En algún momento de noviembre, alguien entró en una oficina de correos de EE. UU. y llenó un formulario de cambio de dirección, tal como lo hacen decenas de millones cada año para enrutar su correo a una nueva dirección. La persona firmó el formulario, lo entregó y se fue. Eso fue suficiente para poner en marcha un efecto dominó que cambió la vida de un ex ejecutivo de Microsoft a varios estados de distancia, ya que la persona que firmó el formulario secuestró la dirección de la casa del ejecutivo en solo unos minutos.
El fraude se basa en una simple falla en la forma en que el Servicio Postal de EE. UU. procesa los cambios de dirección. No es una técnica nueva ni particularmente sofisticada, y los estafadores y los investigadores federales la conocen desde hace mucho tiempo. Un formulario de cambio de dirección presentado de manera fraudulenta puede tener consecuencias duraderas para las miles de personas cuyo correo es secuestrado y redirigido cada año, y los delincuentes pueden obtener facturas, tarjetas de crédito y otra información confidencial que puede usarse para asaltar cuentas bancarias o realizar compras fraudulentas. .
Lo que es más desconcertante es que parece haber una solución igualmente simple. Pero si bien USPS reconoce que hay un problema, no dijo cómo planea cerrar la laguna que permite a los estafadores sacar provecho de la identidad de otra persona.
El exejecutivo de Microsoft, que pidió no ser identificado pero accedió a contar su historia a TechCrunch, no es ingenuo ante las amenazas a la ciberseguridad y la privacidad. Pero según admitió él mismo, el exejecutivo dijo que no sabía que era tan fácil para alguien cambiar maliciosamente su dirección sin su consentimiento, y mucho menos abrir las puertas para que los delincuentes allanaran sus cuentas o acumularan miles de dólares en compras fraudulentas. . Todo esto, dice, se debe a un simple formulario en papel que se devuelve a la oficina de correos sin pensarlo dos veces.
USPS procesó unos 36 millones de cambios de dirección en 2021. Hay dos formas de cambiar una dirección. La mayoría de las personas completan el formulario en línea proporcionando su dirección anterior y nueva, luego pagan $ 1.10 por la conveniencia de la velocidad. La otra forma, todavía utilizada por una minoría significativa de personas, es completar el formulario en papel en una oficina de correos local de USPS.
Ni el formulario en línea ni en papel requiere que la persona presente prueba de su identidad. El formulario en línea, al menos, requiere un pago pequeño, que de ninguna manera es una verificación de la identidad de una persona, pero deja un rastro en papel digital que hace que, en última instancia, sea rastreable hasta alguien. Pero USPS se basa casi por completo en que el sistema confía en la persona que firma el formulario en papel, sea quien sea.
Después de completar este formulario, no hay garantías de que USPS verifique la identidad de la persona que envía la solicitud de cambio de dirección. Créditos de imagen: TechCrunch
El formulario en papel se conoce oficialmente como PS Form 3575. Tan burocrático como el papeleo del gobierno, este formulario es refrescantemente simple y notablemente aburrido. Debe solicitar el formulario del tamaño de una tarjeta postal en una oficina de correos de USPS, lo cual hicimos, ¡para periodismo! Luego, la persona lo completa con su nombre, dirección anterior, dirección nueva y durante cuánto tiempo desea redirigir su correo.
Lo último es firmar el formulario y devolvérselo a un empleado de correos o dejarlo en la ranura de correo dentro de la oficina de correos. Pero además de un aviso en el reverso que advierte que completar el formulario con información falsa podría resultar en cargos penales (si se detecta), no hay garantías de que USPS verifique la identidad de la persona que envía un formulario de cambio de dirección en papel. Ese es el simple defecto que explotan los estafadores para secuestrar domicilios, robar sus tarjetas de crédito y causar estragos en sus cuentas bancarias.
Una vez que se entrega y procesa un formulario, USPS envía dos cartas, una carta a la dirección anterior y otra a la nueva dirección, notificando al residente que se realizó el cambio de dirección. Pero estas cartas pueden pasar desapercibidas fácilmente, y las cartas en sí mismas no requieren la atención o interacción del cliente, solo si la persona desea «ver o cancelar» una solicitud de cambio de dirección no autorizada.
Esta falla no solo no es nueva, sino que está ampliamente documentada. En un caso particularmente cómico de 2017, un residente de Atlanta fue arrestado por cobrar cheques que había desviado de la sede corporativa del gigante de envíos UPS, lo que resultó en literalmente baños de correo amontonados fuera del apartamento del desventurado estafador. Sin embargo, UPS tardó casi tres meses en darse cuenta de que su correo no aparecía.
Una carta de uno de los bancos del exejecutivo, que compartió con TechCrunch, corrobora su cuenta y confirma que el banco realizó el cambio de dirección en sus sistemas “como resultado de los datos recibidos del Servicio Postal de los Estados Unidos (USPS) que indican que un se había producido un cambio de dirección”. Debido a que USPS había aceptado el cambio fraudulento de dirección realizado a nombre del ex ejecutivo, USPS transmitió la nueva dirección establecida por los estafadores a muchas otras empresas, incluidos sus bancos. USPS ha vendido durante mucho tiempo datos de cambio de dirección a corredores de datos, que revenden esta información a cualquier persona que quiera comprarla, como instituciones financieras.
Afortunadamente para él, atrapó el fraude antes de que los delincuentes pudieran causar un daño irreversible, pero aun así le llevó semanas poner sus cuentas y la dirección de su casa en orden. Pero el fraude de cambio de dirección todavía afecta a miles de personas cada año que no tienen la influencia de un ex ejecutivo de tecnología para volver a sus vidas normales.
Para comprender cómo el Servicio Postal de EE. UU. estaba reduciendo este tipo de fraude por cambio de dirección, dado que sigue siendo un problema continuo, TechCrunch solicitó comentarios al USPS.
Los portavoces de USPS, Sue Brennan y Tatiana Roy, se negaron a comentar y refirieron nuestro correo electrónico al Servicio de Inspección Postal de EE. UU., o USPIS, el brazo de aplicación de la ley de USPS, que proporcionó a TechCrunch una declaración repetitiva, algunas de las cuales se repitieron, pero no dijeron cómo. el Servicio Postal de EE. UU. planeó evitar el fraude por cambio de dirección. USPIS envió su respuesta desde una dirección de correo electrónico general sin nombre y se negó repetidamente a proporcionar el nombre de un portavoz cuando TechCrunch le preguntó, a pesar de que es una práctica habitual que los periodistas pregunten. Cuando se contactó por correo electrónico, Ariana Ramírez de USPIS también se negó a proporcionar el nombre del portavoz de medios del departamento.
En su declaración repetitiva, USPIS dijo que, «a medida que surgen estas situaciones, USPS reevalúa sus controles internos para abordar las preocupaciones de seguridad», sin decir cuáles eran esos controles internos, si los hubo, ni si implementaron algún cambio. Volvimos a preguntar, pero no recibimos respuesta.
“Se alienta a los clientes a controlar la recepción de su correo, recuperándolo diariamente de su buzón o a través de Informed Delivery en línea”, agregó el comunicado, refiriéndose al servicio en línea que permite a los residentes obtener una vista previa de su correo y paquetes entrantes de USPS. Pero si bien revisar regularmente su buzón de correo podría ayudar a notar el correo faltante antes de que sea demasiado tarde, esto no es infalible. Es por eso que los estafadores todavía lo hacen.
Ni USPS ni USPIS mencionaron lo que parece una solución obvia. Si el formulario en línea requiere un pequeño pago para reducir la posibilidad de fraude, ¿por qué no verificar la prueba de identidad de la persona cuando entregue el formulario en persona?
No es una idea novedosa. El organismo de control independiente que supervisa el servicio postal, la Oficina del Inspector General de USPS (o USPS OIG), ha expresado su preocupación por el fraude por cambio de dirección durante años. USPS OIG dijo en su informe de auditoría de 2018, que inició en base a las preocupaciones de los legisladores, los medios de comunicación y las quejas de los clientes, que el servicio postal no requería que los clientes presentaran una forma de identificación gubernamental, como un pasaporte o una licencia de conducir, para revisión al enviar un formulario de cambio de dirección en papel. El organismo de control señaló que varios servicios postales en el extranjero, en particular Australia, Canadá y el Reino Unido, requieren algún tipo de verificación de identidad al enviar manualmente un formulario de cambio de dirección, pero que también aceptan una variedad de documentos para aquellos que no tienen un forma de identificación emitida por el gobierno.
La OIG de USPS fue clara en sus conclusiones. “La falta de una política nacional para respaldar dicho control de requisitos de identificación puede perpetuar actividades fraudulentas adicionales y dañar la marca del Servicio Postal como proveedor confiable”.
Después de la auditoría, USPS dijo que planeaba implementar verificaciones de identidad emitidas por el gobierno para los formularios de cambio de dirección en papel para fines de marzo de 2019.
El portavoz de USPS OIG, Bill Triplett, le dijo a TechCrunch que USPS estuvo de acuerdo con los hallazgos del inspector general de su informe de auditoría de 2018 y las recomendaciones se cerraron en agosto de 2019, lo que indica que el asunto está resuelto. El portavoz dijo que USPS “proporcionó documentación que demuestra que los asociados de ventas requieren identificación para procesar las solicitudes de cambio de dirección en persona”.
Cuando se le preguntó si USPS hace cumplir esta política: “El Servicio Postal tendría la información más actualizada sobre cómo están haciendo cumplir sus políticas. Por lo general, una vez que cerramos una recomendación basada en la documentación de respaldo proporcionada por el Servicio Postal, no completamos el trabajo de seguimiento para verificar si continúan implementándola”, dijo el vocero.
USPS OIG dijo que «consideraría auditar este tema en el futuro».
Para decir la parte tranquila en voz alta, USPS no está aplicando adecuadamente su propia política sobre controles de identidad cuando alguien presenta un formulario de cambio de dirección en papel. USPS aún tiene que comentar o identificar cualquier esfuerzo en el que esté tratando de reducir este tipo de fraude.
Este no es solo el caso de un ex ejecutivo de Microsoft que tuvo mala suerte y se quedó en el olvido. KIRO 7 News, con sede en Seattle, cubrió esta historia hace solo seis meses y llegó a las mismas conclusiones. Después de informar sobre una familia local que había enfrentado este problema en dos ocasiones distintas, USPS desestimó la terrible experiencia de la familia al afirmar que el robo de identidad «no puede ocurrir» a través del fraude de cambio de dirección.
“Pero eso no explica que alguien no pida una identificación en el mostrador”, escribió KIRO 7 News, señalando directamente la falla en el sistema.
Una verificación de identidad no necesita depender de una gran base de datos de información o mantener un libro mayor de registros durante las próximas décadas. No debe requerir más que una persona que simplemente muestre a un trabajador postal su prueba de identidad, o documentación similar, mientras entrega el formulario, tal como lo hacen los sistemas postales en otros países. Compruebe su nombre, y nada más. Y aunque ningún sistema es perfecto, un breve vistazo a la identificación o los documentos de una persona haría mucho más difícil cambiar la dirección de alguien sin su permiso.
De lo contrario, es poco lo que se puede hacer para prevenir este tipo de fraude sin cierto nivel de vigilancia constante. Pero en algún momento, no debería ser responsabilidad del consumidor, cuando el USPS podría hacer cumplir la solución que supuestamente arregló hace cuatro años.
“Para las elecciones, para los temas financieros, todo el mundo está confiando en Correos”, me dijo el ex ejecutivo. Sin embargo, para una falla simple pero devastadora con una solución igualmente simple, dijo que no podía entender por qué el USPS “no está haciendo nada”.
Ponte en contacto con el mostrador de seguridad de Signal y WhatsApp al +1 646-755-8849 o por correo electrónico. También puede enviarnos historias o compartir documentos de forma segura a través de SecureDrop.