Cómo proceder ante un caso de usurpación de identidad

Como sabemos con el desarrollo de las TIC se ha ido consolidando la identidad digital o electrónica de los usuarios que lo diferencia de los medios tradicionales emitidos por la administración pública (DNI, pasaporte, permiso de conducir, etc.). Esta identidad digital permite asignar al usuario de las telecomunicaciones ser titular de un conjunto de datos o códigos de acceso que se le asignan por los diferentes proveedores de servicios que lo identifican ante los demás y que habitualmente se emplean en aplicaciones web como Facebook, Twitter, ahora X, LinkedIn o PayPal, entre otras muchas más. Y es en estas redes donde se detectan multitud de suplantaciones de identidad producto de defectuosos mecanismos de detección o falta de diligencia en la custodia de las credenciales de identificación por sus usuarios. Estas suplantaciones tienen como finalidad atacar a la intimidad e imagen de las personas afectadas o su patrimonio a través de ataques a plataformas de pago o banca on line mediante técnicas fraudulentas como los phishing ya conocidos.

La usurpación de la identidad de un usuario en la red comporta unas consecuencias de carácter penal tipificadas como delito de falsedad documental privado u oficial, descubrimiento y revelación de secretos, usurpación de estado civil y estafa convencional o informática. El sujeto pasivo de la suplantación se ve habitualmente revictimizado al constituirse en víctima del delito y sospechoso de haberlo cometido al ser utilizada su identidad por el estafador para cometer una serie de delitos. Esta particularidad supone un verdadero quebradero de cabeza porque invierte la posición de la victima ante diferentes procesos abiertos como consecuencia de los hechos denunciados obligándole a tener que demostrar su inocencia cuando debería ser al contrario como rige en nuestro proceso penal. Aquellos usuarios que más visibilidad tienen en las redes son quienes tienen más posibilidades de ser víctima de esta situación.

¿Cómo podemos detectar que nos han suplantado nuestra identidad?

La primera alerta que nos permite identificar un ataque de esta naturaleza la podemos encontrar cuando la aplicación en la que nos identificamos impide su acceso por haberse cambiado la contraseña sin nuestro conocimiento. Las plataformas antes citadas tienen implantado un mecanismo de seguridad que emite un aviso por correo electrónico o mensaje de texto al teléfono cuando detecta conexiones extrañas en función de la dirección IP de acceso.

Una forma de poder comprobar qué información puede aparecer en las redes sociales nuestra consiste en efectuar una consulta en Google Social Search que monitoriza los diferentes comentarios y perfiles en las principales redes sociales. En el caso de la banca electrónica se han perfeccionado mucho las alertas de seguridad que dificultan cada vez más las intrusiones ilícitas con fines fraudulentos aunque siguen produciéndose estafas relacionadas con el phishing.

Lo más importante ante un caso de usurpación de identidad detectada por el usuario consiste en saber cómo debemos actuar.

El primer riesgo que nos acecha ante la presencia de un caso de usurpación de identidad es la volatilidad de la información ya que se corre el riesgo de que el defraudar lo detecte y elimine todo rastro para dificultar su identificación. Por esta razón, lo primero que debemos hacer es recoger las primeras evidencias de este hecho con el fin de poder aportarlo a la denuncia policial. En esta fase vale cualquier posibilidad de recoger estos indicios como una simpe captura de pantalla a través de simples “pantallazos” del propio terminal que empleemos.

No obstante, es conveniente, si queremos esta información tenga mayor validez procesal, acudir a otros medios más confiables ya que existen actualmente diferentes alternativas que nos permite certificar los contenidos digitales detectados y si no se disponen de estos medios siempre se puede acudir a una notaría para levantar acta notarial web que recoja el contenido de la información detectada. También se puede acudir al auxilio de un perito informático para que pueda emitir el informe pericial oportuno y aportarlo a la causa penal incoada. No debemos olvidar que la sentencia del Tribunal Supremo STS 300/2015, de 19 de mayo apreció que los “ pantallazos” son susceptibles de ser manipulados por lo que debemos acudir a un medio alternativo que certifique el contenido web.

Existen actualmente diversas herramientas on line que ofrecen algunas plataformas de certificación de contenido web de gran interés que permite dar fiabilidad a la información digital detectada como sospechosa y que actúan como testigos on line. Estos servicios permiten certificar evidencias digitales en una fecha y hora determinada, el contenido de una web, el envío de un correo electrónico o un sms a una persona específica. Para ello, este tipo de herramientas basan su funcionamiento en el uso de firmas digitales para acreditar de manera inequívoca una prueba. De esta forma, cualquier clase de prueba tomada permitirá acreditar su integridad, al contrario de lo que sucede con las capturas de pantalla o cualquier otro método similar en el que no interviene una entidad de confianza, y que no permiten demostrar su autenticidad, ya que han podido ser manipuladas. La utilización de estos servicios puede ser importante para tener evidencias sobre un uso indebido de fotografías o vídeos publicados en una web o red social sin permiso, pero también para demostrar casos en los que el usuario recibe amenazas, injurias, calumnias o es víctima de una suplantación de identidad en una red social. Algunas de ellas son las siguientes:


  • eGarante
    :Es uno de los testigos online más conocidos y usados, recomendado por la Oficina de Seguridad del Internauta e INCIBE.
  • Coloriuris Es otro testigo online muy similar a eGarante.
  • SaveTheProof: Es otro testigo online con el que podremos certificar todo tipo de pruebas digitales, incluidas publicaciones en redes sociales.
  • SafeStamper: Este testigo online permite certificar cualquier tipo de contenido publicado en Internet, correos, archivos, etc.
  • Evicertia: Es un servicio de certificación digital para firma electrónica, comunicación certificada e identificación digital, por lo tanto, más orientado a certificar comunicaciones y documentación de empresas.

Otro de los aspectos imprescindibles cuando se detecte un caso de usurpación de identidad consiste en avisar lo antes posible a la entidad o plataforma afectada y si se trata de una entidad bancaria la gestión debe ser más urgente aún contactando con el servicio de seguridad 24 horas a fin de bloquear la cuenta y tarjetas bancarias para evitar o minimizar el fraude.

Por último, acudir con todo el material que se disponga a la comisaría de policía más próxima para interponer la correspondiente denuncia aportándose toda la información que se disponga para poder determinar cómo han podido los suplantadores acceder a información personal de la víctima. La denuncia resulta imprescindible para poder esclarecer los hechos, localizar a su autor y poder acreditar ante la plataforma, empresa o servicio afectado la implicación de terceros en los hechos y resultar perjudicado el denunciante por ello.