¿Qué es un ataque de suplantación?

La suplantación ocurre cuando alguien o algo finge ser otra cosa en un intento de ganarse la confianza de la víctima, obtener acceso a un sistema, robar datos o propagar malware.

.st0{fill:#0D3ECC;} DESCARGA MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

¿Qué es la suplantación? Definición de suplantación

La suplantación, en el ámbito de la ciberseguridad, es cuando alguien o algo finge ser otra cosa para ganarse nuestra confianza, acceder a nuestros sistemas, robar datos, dinero o propagar malware. Los ataques de suplantación vienen en muchas formas, incluyendo:

  • Suplantación de correo electrónico
  • Suplantación de sitios web y/o URL
  • Suplantación de identificación de llamadas
  • Suplantación de mensajes de texto
  • Suplantación de GPS
  • Ataques de intermediario (Man-in-the-middle)
  • Suplantación de extensiones
  • Suplantación de IP
  • Suplantación facial

Entonces, ¿cómo nos engañan los ciberdelincuentes? A menudo, simplemente invocar el nombre de una gran organización de confianza es suficiente para que proporcionemos información o realicemos alguna acción. Por ejemplo, un correo electrónico falsificado de PayPal o Amazon podría preguntar sobre compras que nunca realizaste. Preocupado por tu cuenta, podrías sentirte motivado a hacer clic en el enlace incluido.

Desde ese enlace malicioso, los estafadores te enviarán a una página web con una descarga de malware o una página de inicio de sesión falsa—con logotipo familiar y URL falsificada—con el propósito de capturar tu nombre de usuario y contraseña.

Hay muchas más formas en que un ataque de suplantación puede llevarse a cabo. En todos ellos, los estafadores dependen de que las víctimas caigan en la falsificación. Si nunca dudas de la legitimidad de un sitio web y nunca sospechas que un correo electrónico sea falso, es posible que en algún momento te conviertas en víctima de un ataque de suplantación.

Con ese fin, esta página trata sobre la suplantación. Te informaremos sobre los tipos de suplantaciones, cómo funcionan, cómo discernir entre correos electrónicos y sitios web legítimos y falsos, y cómo evitar convertirte en un objetivo para los estafadores.

"La suplantación, en lo que respecta a la ciberseguridad, es cuando alguien o algo finge ser otra cosa para ganarnos la confianza, acceder a nuestros sistemas, robar datos, dinero o propagar malware."

Tipos de suplantación

Suplantación de correo electrónico

Suplantación de correo electrónico es el acto de enviar correos electrónicos con direcciones de remitente falsas, generalmente como parte de un ataque de phishing diseñado para robar tu información, infectar tu computadora con malware o simplemente pedir dinero. Los correos electrónicos maliciosos típicamente contienen ransomware, adware, cryptojackers, Trojans (como Emotet), o malware que esclaviza tu computadora en un botnet (ver DDoS).

Pero una dirección de correo electrónico falsificada no siempre es suficiente para engañar a una persona promedio. Imagina recibir un correo de phishing que parece ser de Facebook en el campo del remitente, pero el cuerpo del correo está escrito en texto básico, sin diseño ni HTML—ni siquiera un logotipo. Eso no es algo que estemos acostumbrados a recibir de Facebook, y debería hacer que salten algunas alarmas. Por lo tanto, los correos electrónicos de phishing suelen incluir una combinación de características engañosas:

  • Dirección de remitente falsa diseñada para parecer que es de alguien que conoces y en quien confías—posiblemente un amigo, compañero de trabajo, miembro de la familia o una empresa con la que haces negocios. 
  • En el caso de una empresa u organización, el correo electrónico puede incluir marcas familiares; p. ej., logotipo, colores, fuente, botón de llamada a la acción, etc.
  • Los ataques de spear phishing se dirigen a un individuo o grupo pequeño dentro de una empresa e incluyen un lenguaje personalizado y dirigen al destinatario por su nombre.
  • Errores ortográficos—a montones. Por mucho que intenten engañarnos, los estafadores de correo electrónico a menudo no dedican mucho tiempo a revisar su propio trabajo. Las falsificaciones de correo electrónico a menudo tienen errores ortográficos, o parecen como si alguien hubiera traducido el texto usando Google Translate. Desconfía de construcciones de frases inusuales; empresas como Facebook o PayPal son poco propensas a cometer esos errores en sus correos a clientes. 

La suplantación de correo electrónico juega un papel crítico en las estafas de sextorsión. Estas estafas nos trucan para que pensemos que nuestras cámaras web han sido secuestradas con spyware para grabarnos viendo pornografía. Estos correos falsificados dirán algo como "Te he estado viendo ver pornografía", lo cual es algo increíblemente raro de decir. ¿Quién es el verdadero acosador en este escenario?

Luego, los estafadores exigen cierta cantidad de Bitcoin u otra criptomoneda, o de lo contrario enviarán el video a todos tus contactos. Para crear la impresión de legitimidad, los correos pueden incluir una contraseña antigua de alguna brecha de datos previa. La suplantación se produce cuando los estafadores disfrazan el campo del remitente de correo para que parezca que se envía desde tu supuesta cuenta comprometida. Ten la seguridad de que probablemente nadie te está viendo realmente.

Suplantación de sitios web

Suplantación de sitios web trata de hacer que un sitio web malicioso parezca legítimo. El sitio falsificado parece la página de inicio de sesión de un sitio web que visitas frecuentemente, hasta el punto de tener nombre de dominio falsificado que parece igual a primera vista. Los ciberdelincuentes usan los sitios web falsificados para capturar tu nombre de usuario y contraseña (también conocido como suplantación de inicio de sesión) o para instalar malware en tu computadora (una descarga al paso). Generalmente, se utiliza un sitio web falsificado junto con una suplantación de correo electrónico, en la cual el correo enlaza al sitio web.

También vale la pena señalar que un sitio web falsificado no es lo mismo que un sitio web pirateado. En el caso de un hackeo de sitio web, el sitio real ha sido comprometido y tomado por ciberdelincuentes, sin necesidad de falsificación o engaño. De manera similar, el malware publicitario es una categoría propia de malware. En este caso, los ciberdelincuentes aprovechan los canales publicitarios legítimos para mostrar anuncios maliciosos en sitios web confiables. Estos anuncios cargan malware en secreto en la computadora de la víctima.

Suplantación de identificación de llamadas

Suplantación de identificación de llamadas ocurre cuando los estafadores engañan a tu identificador de llamadas haciendo que parezca que la llamada proviene de un lugar del cual no es. Los estafadores han aprendido que es más probable que respondas el teléfono si el identificador de llamadas muestra un área de código igual o cerca de tu propio. En algunos casos, los estafadores incluso falsificarán los primeros dígitos de tu número de teléfono, además del código de área, para crear la impresión de que la llamada se origina en tu vecindario (también conocido como suplantación de vecino). 

Suplantación de mensajes de texto

Suplantación de mensajes de texto o suplantación de SMS es el envío de un mensaje de texto con el número de teléfono o ID de remitente de otra persona. Si alguna vez enviaste un mensaje de texto desde tu laptop, has falsificado tu propio número de teléfono para enviar el texto, porque el mensaje de texto en realidad no se originó desde tu teléfono.

Las empresas a menudo falsifican sus propios números, para propósitos de marketing y conveniencia del consumidor, reemplazando el número largo por un identificador alfanumérico corto y fácil de recordar. Los estafadores hacen lo mismo, ocultan su verdadera identidad detrás de un identificador alfanumérico, a menudo haciéndose pasar por una empresa u organización legítima. Los mensajes de texto falsificados a menudo incluirán enlaces a sitios de phishing por SMS (smishing) o descargas de malware.

Los estafadores de mensajes de texto pueden aprovechar el mercado laboral haciéndose pasar por agencias de contratación, enviando a las víctimas ofertas de trabajo demasiado buenas para ser verdad. En un ejemplo, una posición de trabajo desde casa en Amazon incluía un "Toyota Corrola nuevo". Primero, ¿por qué necesitaría uno un automóvil de empresa si trabaja desde casa? Segundo, ¿es un Toyota "Corrola" una versión genérica del Toyota Corolla? Buen intento, estafadores.

Suplantación de GPS

Suplantación de GPS ocurre cuando engañas al GPS de tu dispositivo para que piense que estás en una ubicación, cuando en realidad estás en otra. ¿Por qué alguien querría hacer suplantación GPS? Dos palabras: Pokémon GO.

Usando la suplantación GPS, los tramposos de Pokémon GO pueden hacer que el popular juego móvil piense que están cerca de un gimnasio en el juego y tomar control de ese gimnasio (ganando así moneda del juego). De hecho, los tramposos están en un lugar completamente diferente—o en otro país. De manera similar, se pueden encontrar videos en YouTube mostrando jugadores de Pokémon GO capturando diversos Pokémon sin salir de su casa. Mientras que la suplantación GPS puede parecer cosa de niños, no es difícil imaginar que actores malintencionados pudieran usar el truco para actos más siniestros que ganar moneda en un juego móvil.

Ataque de hombre en el medio (MitM)

Ataques de hombre en el medio (MitM) pueden ocurrir cuando usas Wi-Fi gratis en tu cafetería local. ¿Has considerado qué pasaría si un ciberdelincuente hackeara el Wi-Fi o creara otra red Wi-Fi fraudulenta en la misma ubicación? En cualquiera de los casos, tienes una configuración perfecta para un ataque de hombre en el medio, así llamado porque los ciberdelincuentes pueden interceptar el tráfico web entre dos partes. La suplantación se produce cuando los criminales alteran la comunicación entre las partes para redirigir fondos o solicitar información personal sensible como números de tarjetas de crédito o inicios de sesión.

Nota al margen: Mientras que los ataques MitM usualmente interceptan datos en la red Wi-Fi, otra forma de ataque MitM intercepta los datos en el navegador. Esto se llama un ataque de hombre en el navegador (MitB).

Suplantación de extensiones

Suplantación de extensiones ocurre cuando los ciberdelincuentes necesitan disfrazar archivos de malware ejecutables. Un truco común de suplantación de extensiones que los criminales gustan usar es nombrar el archivo algo como “archivo.txt.exe”. Los criminales saben que las extensiones de archivos están ocultas por defecto en Windows, por lo que al usuario promedio de Windows este archivo ejecutable le parecerá “archivo.txt”.

Suplantación de IP

Suplantación de IP se utiliza cuando alguien quiere ocultar o disfrazar la ubicación desde la cual están enviando o solicitando datos en línea. En lo que respecta a las amenazas cibernéticas, la suplantación de dirección IP se utiliza en ataques de denegación de servicio distribuido (DDoS) para evitar que el tráfico malicioso sea filtrado y para ocultar la ubicación del atacante.

Suplantación facial

Suplantación facial podría ser la más personal, debido a las implicaciones que tiene para el futuro de la tecnología y nuestras vidas personales. Tal como están las cosas, la tecnología de identificación facial es bastante limitada. Usamos nuestras caras para desbloquear nuestros dispositivos móviles y laptops, y no mucho más. Pero pronto podríamos encontrarnos realizando pagos y firmando documentos con nuestras caras. Imagina las ramificaciones cuando puedas abrir una línea de crédito con tu cara. Cosas aterradoras.

Investigadores han demostrado cómo los modelos faciales 3D construidos a partir de tus fotos en redes sociales ya pueden usarse para hackear un dispositivo bloqueado mediante ID facial. Llevando las cosas un paso más allá, Malwarebytes Labs informó sobre la tecnología deepfake que se utiliza para crear videos de noticias falsos y cintas de sexo falsas, protagonizadas con las voces y semblantes de políticos y celebridades, respectivamente.

¿Cómo funciona la suplantación?

Hemos explorado las diversas formas de suplantación y hemos pasado por alto la mecánica de cada una. En el caso de la suplantación de correos electrónicos, sin embargo, hay un poco más que vale la pena revisar. Hay algunas maneras en que los ciberdelincuentes pueden ocultar su verdadera identidad en una suplantación de correo. La opción más infalible es hackear un servidor de correo no seguro. En este caso, el correo electrónico está, desde un punto de vista técnico, viniendo del supuesto remitente.

La opción de baja tecnología es simplemente poner cualquier dirección en el campo “De”. El único problema es que si la víctima responde o el correo no puede ser enviado por alguna razón, la respuesta irá a quienquiera que esté listado en el campo “De”—no al atacante. Esta técnica es comúnmente utilizada por spammers para usar correos electrónicos legítimos y pasar los filtros de spam. Si alguna vez has recibido respuestas a correos que nunca enviaste, esta es una posible razón por la cual, aparte de que tu cuenta de correo haya sido hackeada. Esto se llama backscatter o spam colateral.

Otra forma común en que los atacantes falsifican correos electrónicos es registrando un nombre de dominio similar al que intentan falsificar en lo que se llama un ataque de homógrafos o suplantación visual. Por ejemplo, “rna1warebytes.com”. Observa el uso del número “1” en lugar de la letra “l”. También observa el uso de las letras “r” y “n” utilizadas para simular la letra “m”. Esto tiene el beneficio adicional de dar al atacante un dominio que pueden usar para crear un sitio web falsificado.

Cualquiera que sea la suplantación, no siempre es suficiente simplemente lanzar un sitio web o correo falsificado al mundo y esperar lo mejor. La suplantación exitosa requiere una combinación de la falsificación en sí y ingeniería social. La ingeniería social se refiere a los métodos que los ciberdelincuentes usan para engañarnos y lograr que entreguemos información personal, hagamos clic en un enlace malicioso o abramos un archivo adjunto cargado de malware.

Hay muchas jugadas en el libro de jugadas de ingeniería social. Los ciberdelincuentes cuentan con las vulnerabilidades que todos tenemos como seres humanos, como el miedo, la ingenuidad, la codicia y la vanidad, para convencernos de hacer algo que realmente no deberíamos hacer. En el caso de una estafa de sextorsión, por ejemplo, podrías enviar Bitcoin al estafador porque temes que tu ropa sucia proverbial sea aireada para que todos la vean.

Las vulnerabilidades humanas tampoco son siempre malas. La curiosidad y la empatía generalmente son buenas cualidades, pero a los criminales les encanta apuntar a las personas que las demuestran.

Un ejemplo es la estafa de los nietos varados, en la que un ser querido supuestamente está en la cárcel o en el hospital en un país extranjero y necesita dinero rápidamente. Un correo electrónico o mensaje de texto podría decir, “Abuelo Joe, me arrestaron por contrabando de drogas en [insertar nombre del país]. Por favor, envía dinero, ah, y por cierto, no se lo digas a mamá y papá. ¡Eres el mejor [tres emojis de cara feliz guiñando]!” Aquí, los estafadores cuentan con el desconocimiento general de los abuelos sobre dónde está su nieto en cualquier momento dado.

“El spoofing exitoso requiere una combinación entre el propio spoof y la ingeniería social. La ingeniería social se refiere a los métodos que usan los cibercriminales para engañarnos y obtener nuestra información personal, hacer que hagamos clic en un enlace malicioso o abrir un archivo adjunto repleto de malware.”

¿Cómo detectar la suplantación?

Aquí están las señales de que estás siendo víctima de spoofing. Si ves estos indicadores, elimínalo, haz clic en el botón de retroceso, cierra tu navegador, no pases de ir.

Suplantación de sitios web

  • No hay símbolo de candado o barra verde. Todos los sitios web seguros y de buena reputación necesitan tener un certificado SSL, lo que significa que una autoridad de certificación de terceros ha verificado que la dirección web realmente pertenece a la organización que está siendo verificada. Una cosa a tener en cuenta, los certificados SSL ahora son gratuitos y fáciles de obtener. Aunque un sitio puede tener un candado, eso no significa que sea auténtico. Solo recuerda, nada es 100 por ciento seguro en Internet.
  • El sitio web no está usando cifrado de archivos. HTTP, o Protocolo de Transferencia de Hipertexto, es tan antiguo como Internet y se refiere a las reglas utilizadas cuando se comparten archivos a través de la web. Los sitios web legítimos casi siempre usarán HTTPS, la versión cifrada de HTTP, cuando transfieran datos de un lado a otro. Si estás en una página de inicio de sesión y ves “http” en lugar de “https” en la barra de direcciones de tu navegador, deberías sospechar.
  • Usa un gestor de contraseñas. Un gestor de contraseñas como 1Password rellenará automáticamente tus credenciales de inicio de sesión para cualquier sitio web legítimo que guardes en tu bóveda de contraseñas. Sin embargo, si navegas a un sitio web falso, tu gestor de contraseñas no reconocerá el sitio y no completará los campos de nombre de usuario y contraseña para ti, una buena señal de que estás siendo engañado.

Suplantación de correo electrónico

  • Verifica dos veces la dirección del remitente. Como mencionamos, los estafadores registrarán dominios falsos que se vean muy similares a los legítimos.
  • Busca en Google el contenido del correo electrónico. Una búsqueda rápida podría mostrarte si un correo de phishing conocido está circulando por la web.
  • Los enlaces incrustados tienen URLs inusuales. Verifica las URLs antes de hacer clic pasándoles el cursor por encima.
  • Errores tipográficos, mala gramática y sintaxis inusual. Los estafadores a menudo no revisan su trabajo.
  • El contenido del correo electrónico parece demasiado bueno para ser verdad.
  • Hay archivos adjuntos. Desconfía de los archivos adjuntos, especialmente si provienen de un remitente desconocido.

Suplantación de identificación de llamadas

  • La identificación de llamadas es fácilmente falsificada. Es una triste realidad que nuestras líneas fijas se han convertido en un caldo de cultivo para llamadas de estafa. Es especialmente preocupante cuando consideras que la mayoría de las personas que todavía tienen líneas fijas son personas mayores, el grupo más susceptible a las llamadas de estafa. Permite que las llamadas a la línea fija de desconocidos vayan al buzón de voz o contestador.

¿Cómo puedo protegerme contra la suplantación?

Primero que nada, deberías aprender a identificar un ataque de spoofing. Si omitiste la sección de “¿Cómo detecto el spoofing?” deberías volver y leerla ahora.

Activa tu filtro de spam. Esto detendrá a la mayoría de los correos electrónicos de spoofing antes de que lleguen a tu bandeja de entrada.

No hagas clic en enlaces ni abras archivos adjuntos en correos electrónicos si el correo proviene de un remitente desconocido. Si hay una posibilidad de que el correo sea legítimo, ponte en contacto con el remitente a través de otro canal y confirma el contenido del correo.  

Inicia sesión a través de una pestaña o ventana separada. Si recibes un correo electrónico o mensaje de texto sospechoso, que te solicita que inicies sesión en tu cuenta y realices alguna acción, como verificar tu información, no hagas clic en el enlace proporcionado. En su lugar, abre otra pestaña o ventana y navega al sitio directamente. Alternativamente, inicia sesión a través de la aplicación dedicada en tu teléfono o tableta.

Levanta el teléfono. Si has recibido un correo electrónico sospechoso, supuestamente de alguien que conoces, no tengas miedo de llamar o enviar un mensaje de texto al remitente y confirmar que, efectivamente, enviaron el correo. Este consejo es especialmente válido si el remitente hace una solicitud fuera de lo común como, “Oye, ¿puedes comprar 100 tarjetas de regalo de iTunes y enviarme los números?. Gracias, Tu jefe.”

Muestra las extensiones de archivo en Windows. Windows no muestra las extensiones de archivo por defecto, pero puedes cambiar esa configuración haciendo clic en la pestaña “Vista” en el Explorador de archivos, y luego marcando la casilla para mostrar extensiones de archivo. Aunque esto no detendrá a los cibercriminales de falsificar extensiones de archivo, al menos podrás ver las extensiones falsificadas y evitar abrir esos archivos maliciosos.

Invierte en un buen programa antivirus. En caso de que hagas clic en un enlace o archivo adjunto malo, no te preocupes, un buen programa de antivirus podrá alertarte de la amenaza, detener la descarga y evitar que el malware obtenga una base en tu sistema o red. Malwarebytes, por ejemplo, tiene productos antivirus/anti-malware que puedes probar gratis antes de suscribirte.

Noticias sobre suplantación

Para más lecturas sobre el spoofing y todas las últimas noticias sobre ciberamenazas, visita el blog de Malwarebytes Labs.

Historia de la suplantación

No hay nada nuevo en la suplantación. De hecho, la palabra “spoof” como una forma de engaño data de hace más de un siglo. Según el diccionario en línea Merriam-Webster, la palabra “spoof” se atribuye al comediante inglés Arthur Roberts del siglo XIX en referencia a un juego de engaño y decepción creado por Roberts. Las reglas del juego se han perdido en el tiempo. Solo podemos suponer que el juego no era muy divertido o que a los británicos de la época no les gustaba que los tomaran el pelo. Sea cual sea el caso, el nombre se mantuvo aunque el juego no.

No fue hasta principios del siglo XX que spoof se volvió sinónimo de parodia. Durante varias décadas, cada vez que alguien mencionaba “spoof” o “spoofing” era en referencia a algo divertido y positivo, como la última parodia cinematográfica de Mel Brooks o el álbum cómico de “Weird Al” Yankovic.

Hoy en día, el spoofing se utiliza con más frecuencia cuando se habla de delitos cibernéticos. Siempre que un estafador o una amenaza cibernética pretenden ser alguien o algo que no son, es spoofing.