Pocos de nosotros nos preocupamos en leer las letras “chiquitas” de los contratos digitales cuando descargamos alguna aplicación desde nuestros dispositivos móviles. Este es el caso de la FaceApp que en el contrato de descarga establece que le otorgamos a esta empresa el derecho de usar nuestra información personal con fines comerciales.
En concreto, en el apartado de los permisos de la aplicación dice que “puede solicitar acceso a la cámara… [para] tomar fotografías y grabar videos. En la parte de almacenamiento, si la descargamos, le autorizamos “leer el contenido de la tarjeta SD… modificar o eliminar contenido de la tarjeta de memoria”. Por último, en la parte de otros accesos se permite el ingreso completo a la red, puede ver todas las conexiones de red, evita que el dispositivo entre en estado de inactividad, etc.
FaceApp no es la única aplicación que utiliza las fotos de nuestras caras para hacer algún tipo de modificación de nuestros rostros con fines lúdicos. En las distintas tiendas de descargas de aplicaciones paras sistemas Android e iOS encontramos otras como FaceApp: Gender Changer, Envejecer Caras de Fotos, Faceapp – Make Me Old, Envejecerse De Joven a Anciano Editor de Fotos, Drunk Face App, entre cientos de otros programas que utilizan nuestros rostros para divertirnos un instante.
El problema de las face apps es que, al momento de comercializar la información a terceros, para mercantilizar nuestra información, nuestros datos pueden caer en manos de cibercriminales que quieran construir identidades sintéticas para cometer delitos como sacar cuentas apócrifas en redes sociales, robar contenidos digitales, sacar préstamos hipotecarios o bancarios, robo de dinero de nuestras cuentas bancarias, extorsión de familiares, entre otros muchos posibles actos ilícitos.
El reporte 2018 sobre Cibercrimen de ThreatMetrix, empresa de LexisNexis Risk Solutions, nos permite identificar cuáles fueron los tipos más comunes de ataques cibernéticos el año pasado para cometer fraudes en contra de empresas y usuarios de servicios financieros.
A continuación, se hace una breve descripción de los tipos de fraudes que se pueden hacer utilizando nuestra información que entregamos a este tipo de aplicaciones:
Fraude en la creación de una nueva cuenta. Se entiende como el uso de identidades robadas, comprometidas o sintéticas, generalmente a través de una ubicación falsificada, para crear una nueva cuenta para acceder a servicios en línea u obtener líneas de crédito. Con las face apps les entregamos a posibles criminales no solo nuestros rostros sino información personal guardada en nuestra cuenta, conexiones de red, posiciones geográficas, entre otros datos con los que pueden falsificar nuestra identidad para cometer fraudes a nuestro nombre.
Fraude en el inicio de sesión de la cuenta. Son aquellos ataques dirigidos para tomar cuentas de usuario usando credenciales previamente robadas disponibles en el mercado o información personal que fue extraída por medio de un malware o ataques conocidos como “Man-in-the-Middle”.
Grandes empresas de autoservicio y en línea, cadenas de hotel e inclusive bancos internacionales han sufrido la extracción ilegal de bases de datos de millones de consumidores y usuarios de sus servicios.
Fraude en los pagos. Son aquellas acciones ilegales en las que se hace un uso de credenciales de pago robadas para realizar transferencias de dinero ilegales o pagos en línea a través de métodos de pago alternativos, como el depósito directo.
Ahora los rostros son utilizados como métodos alternativos de seguridad para el acceso a nuestros dispositivos electrónicos y bancarios por lo que nos metemos en riesgo al entregar nuestra información digital.
Identificación de identidad (identity spoofing). Mediante el uso de una identidad robada, tarjeta de crédito o combinación de nombre de usuario / contraseña comprometida para intentar un fraude o la toma de posesión de la cuenta.
Por lo general, la suplantación de identidad se detecta en función de la alta velocidad de uso de identidad para un dispositivo determinado, detectando el mismo dispositivo que accede a varias cuentas de usuario que no se encuentran relacionadas o vínculos y uso de identidad inusuales.
Estas son algunas de las estrategias de fraude que están utilizando actualmente los cibercriminales -que fueron detectadas por el reporte 2018 de ThreatMetrix- y que deben ser comprendidas por todas las personas antes de entregar información personal incluyendo nuestras fotos, videos y audios.
Grandes empresas han sufrido brechas de seguridad al no proteger la información de sus usuarios y han recibido multas millonarias en Estados Unidos y Europa. Sin embargo, nosotros estamos generando estas brechas de inseguridad al entregar la información privada de manera voluntaria y ninguna empresa de desarrollo de aplicaciones nos indemnizará si caen en manos de criminales estos datos.
Las nuevas aplicaciones nos generan un momento de diversión, pero pueden producir un daño permanente en nuestras finanzas, privacidad de datos y reputación para toda la vida. Se sugiere ampliamente a todas las instituciones públicas y privadas que informen a sus comunidades sobre los riesgos asociados a la descarga de estos programas en sus dispositivos móviles.
Twitter: @LexisNexisRisk