El robo de identidad

Ejemplo de un delito de robo de identidad: 1. El fraude archiva papeleo de declaración de impuestos en el nombre de la víctima, reclamando un reembolso. 2. El IRS emite un reembolso al estafador. 3. La víctima presenta su legítima declaración fiscal. 4. El IRS rechaza el retorno como duplicado.

El robo de identidad ocurre cuando alguien usa la información de identificación personal de otra persona, como su nombre, número de identificación o número de tarjeta de crédito, sin su permiso, para cometer fraude u otros delitos. El término robo de identidad se acuñó en 1964. Desde entonces, la definición de robo de identidad se ha definido por ley tanto en el Reino Unido como en los EE. UU. como el robo de información de identificación personal. El robo de identidad utiliza deliberadamente la identidad de otra persona como método para obtener ventajas financieras u obtener crédito y otros beneficios, y tal vez para causar desventajas o pérdidas a otras personas. La persona cuya identidad ha sido robada puede sufrir consecuencias adversas, especialmente si se le hace responsable falsamente de las acciones del perpetrador. La información de identificación personal generalmente incluye el nombre de una persona, fecha de nacimiento, número de seguro social, número de licencia de conducir, números de cuenta bancaria o tarjeta de crédito, PIN, firmas electrónicas, huellas dactilares, contraseñas o cualquier otra información que se puede utilizar para acceder a los recursos financieros de una persona.

Determinar el vínculo entre las violaciones de datos y el robo de identidad es un desafío, principalmente porque las víctimas del robo de identidad a menudo no saben cómo se obtuvo su información personal. Según un informe realizado para la FTC, el robo de identidad no siempre es detectable por las víctimas individuales. El fraude de identidad es a menudo, pero no necesariamente, la consecuencia del robo de identidad. Alguien puede robar o apropiarse indebidamente de información personal sin luego cometer un robo de identidad usando la información de cada persona, como cuando ocurre una violación importante de datos. Un estudio de la Oficina de Responsabilidad del Gobierno de EE. UU. determinó que "la mayoría de las infracciones no han resultado en incidentes detectados de robo de identidad". El informe también advirtió que "se desconoce el alcance total". Un estudio posterior no publicado de la Universidad Carnegie Mellon señaló que "La mayoría de las veces, se desconocen las causas del robo de identidad", pero informó que alguien más concluyó que "la probabilidad de convertirse en víctima del robo de identidad como el resultado de una violación de datos es... alrededor de solo el 2%". Por ejemplo, en una de las violaciones de datos más grandes que afectó a más de cuatro millones de registros, resultó en solo alrededor de 1800 casos de robo de identidad, según la empresa cuyos sistemas fueron violados.

Un artículo de octubre de 2010 titulado "Cyber Crime Made Easy" explicó el nivel al que los piratas informáticos están utilizando software malicioso. Como Gunter Ollmann, El director de tecnología de seguridad de Microsoft dijo: "¿Está interesado en el robo de tarjetas de crédito? Hay una aplicación para eso." Esta declaración resumió la facilidad con la que estos piratas informáticos están accediendo a todo tipo de información en línea. El nuevo programa para infectar usuarios' computadoras se llamaba Zeus, y el programa es tan fácil de usar que incluso un hacker inexperto puede operarlo. Aunque el programa de piratería es fácil de usar, ese hecho no disminuye los efectos devastadores que Zeus (u otro software como Zeus) puede tener en una computadora y en el usuario. Por ejemplo, programas como Zeus pueden robar información de tarjetas de crédito, documentos importantes e incluso documentos necesarios para la seguridad nacional. Si un pirata informático obtuviera esta información, significaría un robo de identidad o incluso un posible ataque terrorista. El ITAC dice que a unos 15 millones de estadounidenses les robaron la identidad en 2012.

Tipos

Fuentes como el Centro de recursos para el robo de identidad sin fines de lucro subdividen el robo de identidad en cinco categorías:

• Robo de identidad penal (posing as another person when apprehended for a crime)
• Robo de identidad financiera (utilizando la identidad de otro para obtener crédito, bienes y servicios)
• clonación de identidad (utilizando la información de otro para asumir su identidad en la vida cotidiana)
• Robo de identidad médica (utilizando la identidad de otro para obtener atención médica o drogas)
• Robo de identidad infantil.

El robo de identidad se puede utilizar para facilitar o financiar otros delitos, como la inmigración ilegal, el terrorismo, el phishing y el espionaje. Hay casos de clonación de identidad para atacar los sistemas de pago, incluido el procesamiento de tarjetas de crédito en línea y el seguro médico.

Clonación y ocultación de identidad

En esta situación, el ladrón de identidad se hace pasar por otra persona para ocultar su verdadera identidad. Algunos ejemplos son los inmigrantes ilegales que ocultan su estatus ilegal, las personas que se esconden de los acreedores u otras personas y aquellos que simplemente quieren volverse "anónimos" por razones personales. Otro ejemplo es posers, una etiqueta que se le da a las personas que usan las fotos y la información de otra persona en los sitios de redes sociales. Los posadores en su mayoría crean historias creíbles que involucran a amigos de la persona real que están imitando. A diferencia del robo de identidad utilizado para obtener crédito, que generalmente sale a la luz cuando aumentan las deudas, el ocultamiento puede continuar indefinidamente sin ser detectado, particularmente si el ladrón de identidad puede obtener credenciales falsas para pasar varias pruebas de autenticación en la vida cotidiana.

Robo de identidad criminal

Cuando un delincuente se identifica de manera fraudulenta ante la policía como otra persona en el momento del arresto, a veces se lo denomina "robo de identidad criminal". En algunos casos, los delincuentes obtuvieron previamente documentos de identidad emitidos por el estado utilizando credenciales robadas a otros, o simplemente presentaron una identificación falsa. Siempre que el subterfugio funcione, los cargos pueden colocarse bajo el nombre de la víctima, liberando al criminal de la responsabilidad. Es posible que las víctimas solo se enteren de tales incidentes por casualidad, por ejemplo, al recibir una citación judicial, descubrir que sus licencias de conducir están suspendidas cuando se les detuvo por infracciones de tránsito menores o mediante verificaciones de antecedentes realizadas con fines laborales.

Puede ser difícil para la víctima del robo de identidad criminal limpiar su registro. Los pasos necesarios para borrar los antecedentes penales incorrectos de la víctima dependen de la jurisdicción en la que se produjo el delito y de si se puede determinar la verdadera identidad del delincuente. Es posible que la víctima deba ubicar a los oficiales que la arrestaron originalmente y demostrar su propia identidad por algún medio confiable, como la toma de huellas dactilares o una prueba de ADN, y es posible que deba ir a una audiencia judicial para que se le absuelvan los cargos. También puede ser necesario obtener una eliminación de antecedentes penales de los registros judiciales. Las autoridades pueden mantener permanentemente el nombre de la víctima como un alias de la verdadera identidad del delincuente en sus bases de datos de antecedentes penales. Un problema que pueden encontrar las víctimas del robo de identidad delictivo es que varios agregadores de datos aún pueden tener antecedentes penales incorrectos en sus bases de datos, incluso después de que se corrigen los registros judiciales y policiales. Por lo tanto, una verificación de antecedentes futura puede devolver los antecedentes penales incorrectos. Este es solo un ejemplo de los tipos de impacto que pueden seguir afectando a las víctimas del robo de identidad durante algunos meses o incluso años después del delito, además del trauma psicológico que implica ser 'clonado' típicamente engendra.

Robo de identidad sintética

Una variación del robo de identidad que recientemente se ha vuelto más común es el robo de identidad sintética, en el que las identidades se fabrican total o parcialmente. La técnica más común consiste en combinar un número de seguro social real con un nombre y una fecha de nacimiento distintos de los que simplemente están asociados con el número. El robo de identidad sintética es más difícil de rastrear ya que no se muestra directamente en el informe de crédito de ninguna persona, pero puede aparecer como un archivo completamente nuevo en la oficina de crédito o como un subarchivo en uno de los informes de crédito de la víctima. s informes de crédito. El robo de identidad sintética daña principalmente a los acreedores que, sin darse cuenta, otorgan crédito a los estafadores. Las víctimas individuales pueden verse afectadas si sus nombres se confunden con las identidades sintéticas, o si la información negativa en sus subarchivos afecta sus calificaciones crediticias.

Robo de identidad médica

Responsabilidad del Gobierno de los Estados Unidos Diagrama de oficina que muestra el riesgo de robo de identidad asociado con números de seguridad social en tarjetas de Medicare

La investigadora de privacidad Pam Dixon, fundadora del Foro Mundial de Privacidad, acuñó el término robo de identidad médica y publicó el primer informe importante sobre este tema en 2006. En el informe, definió el delito por primera vez y planteó la difícil situación público de las víctimas. La definición del delito del informe es que el robo de identidad médica ocurre cuando alguien busca atención médica bajo la identidad de otra persona. El robo de seguros también es muy común, si un ladrón tiene la información de su seguro o su tarjeta de seguro, puede buscar atención médica haciéndose pasar por usted. Además de los riesgos de daño financiero comunes a todas las formas de robo de identidad, el historial médico del ladrón puede agregarse a los registros médicos de la víctima. La información inexacta en los registros de la víctima es difícil de corregir y puede afectar la asegurabilidad futura o hacer que los médicos se basen en información errónea para brindar una atención inadecuada. Después de la publicación del informe, que contenía una recomendación de que los consumidores reciban notificaciones de incidentes de violación de datos médicos, California aprobó una ley que exige esto y, finalmente, HIPAA se amplió para exigir también la notificación de violación médica cuando las violaciones afectan a 500 o más personas. Los datos recopilados y almacenados por hospitales y otras organizaciones, como planes de asistencia médica, son hasta 10 veces más valiosos para los ciberdelincuentes que la información de las tarjetas de crédito.

Robo de identidad infantil

El robo de identidad infantil ocurre cuando otra persona utiliza la identidad de un menor para el beneficio personal del impostor. El impostor puede ser un miembro de la familia, un amigo o incluso un extraño que se dirige a los niños. Los números de Seguridad Social de los niños se valoran porque no tienen ninguna información asociada a ellos. Los ladrones pueden establecer líneas de crédito, obtener licencias de conducir o incluso comprar una casa usando la identidad de un niño. Este fraude puede pasar desapercibido durante años, ya que la mayoría de los niños no descubren el problema hasta años después. El robo de identidad infantil es bastante común y los estudios han demostrado que el problema va en aumento. El mayor estudio sobre el robo de identidad infantil, según lo informado por Richard Power de Carnegie Mellon Cylab con datos proporcionados por AllClear ID, encontró que de 40.000 niños, el 10,2 % fueron víctimas de robo de identidad.

La Comisión Federal de Comercio (FTC) estima que alrededor de nueve millones de personas serán víctimas de robo de identidad en los Estados Unidos por año. También se estimó que en 2008 630.000 personas menores de 19 años fueron víctimas de robo. Esto les dio una deuda de alrededor de $12,799 que no era de ellos.

No solo los niños en general son grandes objetivos del robo de identidad, sino que los niños que están en hogares de guarda son objetivos aún mayores. Esto se debe a que lo más probable es que se muevan con bastante frecuencia y su SSN se comparte con varias personas y agencias. Los niños de crianza son aún más víctimas del robo de identidad dentro de sus propias familias y otros parientes. Los jóvenes en hogares de crianza que son víctimas de este delito generalmente se quedan solos para luchar y descubrir cómo arreglar su mal crédito recién formado.

Robo de identidad financiera

El tipo más común de robo de identidad está relacionado con las finanzas. El robo de identidad financiera incluye la obtención de crédito, préstamos, bienes y servicios mientras se hace pasar por otra persona.

Robo de identidad fiscal

Una de las principales categorías de robo de identidad es el robo de identidad fiscal. El método más común es utilizar el nombre, la dirección y el número de seguro social auténticos de una persona para presentar una declaración de impuestos con información falsa y hacer que el reembolso resultante se deposite directamente en una cuenta bancaria controlada por el ladrón. El ladrón en este caso también puede tratar de conseguir un trabajo y luego su empleador informará los ingresos del contribuyente real, lo que resultará en que el contribuyente tenga problemas con el IRS.

El Formulario 14039 para el IRS es un formulario que lo ayudará a luchar contra un robo como el robo de impuestos. Este formulario pondrá al IRS en alerta y alguien que creía que había sido víctima de un robo relacionado con impuestos recibirá un Número de identificación personal de protección de identidad (IP PIN), que es un código de 6 dígitos que se usa para reemplazar un SSN para declarar impuestos. devoluciones.

Técnicas de obtención y explotación de datos personales

Los ladrones de identidad normalmente obtienen y explotan información de identificación personal sobre individuos, o varias credenciales que usan para autenticarse, para hacerse pasar por ellos. Ejemplos incluyen:

• Rummaging through rubbish for personal information (dumpster buceo)
• Recuperar datos personales de equipos de TI y medios de almacenamiento redundantes, incluyendo PCs, servidores, PDAs, teléfonos móviles, memorias USB y discos duros que han sido eliminados de forma descuidada en sitios de vertederos públicos, dados o vendidos sin haber sido debidamente santificados
• Utilizando registros públicos sobre ciudadanos individuales, publicados en registros oficiales como los censos electorales
• Banca o tarjetas de crédito, tarjetas de identificación, pasaportes, fichas de autenticación... típicamente por sorteo, robo de casa o correo
• Los esquemas de interrogación de conocimiento común que ofrecen verificación de cuentas, como "¿Cuál es el nombre de soltera de tu madre?", "¿Cuál fue tu primer modelo de coche?", o "¿Cuál fue el nombre de tu primera mascota?".
• Haciendo clic en la información de tarjetas bancarias o de crédito utilizando lectores de tarjetas comprometidos o portátiles, y creando tarjetas de clonación
• Utilizando lectores de tarjetas de crédito 'sin contacto' para adquirir datos de forma inalámbrica desde pasaportes habilitados por RFID
• El hombro-Surfing, involucra a un individuo que observa discretamente o escucha a otros proporcionando información personal valiosa. Esto se hace particularmente en lugares concurridos porque es relativamente fácil observar a alguien ya que rellenan formularios, introducir PINs en ATMs o incluso escribir contraseñas en smartphones.
• Robar información personal de ordenadores usando brechas en seguridad del navegador o malware como programas de registro de teclados de caballo de Troya u otras formas de spyware
• Hacking redes informáticas, sistemas y bases de datos para obtener datos personales, a menudo en grandes cantidades
• Explotar infracciones que resulten en la publicación o divulgación más limitada de información personal como nombres, direcciones, número de Seguro Social o números de tarjeta de crédito
• Publicidad ofertas de trabajo falso para acumular curriculum vitae y aplicaciones típicamente divulgando nombres de los solicitantes, direcciones de casa y correo electrónico, números de teléfono, y a veces sus detalles bancarios
• Explorar el acceso interno y abusar de los derechos de los usuarios privilegiados de TI para acceder a datos personales sobre los sistemas de sus empleadores
• Infiltrating organizations that store and process large amounts or particularly valuable personal information
• Identificar a las organizaciones de confianza en correos electrónicos, mensajes de texto SMS, llamadas telefónicas u otras formas de comunicación para engañar a las víctimas para revelar su información personal o credenciales de inicio de sesión, típicamente en un sitio web corporativo falso o formulario de recopilación de datos (fishing)
• Brute-force atacando contraseñas débiles y usando adivinanzas inspiradas para comprometer las preguntas de reajuste de contraseñas débiles
• Obtención de castings de dedos para falsificar la identificación de huellas dactilares.
• Browsing social networking websites for personal details published by users, often using this information to appear more credible in subsequent social engineering activities
• Divertir el correo electrónico o correo de las víctimas para obtener información personal y credenciales tales como tarjetas de crédito, facturación y declaraciones de tarjetas bancarias/crédito, o para retrasar el descubrimiento de nuevas cuentas y acuerdos de crédito abiertos por los ladrones de identidad en los nombres de las víctimas
• Usando falsos pretextos para engañar a personas, representantes de servicios al cliente y ayudar a los trabajadores de escritorio a divulgar información personal y datos de inicio de sesión o cambiar contraseñas de usuario/derechos de acceso (pretexto)
• Realizar cheques (pruebas) para adquirir información bancaria, incluyendo números de cuenta y códigos bancarios
• Adivina los números del Seguro Social utilizando información encontrada en redes sociales de Internet como Twitter y MySpace
• Protección de baja seguridad/privacy en fotos que son fácilmente clicable y descargadas en sitios de redes sociales.
• Ser amigos extraños en las redes sociales y aprovechar su confianza hasta que se dé información privada. (Ingeniería Social)

Indicadores

La mayoría de las víctimas de robo de identidad no se dan cuenta de que son víctimas hasta que ha tenido un impacto negativo en sus vidas. Muchas personas no descubren que sus identidades han sido robadas hasta que las instituciones financieras los contactan o descubren actividades sospechosas en sus cuentas bancarias. Según un artículo de Herb Weisbaum, todo el mundo en los EE. UU. debería suponer que su información personal se ha visto comprometida en algún momento. Por lo tanto, es de gran importancia estar atento a las señales de advertencia de que su identidad se ha visto comprometida. Los siguientes son once indicadores de que alguien más podría estar usando su identidad.

1. Cargos de tarjeta de crédito o débito para bienes o servicios que usted no conoce, incluyendo retiros no autorizados de su cuenta
2. Recibir llamadas del departamento de control de fraude de tarjetas de crédito o débito advirtiendo posibles actividades sospechosas en su cuenta de tarjeta de crédito
3. Recibir tarjetas de crédito que no solicitó
4. Recibiendo información de que se realizó una investigación de calificación crediticia. A menudo se hacen cuando se solicita un préstamo o una suscripción telefónica.
5. Cheques rebotando por falta de dinero suficiente en su cuenta para cubrir la cantidad. Esto podría ser como resultado de retiros no autorizados de su cuenta
6. Los delincuentes del robo de identidad pueden cometer crímenes con su información personal. Puede que no te des cuenta hasta que veas a la policía de tu puerta arrestándote por crímenes que no cometiste.
7. Cambios repentinos en su puntaje de crédito puede indicar que alguien más está usando sus tarjetas de crédito
8. Bills para servicios como gas, agua, electricidad no llega a tiempo. Esto puede ser una indicación de que su correo fue robado o redireccionado
9. No ser aprobado para préstamos porque su informe de crédito indica que usted no es digno de crédito
10. Recibir notificación de su oficina de correos informándole que sus correos están siendo enviados a otra dirección desconocida
11. Sus declaraciones de impuestos anuales indicando que usted ha ganado más de lo que realmente ha ganado. Esto podría indicar que alguien está usando su número de identificación nacional, por ejemplo. SSN para informar sus ganancias a las autoridades fiscales

Protección de la identidad individual

La adquisición de identificadores personales es posible gracias a graves violaciones de la privacidad. Para los consumidores, esto suele ser el resultado de que ingenuamente proporcionan su información personal o credenciales de inicio de sesión a los ladrones de identidad (por ejemplo, en un ataque de phishing), pero documentos relacionados con la identidad, como tarjetas de crédito, extractos bancarios, facturas de servicios públicos, chequeras, etc. también pueden ser robados físicamente de vehículos, casas, oficinas y no menos buzones, o directamente de las víctimas por carteristas y ladrones de bolsos. La tutela de los identificadores personales por parte de los consumidores es la estrategia de intervención más común recomendada por la Comisión Federal de Comercio de EE. UU., Canadian Phone Busters y la mayoría de los sitios que abordan el robo de identidad. Estas organizaciones ofrecen recomendaciones sobre cómo las personas pueden evitar que su información caiga en manos equivocadas.

El robo de identidad se puede mitigar parcialmente al no identificarse innecesariamente (una forma de control de seguridad de la información conocida como prevención de riesgos). Esto implica que las organizaciones, los sistemas de TI y los procedimientos no deben exigir cantidades excesivas de información personal o credenciales para identificación y autenticación. Requerir, almacenar y procesar identificadores personales (como el número de Seguro Social, número de identificación nacional, número de licencia de conducir, número de tarjeta de crédito, etc.) aumenta los riesgos de robo de identidad a menos que esta valiosa información personal esté adecuadamente protegida. veces. Memorizar identificadores personales es una buena práctica que puede reducir los riesgos de que un posible ladrón de identidad obtenga estos registros. Para ayudar a recordar números como números de seguridad social y números de tarjetas de crédito, es útil considerar el uso de técnicas mnemotécnicas o ayudas de memoria como el Sistema mnemotécnico Mayor.

Los ladrones de identidad a veces se hacen pasar por personas fallecidas, utilizando información personal obtenida de avisos de defunción, lápidas y otras fuentes para explotar los retrasos entre la muerte y el cierre de las cuentas de la persona, la falta de atención de las familias en duelo y las debilidades en los procesos de verificación de crédito. Dichos delitos pueden continuar por algún tiempo hasta que las familias de los fallecidos o las autoridades noten y reaccionen ante las anomalías.

En los últimos años, los servicios comerciales de protección/seguros contra el robo de identidad están disponibles en muchos países. Estos servicios pretenden ayudar a proteger a la persona contra el robo de identidad o ayudar a detectar que ha ocurrido un robo de identidad a cambio de una prima o cuota de membresía mensual o anual. Los servicios generalmente funcionan configurando alertas de fraude en los archivos de crédito del individuo con las tres principales agencias de crédito o configurando el monitoreo de informes de crédito con la agencia de crédito. Si bien los servicios de protección/seguros contra el robo de identidad se han comercializado intensamente, se ha cuestionado su valor.

Resultados potenciales

El robo de identidad es un problema grave en los Estados Unidos. En un estudio de 2018, se informó que 60 millones de estadounidenses' identidades habían sido adquiridas ilícitamente. En respuesta, bajo el asesoramiento del Centro de Recursos de Robo de Identidad, se implementaron algunos proyectos de ley nuevos para mejorar la seguridad, como requerir firmas electrónicas y verificación de seguridad social.

Se utilizan varios tipos de robo de identidad para recopilar información, uno de los tipos más comunes ocurre cuando los consumidores realizan compras en línea. Se realizó un estudio con 190 personas para determinar la relación entre los constructos de miedo a las pérdidas financieras y los daños reputacionales. Las conclusiones de este estudio revelaron que el robo de identidad tenía una correlación positiva con los daños de buena reputación. La relación entre el riesgo percibido y la intención de compra online fue negativa. La importancia de este estudio revela que las empresas en línea son más conscientes del daño potencial que se puede causar a sus consumidores, por lo tanto, están buscando formas de reducir el riesgo percibido de los consumidores y no perder negocios.

Las víctimas del robo de identidad pueden enfrentar años de esfuerzo para demostrar al sistema legal que son la verdadera persona, lo que genera tensión emocional y pérdidas financieras. La mayoría de los robos de identidad son perpetrados por un miembro de la familia de la víctima, y es posible que algunos no puedan obtener nuevas tarjetas de crédito o abrir nuevas cuentas bancarias o préstamos.

Protección de la identidad por parte de las organizaciones

En su testimonio de mayo de 1998 ante el Senado de los Estados Unidos, la Comisión Federal de Comercio (FTC) discutió la venta de números de Seguro Social y otros identificadores personales por evaluadores de crédito y mineros de datos. La FTC estuvo de acuerdo con los principios de autorregulación de la industria que restringen el acceso a la información en los informes crediticios. Según la industria, las restricciones varían según la categoría del cliente. Las agencias de informes crediticios recopilan y divulgan información personal y crediticia a una amplia base de clientes comerciales.

La mala administración de los datos personales por parte de las organizaciones, lo que resulta en el acceso no autorizado a datos confidenciales, puede exponer a las personas al riesgo de robo de identidad. La Cámara de compensación de derechos de privacidad ha documentado más de 900 violaciones de datos individuales por parte de empresas y agencias gubernamentales de EE. UU. desde enero de 2005, que en conjunto han involucrado más de 200 millones de registros totales que contienen información personal confidencial, muchos de los cuales contienen números de seguro social. Los estándares de diligencia corporativa deficientes que pueden resultar en violaciones de datos incluyen:

• no haber reducido la información confidencial antes de lanzarla a los vertederos
• la seguridad de la red adecuada
• números de tarjeta de crédito robados por agentes del centro de llamadas y personas con acceso a grabaciones de llamadas
• robo de ordenadores portátiles o medios portátiles que se llevan fuera del sitio con grandes cantidades de información personal. El uso de una encriptación fuerte en estos dispositivos puede reducir la probabilidad de que los datos sean mal utilizados si un criminal los obtiene.
• la intermediación de la información personal a otras empresas sin garantizar que el comprador mantenga controles de seguridad adecuados
• Incumplimiento de los gobiernos, al registrar las únicas propiedades, asociaciones y corporaciones, para determinar si los oficiales enumerados en los Artículos de Incorporación son quienes dicen que son. Esto permite que los delincuentes tengan acceso a información personal a través de servicios de calificación crediticia y minería de datos.

El hecho de que las organizaciones corporativas o gubernamentales no protejan la privacidad del consumidor, la confidencialidad del cliente y la privacidad política ha sido criticado por facilitar la adquisición de identificadores personales por parte de los delincuentes.

El uso de varios tipos de información biométrica, como huellas dactilares, para la identificación y la autenticación se ha mencionado como una forma de frustrar a los ladrones de identidad; sin embargo, también existen limitaciones tecnológicas y problemas de privacidad asociados con estos métodos.

Mercado

Existe un mercado activo para la compra y venta de información personal robada, que ocurre principalmente en los mercados de la red oscura, pero también en otros mercados negros. Las personas aumentan el valor de los datos robados al agregarlos con datos disponibles públicamente y venderlos nuevamente para obtener ganancias, lo que aumenta el daño que se puede causar a las personas cuyos datos fueron robados.

Respuestas legales

Internacional

En marzo de 2014, después de que se supo que dos pasajeros con pasaportes robados estaban a bordo del vuelo 370 de Malaysia Airlines, que desapareció el 8 de marzo de 2014. Salió a la luz que Interpol mantiene una base de datos de 40 millones de documentos de viaje perdidos y robados de 157 países, que Interpol pone a disposición de los gobiernos y el público, incluidas aerolíneas y hoteles. Sin embargo, la base de datos de documentos de viaje robados y perdidos (SLTD) rara vez se utiliza. Big News Network (con sede en los Emiratos Árabes Unidos) informó que el secretario general de Interpol, Ronald K. Noble, dijo en un foro en Abu Dhabi el mes anterior: "La mala noticia es que, a pesar de Siendo increíblemente rentable y desplegable en prácticamente cualquier parte del mundo, solo un puñado de países está utilizando sistemáticamente SLTD para evaluar a los viajeros. El resultado es una gran brecha en nuestro aparato de seguridad global que queda vulnerable a la explotación por parte de delincuentes y terroristas."

Australia

En Australia, cada estado ha promulgado leyes que tratan diferentes aspectos de los problemas de identidad o fraude. Algunos estados ahora han enmendado las leyes penales relevantes para reflejar los delitos de robo de identidad, como la Ley de Consolidación de la Ley Penal de 1935 (SA), la Ley de Enmienda de Delitos (Delitos de Fraude, Identidad y Falsificación) de 2009, y también en Queensland bajo el Código Penal de 1899 (Queensland). Otros estados y territorios se encuentran en estados de desarrollo con respecto a los marcos regulatorios relacionados con el robo de identidad, como Australia Occidental con respecto al Proyecto de Ley de Enmienda del Código Penal (Delito de Identidad) de 2009.

A nivel de la Commonwealth, en virtud de la Ley de Enmienda del Código Penal (Robo, Fraude, Soborno y Delitos Relacionados) de 2000 que modificó ciertas disposiciones de la Ley del Código Penal de 1995,

135.1 Deshonestidad general

(3) Una persona es culpable de un delito si a) la persona hace cualquier cosa con la intención de deshonestamente causar una pérdida a otra persona; y b) La otra persona es una entidad del Commonwealth.

Penalidad: Prisión por 5 años.

Entre 2014 y 2015 en Australia, hubo 133 921 delitos de fraude y engaño, un aumento del 6 % con respecto al año anterior. El costo total informado por el Departamento del Fiscal General fue:

También hay altos costos indirectos asociados como resultado directo de un incidente. Por ejemplo, los costos indirectos totales por fraude registrado por la policía son $5,774,081.

Del mismo modo, cada estado ha promulgado sus propias leyes de privacidad para evitar el mal uso de la información y los datos personales. La Ley de privacidad de la Commonwealth se aplica solo a las agencias de la Commonwealth y los territorios y a ciertos organismos del sector privado (donde, por ejemplo, manejan registros confidenciales, como registros médicos, o tienen más de $ 3 millones en facturación PA).

Canadá

Bajo la sección 402.2 del Código Penal,

Todo el mundo comete un delito que a sabiendas obtiene o posee la información de identidad de otra persona en circunstancias que dan lugar a una inferencia razonable de que la información está destinada a ser utilizada para cometer un delito indicable que incluye fraude, engaño o falsedad como elemento de la ofensa. es culpable de un delito imputable y castigado con pena de prisión de no más de cinco años; o es culpable de un delito punible con condena sumaria.

Bajo el artículo 403 del Código Penal,

(1) Todo el mundo comete una ofensa que fraudulentamente personifica a otra persona, viva o muerta,

a) Con la intención de beneficiarse de sí mismos o de otra persona; b) Con la intención de obtener cualquier propiedad o interés en cualquier propiedad; c) Con la intención de causar desventaja a la persona que es persona o a otra persona; o d) Con la intención de evitar la detención o el enjuiciamiento o de obstruir, pervertir o derrotar el curso de la justicia.

es culpable de un delito imputable y castigado con pena de prisión de no más de 10 años; o culpable de un delito punible con condena sumaria.

En Canadá, la Ley de privacidad (legislación federal) cubre solo al gobierno federal, las agencias y las corporaciones de la corona. Cada provincia y territorio tiene su propia ley de privacidad y comisionados de privacidad para limitar el almacenamiento y uso de datos personales. Para el sector privado, el propósito de la Ley de Protección de Información Personal y Documentos Electrónicos (2000, c. 5) (conocida como PIPEDA) es establecer reglas para regir la recopilación, uso y divulgación de información personal; a excepción de las provincias de Quebec, Ontario, Alberta y Columbia Británica, donde las leyes provinciales se han considerado sustancialmente similares.

Ley propuesta

• Proyecto de ley C-27 (39o Parlamento canadiense, 2o período de sesiones)

Francia

En Francia, una persona condenada por robo de identidad puede recibir una pena de hasta cinco años de prisión y una multa de hasta 75 000 €.

Hong Kong

Bajo la ley de Hong Kong. Capítulo 210 Ordenanza contra el Robo, sec. 16A Fraude:

(1) Si alguna persona por algún engaño (ya sea o no el engaño es el único o principal incentivo) y con intent to defraud induce a otra persona a cometer un acto o hacer una omisión, lo que da como resultado...

a) En beneficiar a cualquier persona que no sea la segunda persona mencionada; o b) En perjuicio de cualquier persona que no sea la primera, o de un riesgo sustancial de perjuicio a ella;

la primera persona comete el delito de fraude y es responsable de condena previa acusación prisión de 14 años.

En virtud de la Ordenanza de datos personales (privacidad), estableció el cargo de Comisionado de privacidad para datos personales y ordena cuánta información personal se puede recopilar, retener y destruir. Esta legislación también otorga a los ciudadanos el derecho a solicitar información en poder de las empresas y el gobierno en la medida prevista por esta ley.

India

En virtud de la Ley de tecnología de la información de 2000, Capítulo IX, Sección 66C:

SECCIÓN 66C

PUNISHMENT FOR IDENTITY THEFT

Quien, fraudulentamente o deshonestamente, haga uso de la firma electrónica, contraseña o cualquier otra característica única de identificación de cualquier otra persona, será castigado con pena de prisión de cualquiera de las descripciones por un plazo que pueda extenderse a tres años y también será susceptible de multa que puede extenderse a rupias un lakh.

Filipinas

Los sitios de redes sociales son uno de los propagadores más famosos de posers en la comunidad en línea, dando a los usuarios la libertad de publicar cualquier información que deseen sin ninguna verificación de que la cuenta está siendo utilizada por el usuario real. persona.

Filipinas, que ocupa el octavo lugar en el número de usuarios de Facebook y otros sitios de redes sociales (como Twitter, Multiply y Tumblr), ha sido conocido como una fuente de varios problemas de robo de identidad. Las identidades de las personas que descuidadamente colocan información personal en sus perfiles pueden ser robadas fácilmente con solo navegar. Algunas personas se encuentran en línea, se conocen a través del chat de Facebook e intercambian mensajes que comparten información privada. Otros se involucran románticamente con amigos en línea y terminan compartiendo demasiada información (como su número de seguro social, cuenta bancaria, domicilio y dirección de la empresa).

Este fenómeno lleva a la creación de la Ley de Prevención de Delitos Cibernéticos de 2012 (Ley de la República No. 10175). La sección 2 de esta ley establece que reconoce la importancia de la comunicación y los multimedia para el desarrollo, la explotación y la difusión de información, pero los infractores serán sancionados por la ley con prisión o multa de más de ₱200.000, pero sin exceder ₱1.000.000, o (dependiendo del daño causado) ambos.

Suecia

Suecia ha tenido relativamente pocos problemas con el robo de identidad porque solo se aceptaban documentos de identidad suecos para la verificación de identidad. Los bancos y algunas otras instituciones pueden rastrear los documentos robados. Los bancos están obligados a verificar la identidad de cualquier persona que retire dinero u obtenga préstamos. Si un banco le da dinero a alguien utilizando un documento de identidad que ha sido denunciado como robado, el banco debe hacerse cargo de esta pérdida. Desde 2008, cualquier pasaporte de la UE es válido en Suecia para la verificación de identidad y los pasaportes suecos son válidos en toda la UE. Esto hace que sea más difícil detectar documentos robados, pero los bancos en Suecia aún deben asegurarse de que no se acepten documentos robados.

Otros tipos de robo de identidad se han vuelto más comunes en Suecia. Un ejemplo común es pedir una tarjeta de crédito a alguien que tiene un buzón desbloqueado y no está en casa durante el día. El ladrón roba la carta con la tarjeta de crédito y la carta con el código, que suele llegar unos días después. El uso de una tarjeta de crédito robada es difícil en Suecia ya que normalmente se exige un documento de identidad o un código PIN. Si una tienda tampoco exige, debe asumir la pérdida de aceptar una tarjeta de crédito robada. La práctica de observar a alguien usando el código PIN de su tarjeta de crédito, robándola o desnatándola y luego usándola se ha vuelto más común.

Legalmente, Suecia es una sociedad abierta. El Principio de Acceso Público establece que toda la información (por ejemplo, direcciones, ingresos, impuestos) en poder de las autoridades públicas debe estar disponible para cualquier persona, excepto en ciertos casos (por ejemplo, las direcciones de las personas que deben ocultarse están restringidas). Esto facilita el fraude.

Hasta 2016, no había leyes que prohibieran específicamente usar la identidad de alguien. En cambio, solo había leyes sobre los daños indirectos causados. Hacerse pasar por otra persona con fines de lucro es un tipo de fraude en el Código Penal (sueco: brottsbalken). Hacerse pasar por otra persona para desacreditarlos pirateando sus cuentas de redes sociales y provocar se considera difamación. Sin embargo, es difícil condenar a alguien por cometer este delito. A fines de 2016, se introdujo una nueva ley que prohibía parcialmente el uso de identidad indeterminada.

Reino Unido

En el Reino Unido, los datos personales están protegidos por la Ley de Protección de Datos de 1998. La Ley cubre todos los datos personales que una organización puede tener, incluidos nombres, fechas de cumpleaños y aniversario, direcciones y números de teléfono.

Según la ley inglesa (que se extiende a Gales pero no a Irlanda del Norte ni a Escocia), los delitos de engaño contemplados en la Ley de Robo de 1968 se enfrentan cada vez más a situaciones de robo de identidad. En R v Seward (2005) EWCA Crim 1941, el acusado actuó como el "líder" en el uso de tarjetas de crédito y otros documentos robados para obtener bienes. Obtuvo bienes por valor de £ 10,000 para otros que es poco probable que alguna vez sean identificados. El Tribunal de Apelación consideró una política de sentencias para los delitos de engaño relacionados con el "robo de identidad" y concluyó que se requería una pena de prisión. Henriques J. dijo en el párrafo 14: "El fraude de identidad es una forma de deshonestidad particularmente perniciosa y prevalente que requiere, a nuestro juicio, sentencias disuasorias".

Las estadísticas publicadas por CIFAS (Servicio de Prevención de Fraudes del Reino Unido) muestran que hubo 89.000 víctimas de robo de identidad en el Reino Unido en 2010 y 85.000 víctimas en 2009. Los hombres de entre 30 y 40 años son las víctimas más comunes. El fraude de identidad ahora representa casi la mitad de todos los fraudes registrados.

Estados Unidos

El aumento de los delitos de usurpación de identidad motivó la redacción de la Ley de Disuasión de Asunción y Robo de Identidad. En 1998, la Comisión Federal de Comercio compareció ante el Senado de los Estados Unidos. La FTC discutió los delitos que explotan el crédito al consumidor para cometer fraude de préstamos, fraude hipotecario, fraude de líneas de crédito, fraude de tarjetas de crédito, fraudes de productos básicos y servicios. La Ley de Disuasión de Robo de Identidad (2003) [ITADA] enmendó el Código de EE. UU., Título 18, § 1028 ("Fraude relacionado con actividades relacionadas con documentos de identificación, funciones de autenticación e información"). El estatuto ahora hace que la posesión de cualquier "medio de identificación" para "transferir, poseer o usar a sabiendas sin autorización legal" un delito federal, junto con la posesión ilegal de documentos de identificación. Sin embargo, para que la jurisdicción federal persiga, el delito debe incluir un "documento de identificación" que: (a) es supuestamente emitida por los Estados Unidos, (b) se usa o tiene la intención de defraudar a los Estados Unidos, (c) se envía por correo, o (d) se usa de una manera que afecta a un estado interestatal o extranjero comercio. Ver 18 U.S.C. § 1028 (c). El castigo puede ser de hasta 5, 15, 20 o 30 años en una prisión federal, más multas, según el delito subyacente según 18 U.S.C. § 1028 (b). Además, las sanciones por el uso ilegal de un "medio de identificación" se reforzaron en § 1028A ("Robo de identidad agravado"), lo que permite una sentencia consecutiva bajo violaciones de delitos graves enumeradas específicas como se define en § 1028A(c)(1) a (11).

La Ley también otorga a la Comisión Federal de Comercio la autoridad para realizar un seguimiento de la cantidad de incidentes y el valor en dólares de las pérdidas. Sus cifras se relacionan principalmente con delitos financieros contra el consumidor y no con la gama más amplia de todos los delitos basados en la identificación.

Si las autoridades policiales estatales o locales presentan cargos, se aplican diferentes sanciones según el estado.

Seis agencias federales llevaron a cabo un grupo de trabajo conjunto para aumentar la capacidad de detectar el robo de identidad. Su recomendación conjunta sobre "bandera roja" Las pautas son un conjunto de requisitos para las instituciones financieras y otras entidades que proporcionan datos crediticios a los servicios de informes crediticios para desarrollar planes escritos para detectar el robo de identidad. La FTC ha determinado que la mayoría de las prácticas médicas se consideran acreedoras y están sujetas a requisitos para desarrollar un plan para prevenir y responder al robo de identidad del paciente. Estos planes deben ser adoptados por la junta directiva de cada organización y supervisados por los altos ejecutivos.

Las denuncias de robo de identidad como porcentaje de todas las denuncias de fraude disminuyeron de 2004 a 2006. La Comisión Federal de Comercio informó que las denuncias de fraude en general estaban creciendo más rápido que las denuncias de robo de identidad. Los resultados fueron similares en otros dos estudios de la FTC realizados en 2003 y 2005. En 2003, el 4,6 por ciento de la población estadounidense dijo que había sido víctima de robo de identidad. En 2005, ese número se había reducido al 3,7 por ciento de la población. La estimación de la comisión de 2003 fue que el robo de identidad representó unos $52,600 millones de pérdidas solo en el año anterior y afectó a más de 9,91 millones de estadounidenses; la cifra comprende $47.6 mil millones perdidos por las empresas y $5 mil millones perdidos por los consumidores.

Según la Oficina de Estadísticas de Justicia de los EE. UU., en 2010, el 7 % de los hogares de EE. UU. sufrieron robo de identidad, un aumento del 5,5 % en 2005, cuando se recopilaron las cifras por primera vez, pero prácticamente sin cambios desde 2007. En 2012, aproximadamente 16,6 millones de personas, o el 7 % de todos los residentes de EE. UU. mayores de 16 años, informaron haber sido víctimas de uno o más incidentes de robo de identidad.

Al menos dos estados, California y Wisconsin, han creado una Oficina de Protección de la Privacidad para ayudar a sus ciudadanos a evitar y recuperarse del robo de identidad.

En 2009, Indiana creó una Unidad de Robo de Identidad dentro de su Oficina del Fiscal General para educar y ayudar a los consumidores a evitar y recuperarse del robo de identidad, así como ayudar a las fuerzas del orden público a investigar y enjuiciar los delitos de robo de identidad.

En Massachusetts, entre 2009 y 2010, el gobernador Deval Patrick se comprometió a equilibrar la protección del consumidor con las necesidades de los propietarios de pequeñas empresas. Su Oficina de Asuntos del Consumidor y Regulación Comercial anunció ciertos ajustes en Massachusetts' regulaciones de robo de identidad que mantienen protecciones y también permiten flexibilidad en el cumplimiento. Estas reglamentaciones actualizadas entraron en vigor el 1 de marzo de 2010. Las reglamentaciones son claras en cuanto a que su enfoque de la seguridad de los datos es un enfoque basado en el riesgo importante para las pequeñas empresas y es posible que no maneje una gran cantidad de información personal sobre los clientes.

El IRS ha creado la Unidad Especializada de Protección de Identidad del IRS para ayudar a los contribuyentes' que son víctimas de robo de identidad relacionado con impuestos federales. Generalmente, el ladrón de identidad utilizará un SSN robado para presentar una declaración de impuestos falsificada e intentará obtener un reembolso fraudulento al principio de la temporada de presentación de impuestos. Un contribuyente deberá completar el Formulario 14039, Declaración jurada de robo de identidad.

En cuanto al futuro de la atención médica y Medicaid, la mayoría de las personas están preocupadas por la computación en la nube. La adición del uso de información en la nube dentro del sistema de Medicare de los Estados Unidos instituiría información de salud de fácil acceso para las personas, pero eso también facilita el robo de identidad. Actualmente, se está produciendo nueva tecnología para ayudar a cifrar y proteger archivos, lo que creará una transición fluida a la tecnología de la nube en el sistema de atención médica.

Notificación

Muchos estados siguieron el ejemplo de California y promulgaron leyes obligatorias de notificación de violación de datos. Como resultado, las empresas que denuncian una filtración de datos suelen informar a todos sus clientes.

Difusión e impacto

Las encuestas en los EE. UU. de 2003 a 2006 mostraron una disminución en el número total de víctimas de fraude de identidad y una disminución en el valor total del fraude de identidad de US $ 47,6 mil millones en 2003 a $ 15,6 mil millones en 2006. El fraude promedio por persona disminuyó de 4.789 dólares en 2003 a 1.882 dólares en 2006. Un informe de Microsoft muestra que esta caída se debe a problemas estadísticos con la metodología, que tales estimaciones basadas en encuestas son "irremediablemente defectuosas" y exagerar las verdaderas pérdidas en órdenes de magnitud.

La encuesta de 2003 del Identity Theft Resource Center encontró que:

• Sólo el 15% de las víctimas se enteran del robo a través de acciones proactivas tomadas por un negocio
• El tiempo promedio de las víctimas que resuelven el problema es de unas 330 horas
• 73% de los encuestados indicaron que el crimen implicaba al ladrón adquirir una tarjeta de crédito

En un relato ampliamente publicitado, Michelle Brown, víctima de fraude de identidad, testificó ante una audiencia del Comité del Senado de EE. UU. sobre robo de identidad. La Sra. Brown testificó que: “Durante un año y medio desde enero de 1998 hasta julio de 1999, una persona se hizo pasar por mí para adquirir más de $50,000 en bienes y servicios. No solo dañó mi crédito, sino que escaló sus crímenes a un nivel que realmente nunca esperé: se involucró en el tráfico de drogas. El crimen resultó en mi registro de arresto erróneo, una orden de arresto y, finalmente, un registro de la prisión cuando fue fichada a mi nombre como reclusa en la Prisión Federal de Chicago."

En Australia, el robo de identidad se estimó en un valor de entre 1.000 y 4.000 millones de dólares australianos al año en 2001.

En el Reino Unido, el Ministerio del Interior informó que el fraude de identidad le cuesta a la economía del Reino Unido 1200 millones de libras esterlinas al año (los expertos creen que la cifra real podría ser mucho mayor) aunque los grupos de privacidad se oponen a la validez de estos números, argumentando que son siendo utilizado por el gobierno para impulsar la introducción de tarjetas de identificación nacionales. La confusión sobre qué constituye exactamente el robo de identidad ha dado lugar a afirmaciones de que las estadísticas pueden ser exageradas. Un estudio ampliamente informado de Microsoft Research en 2011 encuentra que las estimaciones de pérdidas por robo de identidad contienen enormes exageraciones, escribiendo que las encuestas "están tan comprometidas y sesgadas que no se puede confiar en sus hallazgos".