¿Qué es un ataque de suplantación?

¿Qué es la suplantación? Definición de suplantación

El spoofing, en lo que respecta a la ciberseguridad, es cuando alguien o algo se hace pasar por otra cosa en un intento de ganarse nuestra confianza, obtener acceso a nuestros sistemas, robar datos, robar dinero o propagar malware. Los ataques de suplantación de identidad pueden adoptar muchas formas:

• Suplantación de correo electrónico
• Suplantación de sitios web y/o URL
• Suplantación de identificación de llamadas
• Suplantación de mensajes de texto
• Suplantación de GPS
• Ataques de intermediario (Man-in-the-middle)
• Suplantación de extensiones
• Suplantación de IP
• Suplantación facial

Entonces, ¿cómo nos engañan los ciberdelincuentes? A menudo, simplemente invocar el nombre de una gran organización de confianza es suficiente para que proporcionemos información o realicemos alguna acción. Por ejemplo, un correo electrónico falsificado de PayPal o Amazon podría preguntar sobre compras que nunca realizaste. Preocupado por tu cuenta, podrías sentirte motivado a hacer clic en el enlace incluido.

Desde ese enlace malicioso, los estafadores te enviarán a una página web con una descarga de malware o una página de inicio de sesión falsa—con logotipo familiar y URL falsificada—con el propósito de capturar tu nombre de usuario y contraseña.

Hay muchas más formas en que un ataque de suplantación puede llevarse a cabo. En todos ellos, los estafadores dependen de que las víctimas caigan en la falsificación. Si nunca dudas de la legitimidad de un sitio web y nunca sospechas que un correo electrónico sea falso, es posible que en algún momento te conviertas en víctima de un ataque de suplantación.

Con ese fin, esta página trata sobre la suplantación. Te informaremos sobre los tipos de suplantaciones, cómo funcionan, cómo discernir entre correos electrónicos y sitios web legítimos y falsos, y cómo evitar convertirte en un objetivo para los estafadores.

"La suplantación, en lo que respecta a la ciberseguridad, es cuando alguien o algo finge ser otra cosa para ganarnos la confianza, acceder a nuestros sistemas, robar datos, dinero o propagar malware."

Tipos de suplantación

Suplantación de correo electrónico

La suplantación de identidad por correo electrónico es el acto de enviar correos electrónicos con direcciones de remitente falsas, normalmente como parte de un ataque de phishing diseñado para robar su información, infectar su ordenador con malware o simplemente pedirle dinero. Las cargas útiles típicas de los correos electrónicos maliciosos incluyen ransomware, adware, cryptojackers, troyanos (como Emotet) o malware que esclaviza su ordenador en una botnet (véase DDoS).

Pero una dirección de correo electrónico falsa no siempre es suficiente para engañar al ciudadano de a pie. Imagina que recibes un correo electrónico de phishing con lo que parece ser una dirección de Facebook en el campo del remitente, pero el cuerpo del correo electrónico está escrito en texto básico, sin diseño ni HTML, ni siquiera un logotipo. Esto no es algo que estemos acostumbrados a recibir de Facebook, y debería hacer saltar las alarmas. En consecuencia, los correos electrónicos de phishing suelen incluir una combinación de características engañosas:

• Dirección de remitente falsa diseñada para parecer que es de alguien que conoces y en quien confías—posiblemente un amigo, compañero de trabajo, miembro de la familia o una empresa con la que haces negocios. 
• En el caso de una empresa u organización, el correo electrónico puede incluir marcas familiares; p. ej., logotipo, colores, fuente, botón de llamada a la acción, etc.
• Los ataques de spear phishing se dirigen a un individuo o grupo pequeño dentro de una empresa e incluyen un lenguaje personalizado y dirigen al destinatario por su nombre.
• Errores ortográficos—a montones. Por mucho que intenten engañarnos, los estafadores de correo electrónico a menudo no dedican mucho tiempo a revisar su propio trabajo. Las falsificaciones de correo electrónico a menudo tienen errores ortográficos, o parecen como si alguien hubiera traducido el texto usando Google Translate. Desconfía de construcciones de frases inusuales; empresas como Facebook o PayPal son poco propensas a cometer esos errores en sus correos a clientes. 

La suplantación de correo electrónico juega un papel crítico en las estafas de sextorsión. Estas estafas nos trucan para que pensemos que nuestras cámaras web han sido secuestradas con spyware para grabarnos viendo pornografía. Estos correos falsificados dirán algo como "Te he estado viendo ver pornografía", lo cual es algo increíblemente raro de decir. ¿Quién es el verdadero acosador en este escenario?

A continuación, los estafadores exigen una cierta cantidad de Bitcoin u otra criptomoneda o, de lo contrario, enviarán el vídeo a todos tus contactos. Para crear la impresión de legitimidad, los correos electrónicos también pueden incluir una contraseña obsoleta de alguna violación de datos anterior. La suplantación de identidad entra en juego cuando los estafadores disfrazan el campo del remitente del correo electrónico para que parezca que se envía desde su cuenta de correo electrónico supuestamente violada. Tenga la seguridad de que lo más probable es que nadie le esté vigilando.

Suplantación de sitios web

Suplantación de sitios web trata de hacer que un sitio web malicioso parezca legítimo. El sitio falsificado parece la página de inicio de sesión de un sitio web que visitas frecuentemente, hasta el punto de tener nombre de dominio falsificado que parece igual a primera vista. Los ciberdelincuentes usan los sitios web falsificados para capturar tu nombre de usuario y contraseña (también conocido como suplantación de inicio de sesión) o para instalar malware en tu computadora (una descarga al paso). Generalmente, se utiliza un sitio web falsificado junto con una suplantación de correo electrónico, en la cual el correo enlaza al sitio web.

También vale la pena señalar que un sitio web falsificado no es lo mismo que un sitio web pirateado. En el caso de un hackeo de sitio web, el sitio real ha sido comprometido y tomado por ciberdelincuentes, sin necesidad de falsificación o engaño. De manera similar, el malware publicitario es una categoría propia de malware. En este caso, los ciberdelincuentes aprovechan los canales publicitarios legítimos para mostrar anuncios maliciosos en sitios web confiables. Estos anuncios cargan malware en secreto en la computadora de la víctima.

Suplantación de identificación de llamadas

Suplantación de identificación de llamadas ocurre cuando los estafadores engañan a tu identificador de llamadas haciendo que parezca que la llamada proviene de un lugar del cual no es. Los estafadores han aprendido que es más probable que respondas el teléfono si el identificador de llamadas muestra un área de código igual o cerca de tu propio. En algunos casos, los estafadores incluso falsificarán los primeros dígitos de tu número de teléfono, además del código de área, para crear la impresión de que la llamada se origina en tu vecindario (también conocido como suplantación de vecino). 

Suplantación de mensajes de texto

Suplantación de mensajes de texto o suplantación de SMS es el envío de un mensaje de texto con el número de teléfono o ID de remitente de otra persona. Si alguna vez enviaste un mensaje de texto desde tu laptop, has falsificado tu propio número de teléfono para enviar el texto, porque el mensaje de texto en realidad no se originó desde tu teléfono.

Las empresas a menudo falsifican sus propios números, para propósitos de marketing y conveniencia del consumidor, reemplazando el número largo por un identificador alfanumérico corto y fácil de recordar. Los estafadores hacen lo mismo, ocultan su verdadera identidad detrás de un identificador alfanumérico, a menudo haciéndose pasar por una empresa u organización legítima. Los mensajes de texto falsificados a menudo incluirán enlaces a sitios de phishing por SMS (smishing) o descargas de malware.

Los estafadores de mensajes de texto pueden aprovechar el mercado laboral haciéndose pasar por agencias de contratación, enviando a las víctimas ofertas de trabajo demasiado buenas para ser verdad. En un ejemplo, una posición de trabajo desde casa en Amazon incluía un "Toyota Corrola nuevo". Primero, ¿por qué necesitaría uno un automóvil de empresa si trabaja desde casa? Segundo, ¿es un Toyota "Corrola" una versión genérica del Toyota Corolla? Buen intento, estafadores.

Suplantación de GPS

Suplantación de GPS ocurre cuando engañas al GPS de tu dispositivo para que piense que estás en una ubicación, cuando en realidad estás en otra. ¿Por qué alguien querría hacer suplantación GPS? Dos palabras: Pokémon GO.

Usando la suplantación GPS, los tramposos de Pokémon GO pueden hacer que el popular juego móvil piense que están cerca de un gimnasio en el juego y tomar control de ese gimnasio (ganando así moneda del juego). De hecho, los tramposos están en un lugar completamente diferente—o en otro país. De manera similar, se pueden encontrar videos en YouTube mostrando jugadores de Pokémon GO capturando diversos Pokémon sin salir de su casa. Mientras que la suplantación GPS puede parecer cosa de niños, no es difícil imaginar que actores malintencionados pudieran usar el truco para actos más siniestros que ganar moneda en un juego móvil.

Ataque de hombre en el medio (MitM)

Los ataques Man-in-the-Middle (MitM ) pueden ocurrir cuando utilizas la Wi-Fi gratuita de tu cafetería local. ¿Ha pensado qué pasaría si un ciberdelincuente pirateara la red Wi-Fi o creara otra red Wi-Fi fraudulenta en el mismo lugar? En cualquiera de los dos casos, tendríamos un escenario perfecto para un ataque man-in-the-middle, llamado así porque los ciberdelincuentes son capaces de interceptar el tráfico web entre dos partes. La suplantación de identidad entra en juego cuando los delincuentes alteran la comunicación entre las partes para desviar fondos o solicitar información personal confidencial, como números de tarjetas de crédito o datos de acceso.

Nota al margen: Mientras que los ataques MitM usualmente interceptan datos en la red Wi-Fi, otra forma de ataque MitM intercepta los datos en el navegador. Esto se llama un ataque de hombre en el navegador (MitB).

Suplantación de extensiones

Suplantación de extensiones ocurre cuando los ciberdelincuentes necesitan disfrazar archivos de malware ejecutables. Un truco común de suplantación de extensiones que los criminales gustan usar es nombrar el archivo algo como “archivo.txt.exe”. Los criminales saben que las extensiones de archivos están ocultas por defecto en Windows, por lo que al usuario promedio de Windows este archivo ejecutable le parecerá “archivo.txt”.

Suplantación de IP

Suplantación de IP se utiliza cuando alguien quiere ocultar o disfrazar la ubicación desde la cual están enviando o solicitando datos en línea. En lo que respecta a las amenazas cibernéticas, la suplantación de dirección IP se utiliza en ataques de denegación de servicio distribuido (DDoS) para evitar que el tráfico malicioso sea filtrado y para ocultar la ubicación del atacante.

Suplantación facial

Suplantación facial podría ser la más personal, debido a las implicaciones que tiene para el futuro de la tecnología y nuestras vidas personales. Tal como están las cosas, la tecnología de identificación facial es bastante limitada. Usamos nuestras caras para desbloquear nuestros dispositivos móviles y laptops, y no mucho más. Pero pronto podríamos encontrarnos realizando pagos y firmando documentos con nuestras caras. Imagina las ramificaciones cuando puedas abrir una línea de crédito con tu cara. Cosas aterradoras.

Investigadores han demostrado cómo los modelos faciales 3D construidos a partir de tus fotos en redes sociales ya pueden usarse para hackear un dispositivo bloqueado mediante ID facial. Llevando las cosas un paso más allá, Malwarebytes Labs informó sobre la tecnología deepfake que se utiliza para crear videos de noticias falsos y cintas de sexo falsas, protagonizadas con las voces y semblantes de políticos y celebridades, respectivamente.

¿Cómo funciona la suplantación?

Hemos explorado las diversas formas de suplantación y hemos pasado por alto la mecánica de cada una. En el caso de la suplantación de correos electrónicos, sin embargo, hay un poco más que vale la pena revisar. Hay algunas maneras en que los ciberdelincuentes pueden ocultar su verdadera identidad en una suplantación de correo. La opción más infalible es hackear un servidor de correo no seguro. En este caso, el correo electrónico está, desde un punto de vista técnico, viniendo del supuesto remitente.

La opción de baja tecnología es simplemente poner cualquier dirección en el campo "De". El único problema es que si la víctima responde o el correo electrónico no puede enviarse por algún motivo, la respuesta llegará a quien figure en el campo "De", no al atacante. Esta técnica la utilizan habitualmente los spammers para utilizar correos legítimos y sortear los filtros de spam. Si alguna vez has recibido respuestas a correos electrónicos que nunca has enviado, esta es una posible razón, aparte de que tu cuenta de correo electrónico haya sido pirateada. Es lo que se denomina spam colateral.

Otra forma común en que los atacantes falsifican correos electrónicos es registrando un nombre de dominio similar al que intentan falsificar en lo que se llama un ataque de homógrafos o suplantación visual. Por ejemplo, “rna1warebytes.com”. Observa el uso del número “1” en lugar de la letra “l”. También observa el uso de las letras “r” y “n” utilizadas para simular la letra “m”. Esto tiene el beneficio adicional de dar al atacante un dominio que pueden usar para crear un sitio web falsificado.

Sea cual sea la suplantación, no siempre basta con lanzar al mundo un sitio web o un correo electrónico falsos y esperar lo mejor. El éxito de la suplantación de identidad requiere una combinación de la propia suplantación y la ingeniería social. La ingeniería social se refiere a los métodos que utilizan los ciberdelincuentes para engañarnos y conseguir que facilitemos información personal, hagamos clic en un enlace malicioso o abramos un archivo adjunto cargado de malware.

Hay muchas jugadas en el libro de jugadas de ingeniería social. Los ciberdelincuentes cuentan con las vulnerabilidades que todos tenemos como seres humanos, como el miedo, la ingenuidad, la codicia y la vanidad, para convencernos de hacer algo que realmente no deberíamos hacer. En el caso de una estafa de sextorsión, por ejemplo, podrías enviar Bitcoin al estafador porque temes que tu ropa sucia proverbial sea aireada para que todos la vean.

Las vulnerabilidades humanas tampoco son siempre malas. La curiosidad y la empatía generalmente son buenas cualidades, pero a los criminales les encanta apuntar a las personas que las demuestran.

Un ejemplo es la estafa de los nietos varados, en la que un ser querido supuestamente está en la cárcel o en el hospital en un país extranjero y necesita dinero rápidamente. Un correo electrónico o mensaje de texto podría decir, “Abuelo Joe, me arrestaron por contrabando de drogas en [insertar nombre del país]. Por favor, envía dinero, ah, y por cierto, no se lo digas a mamá y papá. ¡Eres el mejor [tres emojis de cara feliz guiñando]!” Aquí, los estafadores cuentan con el desconocimiento general de los abuelos sobre dónde está su nieto en cualquier momento dado.

“El spoofing exitoso requiere una combinación entre el propio spoof y la ingeniería social. La ingeniería social se refiere a los métodos que usan los cibercriminales para engañarnos y obtener nuestra información personal, hacer que hagamos clic en un enlace malicioso o abrir un archivo adjunto repleto de malware.”

¿Cómo detectar la suplantación?

Aquí están las señales de que estás siendo víctima de spoofing. Si ves estos indicadores, elimínalo, haz clic en el botón de retroceso, cierra tu navegador, no pases de ir.

Suplantación de sitios web

• No hay símbolo de candado o barra verde. Todos los sitios web seguros y de buena reputación necesitan tener un certificado SSL, lo que significa que una autoridad de certificación de terceros ha verificado que la dirección web realmente pertenece a la organización que está siendo verificada. Una cosa a tener en cuenta, los certificados SSL ahora son gratuitos y fáciles de obtener. Aunque un sitio puede tener un candado, eso no significa que sea auténtico. Solo recuerda, nada es 100 por ciento seguro en Internet.
• El sitio web no está usando cifrado de archivos. HTTP, o Protocolo de Transferencia de Hipertexto, es tan antiguo como Internet y se refiere a las reglas utilizadas cuando se comparten archivos a través de la web. Los sitios web legítimos casi siempre usarán HTTPS, la versión cifrada de HTTP, cuando transfieran datos de un lado a otro. Si estás en una página de inicio de sesión y ves “http” en lugar de “https” en la barra de direcciones de tu navegador, deberías sospechar.
• Utilice un gestor de contraseñas. Un gestor de contraseñas como 1Password rellenará automáticamente tus credenciales de inicio de sesión para cualquier sitio web legítimo que guardes en tu almacén de contraseñas. Sin embargo, si accedes a un sitio web fraudulento, tu gestor de contraseñas no lo reconocerá y no rellenará los campos de nombre de usuario y contraseña por ti.

Suplantación de correo electrónico

• Verifica dos veces la dirección del remitente. Como mencionamos, los estafadores registrarán dominios falsos que se vean muy similares a los legítimos.
• Busca en Google el contenido del correo electrónico. Una búsqueda rápida podría mostrarte si un correo de phishing conocido está circulando por la web.
• Los enlaces incrustados tienen URLs inusuales. Verifica las URLs antes de hacer clic pasándoles el cursor por encima.
• Errores tipográficos, mala gramática y sintaxis inusual. Los estafadores a menudo no revisan su trabajo.
• El contenido del correo electrónico parece demasiado bueno para ser verdad.
• Hay archivos adjuntos. Desconfía de los archivos adjuntos, especialmente si provienen de un remitente desconocido.

Suplantación de identificación de llamadas

• El identificador de llamadas se falsifica fácilmente. Es triste que nuestros teléfonos fijos se hayan convertido en un hervidero de llamadas fraudulentas. Es especialmente preocupante si tenemos en cuenta que la mayoría de las personas que aún tienen teléfono fijo son ancianos, el grupo más susceptible a las llamadas fraudulentas. Deje que las llamadas al teléfono fijo de desconocidos vayan al buzón de voz o al contestador automático.

¿Cómo puedo protegerme contra la suplantación?

Primero que nada, deberías aprender a identificar un ataque de spoofing. Si omitiste la sección de “¿Cómo detecto el spoofing?” deberías volver y leerla ahora.

Activa tu filtro de spam. Esto detendrá a la mayoría de los correos electrónicos de spoofing antes de que lleguen a tu bandeja de entrada.

No hagas clic en enlaces ni abras archivos adjuntos en correos electrónicos si el correo proviene de un remitente desconocido. Si hay una posibilidad de que el correo sea legítimo, ponte en contacto con el remitente a través de otro canal y confirma el contenido del correo.  

Inicia sesión a través de una pestaña o ventana separada. Si recibes un correo electrónico o mensaje de texto sospechoso, que te solicita que inicies sesión en tu cuenta y realices alguna acción, como verificar tu información, no hagas clic en el enlace proporcionado. En su lugar, abre otra pestaña o ventana y navega al sitio directamente. Alternativamente, inicia sesión a través de la aplicación dedicada en tu teléfono o tableta.

Levanta el teléfono. Si has recibido un correo electrónico sospechoso, supuestamente de alguien que conoces, no tengas miedo de llamar o enviar un mensaje de texto al remitente y confirmar que, efectivamente, enviaron el correo. Este consejo es especialmente válido si el remitente hace una solicitud fuera de lo común como, “Oye, ¿puedes comprar 100 tarjetas de regalo de iTunes y enviarme los números?. Gracias, Tu jefe.”

Muestra las extensiones de archivo en Windows. Windows no muestra las extensiones de archivo por defecto, pero puedes cambiar esa configuración haciendo clic en la pestaña “Vista” en el Explorador de archivos, y luego marcando la casilla para mostrar extensiones de archivo. Aunque esto no detendrá a los cibercriminales de falsificar extensiones de archivo, al menos podrás ver las extensiones falsificadas y evitar abrir esos archivos maliciosos.

Invierte en un buen programa antivirus. En caso de que hagas clic en un enlace o archivo adjunto malicioso, no te preocupes, un buen programa antivirus podrá alertarte de la amenaza, detener la descarga y evitar que el malware se instale en tu sistema o red. Malwarebytes, por ejemplo, tiene productos antivirus y antimalware que puedes probar gratis antes de suscribirte.

Noticias sobre suplantación

• Los estafadores están falsificando números de teléfono de bancos para robar a sus víctimas.
• Phishers suplantan a una empresa confiable de capacitación en ciberseguridad para obtener clics
• Direcciones falsificadas y envíos anónimos: nuevos fallos de Gmail facilitan el engaño
• Cuando tres no son multitud: explicación de los ataques Man-in-the-Middle (MitM)
• Trucos menos conocidos de la falsificación de extensiones

Para más lecturas sobre el spoofing y todas las últimas noticias sobre ciberamenazas, visita el blog de Malwarebytes Labs.

Historia de la suplantación

No hay nada nuevo en la suplantación. De hecho, la palabra “spoof” como una forma de engaño data de hace más de un siglo. Según el diccionario en línea Merriam-Webster, la palabra “spoof” se atribuye al comediante inglés Arthur Roberts del siglo XIX en referencia a un juego de engaño y decepción creado por Roberts. Las reglas del juego se han perdido en el tiempo. Solo podemos suponer que el juego no era muy divertido o que a los británicos de la época no les gustaba que los tomaran el pelo. Sea cual sea el caso, el nombre se mantuvo aunque el juego no.

No fue hasta principios del siglo XX que spoof se volvió sinónimo de parodia. Durante varias décadas, cada vez que alguien mencionaba “spoof” o “spoofing” era en referencia a algo divertido y positivo, como la última parodia cinematográfica de Mel Brooks o el álbum cómico de “Weird Al” Yankovic.

Hoy en día, el spoofing se utiliza con más frecuencia cuando se habla de delitos cibernéticos. Siempre que un estafador o una amenaza cibernética pretenden ser alguien o algo que no son, es spoofing.