Después de la pandemia de COVID-19 el año pasado, muchos estados emitieron declaraciones de emergencia que permiten que las licencias de conducir sigan siendo válidas después de las fechas de vencimiento. Pero esas extensiones en su mayoría han terminado, y los conductores ahora deben asegurarse de que se renueven sus licencias.
Los estafadores aprovechan ese cambio, dicen los expertos en ciberseguridad.
Las estafas con licencias de conducir diseñadas para robar la identidad de las personas existen en todo Estados Unidos, según las agencias estatales de vehículos motorizados.
Los estafadores envían mensajes de texto o correos electrónicos advirtiendo falsamente que la licencia de alguien debe actualizarse, falta información o está por vencer. Si la persona hace clic en el enlace, normalmente abre una hoja de cálculo de Formularios de Google solicitando información personal como un número de Seguro Social y fecha de nacimiento.
"Es simplemente indignante que cuando el país atraviesa la crisis de COVID, la gente se dedica a robar información a los demás", dijo David Druker, portavoz de la oficina del secretario de estado de Illinois, que emite licencias de conducir.
En el fraude típico, los estafadores envían correos electrónicos con enlaces o archivos adjuntos maliciosos y la gente hace clic en ellos sin saberlo. Cuando los estafadores operan a través de mensajes de texto, el método se denomina "phishing por SMS" o "smishing".
En los últimos dos meses, Iowa, Minnesota, Ohio, Vermont y Wyoming estuvieron entre los estados que advirtieron a los residentes sobre las estafas.
En Illinois, dijo Druker, miles de personas recibieron mensajes de texto y correos electrónicos en los que los estafadores se hacen pasar por funcionarios de la Secretaría del Estado o del Departamento de Transporte. Druker dijo que no sabe si alguien cayó en la trampa.
Tras enterarse del fraude, los funcionarios de Illinois alertaron al FBI y al IRS, que trabajan con Google para eliminar las páginas web falsas. Hasta ahora, las agencias han identificado 1,035 sitios y Google ha cerrado casi 900 de ellos, dijo Druker.
"No nos comunicamos con la gente a través de mensajes de texto o correo electrónico para pedir información personal", dijo. "Enviamos cartas formales desde nuestra oficina".
Las estafas en algunos estados juegan con el Real ID, una licencia de conducir o tarjeta de identificación segura emitida por el gobierno que el Departamento de Seguridad Nacional de EEUU. Pronto se requerirá para viajes aéreos o acceso a áreas restringidas por el gobierno. El gobierno federal extendió el plazo para que los estados emitan esas identificaciones desde el 1 de octubre de 2021 hasta el 3 de mayo de 2023, debido a la pandemia.
En New York, el Departamento de Vehículos Motorizados alertó a los residentes sobre una estafa de mensajes de texto que les pide que actualicen su dirección postal e información de contacto para el "cumplimiento expedito" con las nuevas regulaciones de Real ID.
La agencia publica una lista actualizada de ejemplos de las muchas artimañas que usan los estafadores para hacerse pasar por el DMV. Los textos y correos electrónicos a menudo incluyen logotipos del DMV, imágenes y contenido copiado del sitio web de esa u otra agencia del gobierno estatal.
A los estafadores les encanta crear un sentido de urgencia cuando intentan enganchar a las víctimas, dicen los expertos en ciberseguridad.
Los mensajes de texto y correos electrónicos de phishing de licencias de conducir influyen en esa estrategia y son la "estafa del día", dijo Alex Hamerstone, director de gestión de riesgos de TrustedSec, una empresa de consultoría de ciberseguridad con sede cerca de Cleveland.
“Es muy actual. Muchos estados extendieron los vencimientos de las licencias de conducir debido a COVID. Parece real y que viene del DMV”, dijo Hamerstone. "Es una tormenta de estafas perfecta".
En New Jersey, el Departamento de Transporte publicó una advertencia en su página de Facebook el mes pasado con una captura de pantalla de un mensaje de texto falso que afirmaba que la persona necesitaba "validar" su licencia de conducir.
“NJDOT no está involucrado en licencias de conducir o registros de vehículos. Están a cargo de la Comisión de Vehículos Motorizados de New Jersey”, escribió el departamento. "Nunca solicitaremos ni necesitaremos la información de su licencia de conducir".
A principios de agosto, la Oficina de Seguridad Nacional y Preparación de New Jersey emitió su propia alerta sobre un esfuerzo similar de phishing por correo electrónico.
Ha sido difícil para algunos residentes conseguir citas en persona con el DMV del estado, por lo que estas estafas habrían influido en ese contexto, dijo Michael Geraghty, director de ciberseguridad de New Jersey.
Si bien los funcionarios de New Jersey alertaron a Google sobre las estafas y lograron eliminar los sitios, eso no necesariamente detendrá a los delincuentes, agregó Geraghty.
"No evita que los mismos farsantes abran una nueva cuenta de Google con un nombre ficticio, creen un formulario y utilicen software para enviar mensajes de texto", dijo.
En Utah, los departamentos estatales de transporte y seguridad pública emitieron una advertencia conjunta sobre la estafa de mensajes de texto. El texto falso pretende provenir del DOT y pide hacer clic en un enlace porque "su información de contacto parece no ser válida o no está".
Al hacer clic en el enlace, se abre una página de formularios de Google que solicita información personal. El documento, que las agencias incluyeron con su advertencia, presenta una imagen de encabezado del DOT estatal, que ni siquiera emite licencias en Utah.
"Esperamos que quien recibió esto notara las muchas señales de alerta", dijo Joe Dougherty, portavoz de la agencia de seguridad pública. “Pedir el número de seguro social de alguien es muy atrevido. Incluso la compañía de su tarjeta de crédito solo solicita los últimos cuatro dígitos".
Dougherty dijo que los funcionarios de Utah recurrieron a Google, como lo hicieron otros estados, y la compañía eliminó la página web.
En una declaración de Google a Stateline, la compañía dijo que su política prohíbe el uso de sus productos para el phishing, incluso para solicitar o recopilar datos confidenciales.
"Estamos profundamente comprometidos a proteger a nuestros usuarios del abuso de phishing en nuestros servicios y trabajamos continuamente en medidas adicionales para bloquear este tipo de ataques a medida que evolucionan los métodos", escribió el portavoz.
Si bien cerrar las páginas ayuda, puede que no sea suficiente, dijo Dougherty. "Eso no impide que una persona salga y vuelva a hacer esto".
