La Dirección General de Ordenación del Juego (DGOJ), perteneciente al Ministerio de Consumo, dispone de un servicio de alertas por suplantación de identidad en plataformas de juego online, llamado PhishingAlert, que avisa a los usuarios cuando otros se han registrado con sus datos en casas de apuestas.
Se trata de una herramienta que previene incripciones no autorizadas en juegos online'y pueden acceder a este servicio todos aquellos interesados en preservar su identidad e integridad mediante la cumplimentación de un formulario, bien de manera presencial en uno de los registros autorizados o bien mediante certificado electrónico.
Así lo ha recordado el Instituto Nacional de Ciberseguridad de Espala (INCIBE), una entidad que ha expuesto un caso reciente en el que un usuario ha terminado debiendo impuestos a la Agencia Tributaria tras haber sido víctima de phishing.
En concreto, ha explicado que recibió la alerta de este usuario a través del teléfono 017, correspondiente al servicio 'Tu Ayuda en Ciberseuridad' de INCIBE. Este aseguró haber recibido un correo electrónico con una notificación de la Agencia Tributaria que creía que se trataba de un fraude.
Tras ponerse en contacto con la Agencia Tributaria, esta le confirmó que se trataba de un mensaje legítimo y que el mensaje guardaba relación con diferentes apuestas que supuestamente había realizado en años anteriores, de las que habría obtenido unas ganancias de 25.000 euros, unos impuestos que denía pagar, en concreto, el 24 por ciento de dicho importe.
Debido a que el usuario aseguró no haber realizado dichas apuestas -ni siquiera haberse registrado en portales o páginas web de juegos online- INCIBE quiso saber si en ocasiones anteriores había compartido con otros usuarios los datos de su documento nacional de identidad (DNI) o alguien podría haber accedido a ellos de alguna manera.
Esta persona, entonces, comentó que sí era posible, con lo que otro usuario habría utilizado su información para darse de alta en alguna página web de este tipo sin su autorización para cometer fraude en su nombre.
Para evitar este tipo de problemas si ocurre un descuido de estas características, el Ministerio de Consumo cuenta con un sistema de alertas denominado PhishingAlert, que notifica a los usuarios cuando un perfil se da de alta con sus datos personales.
Este servicio de alerta se limita a los juegos de azar en línea incluidos dentro del ámbito de aplicación de la Ley 13/2011, para cuya participación se requiera la identificación del participante y siempre que el operador del juego haya formalizado su colaboración con el servicio y proceda a verificar los datos aportados por el solicitante a través del Sistema de Verificación de Identidad de la DGOJ, según se explica en su página web.
Cualquier persona mayor de edad y residente en España con DNI o NIE puede solicitar el alta en este servicio, ya sea de manera presencial u online. En el primer caso, a través de registros electrónicos de las Administraciones Públicas, oficinas de correos, representaciones diplomáticas u oficinas consulares de España en el extranjero.
Para hacerlo por internet se debe acceder a la sede electrónica de la Dirección General de Ordenación del Juego, para lo que se necesota un certificado electrónico. Esta inscripción, además, es de carácter indefinido y se puede solicitar la baja en cualquier momento.
Cómo funciona PhishingAlert
Una vez el usuario se ha inscrito, la sede electrónica le devuelve un informe -disponible en la Carpeta ciudadana- de situación respecto al servicio para los operadores que hayan verificado su identidad hasta ese momento.
En el momento en el que un operador de juego realiza la verificación de identidad de un nuevo solicitante de registro, se cotejan sus datos con las personas inscritas en PhishingAlert. En concreto, se comprueba su nombre, sus apellidos, la fecha de nacimiento y el número de DNI o NIE.
Si coinciden los datos entre el solicitante de registro de usuario y alguna de las personas inscritas, la DGOJ se lo comunica a la persona inscrita en el servicio, en el que se indica que debe dirigirse al operador de juego para resolver el caso.
En caso de haber sido víctima de este tipo de estafa, INCIBE recomienda llevar a cabo una serie de pautas para denunciar los hechos. En primer lugar, es fundamental recopilar todas las evidencias posibles, así como poner una denuncia por suplantación de identidad ante las Fuerzas y Cuerpos de Seguridad del Estado.
También es importante contactar con el Centro de Información de Riesgos de España (CIRBE), para comprobar si se han soliciado préstamos o créditos en su nombre empleando el DNI.
Una vez realizados estos procedimientos y con el objetivo de volver a ser el objetivo de actores maliciosos, esta entidad recomienda realizar 'egosurfing' periódicamente. Se trata de una técnica destinada a comprobar si se está haciendo un uso indebido de su información.
En caso de encontrar información publicada sin su consentimiento, los usuarios deben ejercer el derecho al olvido en el buscador en el que la encuentre, contactar con la plataforma o página en la que se detecte la información para solicitar su borrado y, en caso necesario, denunciar ante la Agencia Española de Protección de Datos (AEPD).
Cómo prevenir este fraude
De forma preventiva, INCIBE ofrece una serie de recomendaciones de cara a compartir próximamente el pasaporte, el NIE o el DNI, empezando con el pixelado de la foto. De esta manera, el usuario que aparece en la fotografía deja de ser identificable.
Asimismo, es importante pixelar la firma, para evitar usos fraudulentos de la misma, así como introducir una marca de agua, con un texto sobreimpresionado encima del documento para dejar claro que no se trata del documento original.