¿Recuerdas el cuento infantil de Caperucita Roja? El villano, también conocido como “el lobo”, encerró a la abuela en el armario, se puso el camisón de ella y el gorro de dormir, y fingió ser la abuela metida en la cama cuando Caperucita Roja apareció. Pero Caperucita Roja no fue engañada por el lobo. Algo simplemente no estaba bien. Caperucita Roja fue inteligente al desafiar al lobo, al indicar que los ojos, las orejas y los dientes de este no se parecían mucho a los de su abuela. Finalmente, Caperucita Roja no fue engañada por el lobo y la abuela fue liberada. (Para ser totalmente transparentes, algunas versiones de la historia toman un giro oscuro, pero estamos enfocados en el final feliz).

Los tiempos han cambiado. Los villanos de la actualidad son los ladrones de identidad. Al igual que el lobo, que simplemente buscaba una comida sabrosa, pero ilícita, los ladrones de identidad tienen como única meta robar tu dinero.

Y al igual que el lobo, los ladrones de identidad se hacen pasar por personas de tu confianza para hacerte daño, y envían enlaces o archivos adjuntos maliciosos por correo electrónico y mensajes de texto. Estas estafas, conocidas como “suplantación de identidad”, confían en tu incapacidad para detectar al remitente como un estafador y engañarte con el fin de que entregues lo que más atesoras: tu información de identificación personal.

Una de las más recientes estafas de suplantación de identidad se dirige a la información de identificación personal valiosa asociada con tu cheque de pago. Tú podrías ser como Caperucita Roja al engañar al villano; desafía cualquier solicitud de información de identificación personal, incluso si parece que la solicitud proviene de alguien de confianza.

El ángulo de la nómina

La información de identificación personal asociada con tu cheque de pago incluye números de seguro social, direcciones, fechas de nacimiento y, lo más importante, los números de cuenta bancaria utilizados para el depósito directo de tu cheque. El estafador se hace pasar por el Departamento de recursos humanos (RR. HH.) o de nómina de tu empleador y se comunica contigo y otros empleados directamente por correo electrónico. Como parte de la estafa, se te pedirá que ingreses, actualices o confirmes tu información de identificación personal, ya sea haciendo clic en un enlace a un sitio web ficticio o respondiendo directamente el correo electrónico de suplantación de identidad.

La meta del estafador es obtener la información de tu cuenta bancaria de depósito directo. Luego, utilizan esa información para redirigir tu salario a una cuenta bancaria diferente a la que pueden acceder.

Los empleadores pueden enterarse por primera vez de esta estafa cuando los empleados empiezan a quejarse de que no han recibido el salario, pero, para ese momento, el dinero ya habrá desaparecido.

Variaciones de la estafa de suplantación de identidad en la nómina

Un intento de suplantación de identidad en la nómina o depósito directo es un tipo de vulneración del correo electrónico empresarial (Business Email Compromise, BEC) o un engaño en el que el atacante obtiene acceso a una cuenta de correo electrónica corporativa y asume la identidad del titular para defraudar a la compañía o sus empleados, clientes o socios para obtener su dinero. Los delincuentes creativos tienen múltiples variaciones para estafar a la gente con una estafa relacionada con la nómina o el depósito directo.

Para las compañías que utilizan un tercero proveedor de nóminas, un empleado puede ser atraído a un sitio web falsificado (un sitio falso diseñado para parecerse al sitio real del tercero), donde se le pide que proporcione credenciales de inicio de sesión, que el estafador recopila para su propio uso. En otra variante, el estafador obtiene el control de la cuenta de correo electrónico de un empleado o la falsifica, luego contacta al proveedor de nóminas para solicitar un cambio de contraseña para un portal de nóminas en línea.

Puesto que esta estafa en particular implica la nómina, los empleados son más propensos a responder en un esfuerzo por evitar que su salario regular se vea interrumpido.  

“Robar cheques de pago golpea a la gente donde más le duele”, expresó Trevor Buxton, gerente de Comunicaciones de fraude y examinador de fraudes certificado del Departamento de seguridad de PNC. “Ser conciencia de esta estafa en particular y saber cómo detectarla es la mejor manera de asegurarte de que a los villanos no se les pague por tu arduo trabajo”.

No muerdas el anzuelo

Al igual que sucede con todas las campañas de suplantación de identidad, el correo electrónico o mensaje de texto involucrado, a menudo, comparte ciertas características reveladoras que insinúan que son falsos:

  • Errores de ortografía
  • Errores gramaticales
  • Ofrecimientos de premios fantásticos
  • Un sentido de urgencia
  • Solicitud de información de identificación personal (personally identifiable information, PII)
  • Solicitud de nombres de usuario y contraseñas
  • Amenazas con consecuencias
  • Demandas específicas

Por suerte, hay cosas que pueden ayudar a las personas y a las pequeñas empresas a detectar y evitar un intento de suplantación de identidad:

  • Pasa el cursor por la dirección de correo electrónico del remitente, que debe hacer aparecer un recuadro para “activar con el mouse” que contiene la dirección de correo electrónico real del remitente. Inspecciónalo para detectar irregularidades que podrían indicar señales de falsificación.
  • Utiliza la característica de “reenviar” el correo electrónico en lugar de “responder”. “Reenviar” obliga al usuario a escribir una dirección de correo electrónico conocida y de confianza, mientras que “responder” responderá directamente al suplantador de identidad.
  • En un caso de presunta suplantación de identidad, no hagas clic en enlaces ni respondas un mensaje de texto que solicite información personal o financiera como números de tarjetas de crédito, números de seguro social u otra información bancaria. Es recomendable comunicarse directamente con la compañía escribiendo una dirección URL conocida en tu navegador de Internet y no utilizar la información contenida en el correo electrónico o texto sospechoso.
  • No abras los archivos adjuntos en un presunto intento de suplantación de identidad.
  • No llames a los números de teléfono indicados en un presunto intento de suplantación de identidad. 

Ve a una fuente de información conocida para obtener información de contacto, como el Departamento de recursos humanos o la nómina de tu compañía, y usa un número de teléfono o una dirección de correo electrónico que normalmente usarías. Si no están al tanto de la solicitud, debes seguir el proceso de tu compañía para denunciar el correo electrónico sospechoso. 

Si tu compañía no tiene un proceso formal, presenta una denuncia ante el Centro de Denuncias de Delitos en Internet (IC3) en la Oficina Federal de Investigaciones a través de www.ic3.gov.

En 2016, el Centro de Denuncias de Delitos en Internet (IC3) de la Oficina Federal de Investigaciones recibió 12,005 quejas de vulneración de correos electrónicos o de cuentas de correo electrónico empresariales con pérdidas por un total de más de $360 millones.[1]