Suplantación y robo de identidad en las redes sociales, un riesgo para las empresas

Las redes sociales han alcanzado un nivel de penetración y madurez entre los internautas, que exigen una especial atención no solo de gestión, también de concienciación en ciberseguridad entre los usuarios y responsables de su administración en las empresas.

El último estudio de Redes Sociales de IAB Spain del 2022, declara que el 85% de la población española son usuarios de redes sociales. En este estudio se ha ampliado la franja de edad desde los 12 hasta los 70 años.

Son una herramienta de comunicación muy poderosa para las empresas, marcando un antes y un después desde su nacimiento:

• Negocios que antes no llegaban a conocerse más allá de la ciudad en la que operaban, ahora pueden llegar a cualquier parte del mundo de forma inmediata.
• Permiten recoger información personalizada en tiempo real. 
• Dan visibilidad a las empresas de forma más cercana de cara a sus públicos objetivos. 
• Atraen potenciales clientes.
• Pueden aportar confianza en la marca. Esto es debido a que cada día los usuarios se conectan más frecuentemente a sus perfiles en redes sociales, siendo una oportunidad para estar más presente y generar una mayor interacción con los usuarios.

Si se utilizan de forma adecuada, pueden llegar a convertirse en una herramienta muy útil para el desarrollo de un negocio. Pero, si no se tratan con la debida precaución, las redes sociales pueden entrañar numerosos riesgos.

Los perfiles de empresa son de lo más atractivos para los ciberdelincuentes. A través de ellos, pueden engañar a sus víctimas para obtener su propio beneficio. Por ello, intentan constantemente robar o suplantar cuentas, y tu empresa podría ser uno de sus objetivos.

¿Qué es la suplantación de identidad en redes sociales?

La suplantación de identidad consiste en apropiarse de la identidad de otra persona o empresa con motivos malintencionados, para obtener datos o información confidencial, hacer fraude económico, o causar algún tipo de daño reputacional, etc.

Pero, ¿cómo se hacen los ciberdelincuentes con el control de nuestros perfiles?

Existen diferentes formas de suplantación de identidad en redes sociales:

1. Robo de cuenta: cuando los ciberdelincuentes se hacen con las credenciales (usuario y contraseña) del perfil de la empresa. 
   1. Mediante técnicas de phishing: envían un correo electrónico haciéndose pasar por la red social en cuestión. En el mensaje, se insta al usuario a acceder a un enlace fraudulento, alegando que su contraseña ha sido comprometida o que existe una nueva actualización. Una vez que el usuario introduce sus datos, estos quedan en manos de los ciberdelincuentes, cambiándolos para que el usuario legítimo no pueda volver a acceder
   2. Mediante ataque de fuerza bruta: acceden a las credenciales del perfil probando combinaciones de las contraseñas más comunes, pudiendo llegar a dar con la de la cuenta, si no es lo suficientemente segura.
2. Suplantación: En este caso, los ciberdelincuentes no acceden directamente al perfil de la empresa, sino que crean uno muy similar con el que se hacen pasar por la cuenta original. Suelen aprovechar variaciones mínimas en el nombre del perfil, objeto de la suplantación para hacer creer a las víctimas que se trata del original. 
3. Bulos y falsas noticias: Se propagan principalmente a través de las redes sociales, tienen como objetivo principal la difamación. Suelen tener titulares llamativos que incitan a pinchar en la noticia (clickbait), para obtener un mayor número de visitas. Una bulo o falsa noticia sobre una empresa, podría conllevar un gran impacto reputacional en esta.
4. Estafas: Mientras se navega por las redes sociales, es muy común cruzarse con estafas que pueden pasar casi desapercibidas. Ya sea en forma de publicidad, comentario, mensaje privado, etc. Los ciberdelincuentes aprovechan este medio a través de descuentos increíbles, sorteos de marcas conocidas, URL maliciosas ocultas, etc.

Las dos primeras, son las que se practican con más frecuencia en redes sociales como Instagram, Twitter o Facebook, que suelen ser las más utilizadas por las empresas. Cualquiera de estas formas de suplantación de identidad puede tener consecuencias muy negativas para nuestra empresa, como son:

• El daño reputacional a la marca.
• La pérdida de confianza por parte de nuestros clientes y proveedores.
• Los costes económicos derivados del incidente.
• Multas o sanciones por incumplimiento en caso de filtración de datos.

¿Cómo se puede evitar ser víctima de un ataque de suplantación de identidad en redes sociales?

• Revisando cuidadosamente las comunicaciones recibidas, tanto por correo electrónico, como por SMS. En cuanto al remitente asegurarse de que procede de la red social y de que no se trata de una estafa.
• Las actualizaciones y avisos de seguridad suelen aparecer directamente en la aplicación, altamente recomendable verificarlo en la misma aplicación y no precipitarse a la hora de recibir un correo electrónico de estas características. 
• Para evitar un ataque por fuerza bruta, es imprescindible mantener seguras nuestras contraseñas. Recomendamos conocer la política de seguridad para la pyme sobre contraseñas. Es fundamental no compartirlas con nadie ajeno a la organización y renovarlas frecuentemente. 
• Establecer políticas internas sobre buenas prácticas en redes sociales.
• Un doble factor de autenticación ayudará a que, en caso de que los ciberdelincuentes consigan las credenciales, no puedan hacerse con el control de la cuenta. 
• Configurar los perfiles los más privados posibles.
• Una buena práctica también consiste en revisar los términos y condiciones de las aplicaciones o servicios que utilizamos, y no aceptar sin leer lo que estamos aceptando.   
• Tener registrados nombres, logotipos y marcas de la empresa. 
• No utilizar el correo corporativo para darse de alta en una red social. Usar siempre en estos casos una cuenta creada para tal fin.
• Realizar búsquedas en Internet (egosurfing) para conocer qué existe de la empresa y qué datos son públicos.
• Realizar búsquedas de imágenes representativas de la empresa como logos, productos, etc., para conocer si se están utilizando para un fin fraudulento. 
• Si contratamos a personal externo que gestione los contenidos de redes sociales o que controlen las cuentas, asegurarnos mediante contratos de “Contratación de servicios” y “Calidad de servicio” del método de trabajo que deben seguir. Tenemos que garantizar que no perdemos el control de las cuentas y que en caso de rescindir el contrato no hagan nada que nos perjudique.

¿Qué puedo hacer si han suplantado el perfil de mi empresa en redes sociales?

• El primer paso en caso de haber sido víctima de una suplantación de identidad en cualquier medio es guardar todas las evidencias (capturas de pantalla, guardar mensajes, etc.).
• Contactar con la red social o portal web de terceros y pedir la eliminación de la cuenta falsa y su actividad, valorando poner el caso en manos de un abogado por una posible infracción del derecho de marcas, si es que se cuenta con la marca registrada, o de competencia desleal.
  • Facebook: Denunciar perfiles falsos de Facebook
  • Instagram: Denunciar una cuenta que se está haciendo pasar por ti en Instagram
  • Twitter: Denunciar cuentas de suplantación de identidad en Twitter
  • LinkedIn: Denunciar perfiles falsos en Linkedin
• Si tenemos la marca registrada ante la Oficina Española de Patentes y Marcas, estarán falsificando la misma, por lo que estaríamos ante un delito contra la propiedad industrial. Igualmente, aunque no contemos con una marca registrada, pueden estar cometiendo un delito de competencia desleal o contra la propiedad intelectual, por plagiar el aspecto visual de la página web Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia
• Lo siguiente es denunciarlo a la Policia Nacional o la Guardia Civil  de forma presencial.
• La autoridad competente para resolver cuestiones legales relacionadas con el RGPD, es la AEPD (Agencia Española de Protección de Datos) o las análogas, en Cataluña, Autoritat Catalana de Protecció de Dates y en el País Vasco, Datuak Babesteko Euskal Bulegoa.
• De acuerdo con el RGPD, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales, debe efectuar la correspondiente notificación a la autoridad de control competente, sin dilación y a más tardar en las 72 horas siguientes en caso de que dicha violación constituya un riesgo para los derechos y las libertades de las personas físicas.
  • En la sección “"sede electrónica de la Agencia Española de Protección de Datos" pueden encontrar las notificaciones de brechas de seguridad como se recoge en el artículo 33 de la RGPD.
• Si la web creada para suplantar la identidad de una empresa utiliza datos personales de la empresa suplantada (fotografía, nombre), el hecho es denunciable (vulneración del derecho a la propia imagen de una persona, artículo 18 de la Constitución Española), acudir a las Fuerzas y Cuerpos de Seguridad del Estado.
• Reportar el incidente o caso de fraude detallando la información de contacto y una descripción completa.
• Si se hubiera realizado algún pago por el motivo que sea, se recomienda ponerse en contacto con la entidad bancaria.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).