La temporada de impuestos está oficialmente en la vista trasera, lo que significa que la mayoría de nosotros está respirando un suspiro de alivio. Pero algunos de nosotros permanecen ansiosos. No se trata de la posibilidad de ser auditados (que es pequeña, aunque aterradora), sino del miedo a que nos roben la identidad.
Si eres un trabajador autónomo -ya sea un conductor de Uber, un artista de Etsy o algo menos del siglo XXI (como un periodista freelance)- las empresas que te pagan están obligadas por ley a proporcionarte un 1099 para ayudarte a preparar tus impuestos. Y con la explosión de la «economía colaborativa», cada vez más personas reciben estos documentos en lugar de los W-2, el formulario de impuestos reservado a los empleados. Las empresas envían físicamente los 1099, pero como los errores ocurren, los plazos fiscales son inamovibles e Internet es tan cómodo, algunos departamentos financieros envían estos formularios por correo electrónico en su lugar.
Y a menudo, envían estos formularios fiscales por correo electrónico sin cifrar, a pesar de que hacerlo es una imprudencia. Esto se debe a que estos documentos contienen datos sensibles, como los números de la Seguridad Social, y el correo electrónico es un objetivo primordial para los hackers que buscan robar identidades.
Si no cree que esto pueda ocurrirle a usted, considere esto. En los últimos seis años, más de media docena de personas me han enviado por correo electrónico formularios financieros sin cifrar que contenían información de identificación personal. Una empresa -una importante marca estadounidense de varios millones de dólares- incluso lo hizo dos veces.
«Los números de la seguridad social son más susceptibles y más valiosos que nunca», dice Rob Douglas, un consultor de seguridad especializado en robos de identidad y estafas. Douglas testificó por primera vez ante el Congreso sobre la protección de la información de identificación personal en 1998. Desde entonces, lo único que ha cambiado es lo fácil que se ha vuelto para los estafadores arrebatar nuestros dígitos sensibles.
Desde el grado masivo de robo de identidad vinculado al hackeo de la Oficina de Gestión de Personal hasta los miles de millones perdidos en fraudes de reembolsos de impuestos, está claro que hay muchas cosas que los malos pueden hacer con su número de la Seguridad Social. «A los delincuentes les encanta este delito, porque es un delito que se paga, y hay muy poco interés del fiscal», dice Douglas. Por ejemplo, la policía de San Diego ni siquiera examina un caso de robo de identidad a menos que haya al menos 40.000 dólares en juego, dice, porque son muchos. Imagínese que hoy le quitan esa cantidad de su cuenta bancaria y mañana no encuentra a nadie dispuesto a ayudarle.
Así que, naturalmente, supondrá que es ilegal tratar la información vital de alguien con tanto descuido, ¿verdad? No es así. Aunque el número de la Seguridad Social es un identificador federal, los estados tienen autoridad sobre su manejo, lo que significa que los protocolos varían. Actualmente, sólo 12 estados restringen el envío físico de los números de la Seguridad Social, pero ningún estado prohíbe su envío por correo electrónico. De nuevo: Es completamente legal poner el número de la Seguridad Social de alguien en un correo electrónico.
Eso es un problema. Aunque nos parezca que el correo electrónico es seguro, y aunque proveedores como Apple, Google y Microsoft hayan hecho que las notas enviadas y recibidas desde direcciones dentro de su dominio (gmail.com, por ejemplo) sean seguras, una vez que un mensaje empieza a atravesar la red abierta, se acaban las apuestas.
Cuando se envían los correos electrónicos, suelen pasar del software del ordenador remitente a servidores llamados agentes de transferencia de correo. Es probable que pasen por varios de estos nodos hasta llegar a su destinatario. Entre estos relés, los correos electrónicos se cifran, pero cuando llegan a un servidor, se descifran, se leen y se vuelven a cifrar antes de ser enviados al siguiente nodo. Milton Mueller, profesor de política pública en el Instituto Tecnológico de Georgia, advierte que este proceso podría ser «imperfecto» en términos de seguridad. «El contenido de los mensajes es revelado y puede ser alterado por los relés de correo electrónico intermedios», afirma.
Mueller dice que el problema es que los nodos de correo electrónico se gestionan de forma independiente, por lo que la política de encriptación de un nodo podría ser ligeramente incompatible con la de otro. Y algunos nodos pueden incluso estar comprometidos, permitiendo a los hackers acceder a toda la información que fluye a través de ellos.
Aún así, puedes proteger tus datos encriptando los archivos que contienen información privada. Recientemente, con esa importante marca americana, solicité que lo hicieran. Para mi sorpresa, no sólo un profesional financiero de esta empresa de la lista Fortune 500 no sabía cómo encriptar un archivo PDF, sino que tampoco lo sabía su equipo técnico. (Es tan sencillo como marcar una casilla). «Las personas que deberían saber cómo encriptar -sobre todo cuando se trata de información financiera sensible- no es que no sepan cómo hacerlo, sino que ni siquiera está en su protocolo», dice Douglas. «Es alucinante que no nos hayamos mentalizado sobre este tema»
Le dije a esta empresa exactamente cómo encriptar mi archivo, y aun así se envió sin protección. ¿Qué hace falta para que la gente respete los datos privados de los demás y los maneje con responsabilidad, como lo haría con su propia información sensible? Douglas dice que es necesario que los profesionales financieros dejen de ver estos datos vitales como una minucia, como simples números en una página, y en su lugar los vean como lo que son: la identidad financiera de una persona.
Pero es poco probable que eso marque una diferencia lo suficientemente grande. En cambio, Douglas cree que lo único que cambiará el modo despreocupado en que la gente maneja los números de la Seguridad Social por correo electrónico o en papel sería «una tragedia de tal naturaleza de daño físico a algunas personas que sacuda la conciencia de la nación».
Por ejemplo, el 15 de octubre de 1999, Amy Boyer, de 20 años, fue asesinada frente a su apartamento por Liam Youens, un acosador que encontró la dirección de Boyer después de comprar su número de la Seguridad Social en un sitio web. Le disparó varias veces antes de apuntarse a sí mismo. En la indignación que siguió, se presentó la «Ley de Amy Boyer» para impedir la exhibición o venta del número de la Seguridad Social de cualquier persona. La ley nunca se aprobó, así que el golpe de conciencia al que se refería Douglas aún no ha llegado.
Y a pesar de que mi número de la Seguridad Social desfila por Internet como una guardia de color, no he sido víctima de un robo de identidad ni de ningún otro fraude. Tengo la esperanza de estar a salvo, pero Douglas no es tan optimista. «No tengo ninguna duda de que tu está ahí fuera», dice. «Estadísticamente, varias veces».
Contacte con nosotros en [email protected].