una cuenta privada puedo ver quién pide ser seguidor”.
Una cuenta clonada imitando la de la modelo freelance Elle Jones ofrecía contenido pornográfico a través de un enlace
Uno de los problemas con el robo de identidad en las redes sociales es que los mecanismos de denuncia son limitados. Los equipos de soporte de las plataformas de redes sociales a menudo pueden verse abrumados por las demandas y los informes de robo de identidad pueden pasarse por alto. Al informar cuentas clonadas, generalmente hay una opción para bloquear la cuenta. Por supuesto, la cuenta maliciosa también puede bloquear la cuenta original, ofuscando así las actividades de la cuenta clonada.
A menudo pasan varios días antes de que se reciba una respuesta, e incluso entonces, no se garantiza que se tomará ninguna medida. Jones tuvo que esperar más de cuatro días antes de que se cancelara una cuenta. Hasta la fecha, todavía no se han tomado medidas contra el perfil que imita a Zawadzki en Twitter.
También hay vías legales limitadas que las víctimas pueden seguir. Dado que el robo de identidad está cubierto por el fraude, solo se considera un delito si la víctima ha perdido dinero a través de las acciones del perpetrador, independientemente del dinero que haya ganado el perpetrador al explotar la identidad de la víctima.
“Solo se registrará un delito cuando la persona física o jurídica que haya sufrido o pueda haber sufrido una pérdida económica por el uso de una identidad robada lo denuncie”, explica un portavoz del Gobierno del Ministerio del Interior. “Alentamos a todas las víctimas a que informen los incidentes a Action Fraud, ya que brinda información importante a las fuerzas del orden”.
Sin embargo, equiparar el daño a la reputación con la pérdida financiera puede ser un desafío, ya que debe haber evidencia que demuestre que ha habido una pérdida de ganancias debido a las actividades maliciosas de la cuenta clonada. “La ley de difamación, en general, debe reformarse por completo”, dice Hanson. “Me gustaría ver un mayor enfoque en el crimen, como hacerse pasar por otros para obtener información, incluido en el fraude”.
¿Ser verificado es suficiente?
El sistema de “marca azul”, que utilizan las principales plataformas de redes sociales Facebook, Twitter e Instagram para indicar las cuentas cuya identidad se ha verificado, ha tenido un éxito desigual. Tener el estado verificado significa que es más fácil y rápido eliminar cualquier cuenta falsa. Sin embargo, actualmente solo ciertos usuarios pueden solicitar el estado verificado, a menudo dependiendo de la empresa con la que están asociados.
La modelo independiente Elle Jones informó sobre la cuenta clonada, pero dos días después recibió una respuesta automática que decía que la cuenta no había sido eliminada.
“Muchas personas tal vez no son lo suficientemente notables como para obtener una marca azul, pero son lo suficientemente importantes como para influir en los mercados”, dice Hanson.
El proceso de solicitud para ser verificado es un acto de equilibrio delicado para las plataformas de redes sociales. Si los requisitos previos son demasiado amplios, las plataformas pueden verse inundadas de aplicaciones, pero si son demasiado limitados, su uso se vuelve demasiado limitado para ser beneficioso.
Asimismo, los sistemas de verificación utilizados en cada plataforma no son uniformes. Si bien una plataforma puede otorgar un estado verificado, otra no lo hará, incluso si un usuario ya está verificado en una plataforma existente. Esto puede hacer que las personas cuestionen la legitimidad de un perfil genuino pero no verificado.
Ha habido algunas investigaciones sobre la detección de cuentas de redes sociales clonadas. En 2014, Bródka publicó un artículo titulado Detección de clonación de perfiles en redes sociales. La detección de clonación de perfiles permite que las plataformas detecten cuentas de redes sociales potencialmente fraudulentas, que explotan la confianza de las personas con fines maliciosos.
“Creamos una aplicación simple, que recopilaba a tus amigos y amigos de amigos”, dice Bródka. “En base a eso, hicimos algunos experimentos sobre la eficacia con la que podemos crear un perfil clonado y la eficacia con la que podemos detectarlos”.
En el documento, Bródka demostró dos métodos que podrían usarse. El primer método examina la similitud de atributos entre perfiles, el segundo evalúa la similitud entre sus redes sociales.
Ambas técnicas resultaron útiles para detectar perfiles clonados, pero el volumen de datos en las plataformas de redes sociales significa que las metodologías descritas inicialmente no serían adecuadas para el despliegue masivo. “Tendría que simplificar eso porque no creo que exista la posibilidad de ejecutarlo en línea de manera efectiva para cada cuenta en los grandes servicios de redes sociales como Facebook”, dice Bródka.
Desafortunadamente, a raíz del escándalo de Cambridge Analytica, los datos de Facebook se han vuelto más difíciles de adquirir con fines de investigación. Como tal, se ha vuelto un desafío investigar la detección de la clonación.
¿Qué se puede hacer?
La proliferación de las redes sociales y los mecanismos de denuncia inadecuados en las plataformas han visto florecer el robo de identidad en línea. Esto continuará hasta que se tomen medidas adicionales para contrarrestar estas actividades maliciosas.
“Espero que sea mucho más rápido congelar una cuenta que se está haciendo pasar por usted, ya que es muy fácil de hacer”, dice Hanson. “Necesitamos reconocer que las personas que cometen delitos en línea son dañinas e impactantes”.
Se debe seguir una estrategia proactiva de redes sociales, como verificar periódicamente si hay perfiles clonados. Si se encuentra alguno, se deben utilizar los mecanismos de notificación para que se eliminen.
El proyecto de ley de seguridad en línea se presentó al Parlamento del Reino Unido y actualmente se encuentra en la etapa de comité. Incluye el deber de prevenir la publicidad fraudulenta en las plataformas de redes sociales más grandes, pero solo el tiempo dirá qué tan efectivo será para combatir el robo de identidad en las redes sociales.
“Estamos decididos a tomar medidas enérgicas contra los estafadores y estamos introduciendo legislación para hacer que las identidades digitales sean tan confiables y seguras como los documentos oficiales, como pasaportes y permisos de conducir, incluida la creación de una nueva Oficina de Identidades y Atributos Digitales”, dice el Ministerio del Interior.
Hasta entonces, las personas y las organizaciones con presencia en las redes sociales deben estar atentas a la clonación de cuentas para proteger su marca y reputación. Tener el estado verificado ayudará en ese sentido, pero esta medida no es infalible.
En el clima digital actual, se debe seguir una estrategia proactiva de redes sociales, como verificar periódicamente si hay perfiles clonados. Si se encuentra alguno, se deben utilizar los mecanismos de notificación para eliminarlos. Las capturas de pantalla de todos los comentarios y publicaciones de la cuenta fraudulenta proporcionarán más pruebas de su actividad ilegal.
Sin embargo, los usuarios de las redes sociales pueden hacer mucho para protegerse del robo de identidad en las redes sociales. “La principal responsabilidad recae en las autoridades y los propietarios de las plataformas de redes sociales para crear mecanismos que les permitan identificar rápidamente estos casos”, dice Bródka.
