¿Qué es un ataque de suplantación de identidad?

El spoofing es cuando alguien o algo se hace pasar por otra cosa en un intento de ganarse la confianza de una víctima, obtener acceso a un sistema, robar datos o propagar malware.

.st0{fill:#0D3ECC;} DESCARGAR MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

¿Qué es el spoofing? Definición de spoofing

El spoofing, en lo que respecta a la ciberseguridad, es cuando alguien o algo se hace pasar por otra cosa en un intento de ganarse nuestra confianza, obtener acceso a nuestros sistemas, robar datos, robar dinero o propagar malware. Los ataques de suplantación de identidad pueden adoptar muchas formas:

  • Suplantación de identidad por correo electrónico
  • Suplantación de sitios web y/o URL
  • Suplantación del identificador de llamadas
  • Falsificación de mensajes de texto
  • Suplantación de GPS
  • Ataques de intermediario
  • Suplantación de extensiones
  • Suplantación de IP
  • Suplantación facial

Entonces, ¿cómo nos engañan los ciberdelincuentes? A menudo, basta con invocar el nombre de una gran organización de confianza para conseguir que facilitemos información o realicemos algún tipo de acción. Por ejemplo, un correo falso de PayPal o Amazon puede preguntarle por compras que nunca ha realizado. Preocupado por su cuenta, podría sentirse motivado para hacer clic en el enlace incluido.

Desde ese enlace malicioso, los estafadores le enviarán a una página web con una descarga de malware o una página de inicio de sesión falsa -completa con un logotipo familiar y una URL falsa-con el fin de obtener su nombre de usuario y contraseña.

Hay muchas más formas de llevar a cabo un ataque de suplantación de identidad. En todas ellas, los estafadores confían en que las víctimas caigan en la trampa. Si nunca dudas de la legitimidad de un sitio web y nunca sospechas que un correo electrónico es falso, en algún momento podrías ser víctima de un ataque de suplantación de identidad.

Por eso, esta página trata sobre la suplantación de identidad. Le explicaremos los tipos de suplantación de identidad, cómo funciona, cómo distinguir los correos electrónicos y sitios web legítimos de los falsos y cómo evitar convertirse en objetivo de los estafadores.

"Spoofing, en lo que respecta a la ciberseguridad, es cuando alguien o algo se hace pasar por otra cosa en un intento de ganarse nuestra confianza, obtener acceso a nuestros sistemas, robar datos, robar dinero o propagar malware."

Tipos de suplantación de identidad

Suplantación de identidad por correo electrónico

La suplantación de identidad por correo electrónico es el acto de enviar correos electrónicos con direcciones de remitente falsas, normalmente como parte de un ataque de phishing diseñado para robar su información, infectar su ordenador con malware o simplemente pedirle dinero. Las cargas útiles típicas de los correos electrónicos maliciosos incluyen ransomware, adware, cryptojackers, troyanos (como Emotet) o malware que esclaviza su ordenador en una botnet (véase DDoS).

Pero una dirección de correo electrónico falsa no siempre es suficiente para engañar al ciudadano de a pie. Imagina que recibes un correo electrónico de phishing con lo que parece ser una dirección de Facebook en el campo del remitente, pero el cuerpo del correo electrónico está escrito en texto básico, sin diseño ni HTML, ni siquiera un logotipo. Esto no es algo que estemos acostumbrados a recibir de Facebook, y debería hacer saltar las alarmas. En consecuencia, los correos electrónicos de phishing suelen incluir una combinación de características engañosas:

  • Dirección de remitente falsa diseñada para que parezca que procede de alguien que conoce y en quien confía, posiblemente un amigo, un compañero de trabajo, un familiar o una empresa con la que hace negocios. 
  • En el caso de una empresa u organización, el correo electrónico puede incluir la marca familiar; por ejemplo, logotipo, colores, fuente, botón de llamada a la acción, etc.
  • Los ataques de spear phishing se dirigen a un individuo o a un pequeño grupo dentro de una empresa e incluyen lenguaje personalizado y se dirigen al destinatario por su nombre.
  • Errores tipográficos, muchos. Por mucho que intenten engañarnos, los estafadores no suelen dedicar mucho tiempo a corregir su propio trabajo. Las falsificaciones de correos electrónicos suelen contener erratas o parecer que alguien ha traducido el texto con Google Translate. Desconfíe de las construcciones de frases inusuales; es poco probable que empresas como Facebook o PayPal cometan este tipo de errores en sus correos electrónicos a los clientes. 

La suplantación del correo electrónico desempeña un papel fundamental en las estafas de sextorsión. Estas estafas nos engañan haciéndonos creer que nuestras cámaras web han sido secuestradas con spyware y utilizadas para grabarnos viendo porno. Estos correos electrónicos falsos dirán algo así como "Te he estado viendo ver porno", que es algo increíblemente extraño. ¿Quién es el verdadero asqueroso en este caso?

A continuación, los estafadores exigen una cierta cantidad de Bitcoin u otra criptomoneda o, de lo contrario, enviarán el vídeo a todos tus contactos. Para crear la impresión de legitimidad, los correos electrónicos también pueden incluir una contraseña obsoleta de alguna violación de datos anterior. La suplantación de identidad entra en juego cuando los estafadores disfrazan el campo del remitente del correo electrónico para que parezca que se envía desde su cuenta de correo electrónico supuestamente violada. Tenga la seguridad de que lo más probable es que nadie le esté vigilando.

Suplantación de sitios web

La suplantación de sitios web consiste en hacer que un sitio web malicioso parezca legítimo. El sitio falsificado se parecerá a la página de inicio de sesión de un sitio web que usted frecuenta, hasta la marca, la interfaz de usuario e incluso un nombre de dominio falsificado que parece el mismo a primera vista. Los ciberdelincuentes utilizan sitios web falsos para hacerse con su nombre de usuario y contraseña (suplantación de inicio de sesión) o para introducir malware en su ordenador ( drive-by download). Por lo general, un sitio web falso se utiliza junto con un correo electrónico falso, en el que el correo electrónico enlaza con el sitio web.

También hay que tener en cuenta que un sitio web falsificado no es lo mismo que un sitio web pirateado. En el caso del pirateo de un sitio web, el sitio web real ha sido comprometido y tomado por los ciberdelincuentes, sin falsificación. Del mismo modo, el malvertising es un tipo propio de malware. En este caso, los ciberdelincuentes han aprovechado canales publicitarios legítimos para mostrar anuncios maliciosos en sitios web de confianza. Estos anuncios cargan secretamente malware en el ordenador de la víctima.

Suplantación del identificador de llamadas

La suplantación del identificador de llamadas se produce cuando los estafadores engañan a tu identificador de llamadas haciendo que parezca que la llamada procede de un lugar que no es. Los estafadores han aprendido que es más probable que contestes al teléfono si el identificador de llamadas muestra un prefijo igual o cercano al tuyo. En algunos casos, los estafadores incluso falsifican los primeros dígitos de su número de teléfono, además del prefijo, para dar la impresión de que la llamada procede de su vecindario. 

Falsificación de mensajes de texto

La suplantación de identidad de mensajes de texto o SMS consiste en enviar un mensaje de texto con el número de teléfono o ID de remitente de otra persona. Si alguna vez has enviado un mensaje de texto desde tu ordenador portátil, has suplantado tu propio número de teléfono para enviar el mensaje, porque en realidad el texto no se originó en tu teléfono.

Las empresas suelen falsificar sus propios números, con fines de marketing y comodidad para el consumidor, sustituyendo el número largo por un identificador de remitente alfanumérico corto y fácil de recordar. Los estafadores hacen lo mismo: ocultan su verdadera identidad tras un identificador de remitente alfanumérico, a menudo haciéndose pasar por una empresa u organización legítima. Los mensajes falsos suelen incluir enlaces a sitios de phishing por SMS(smishing) o descargas de malware.

Los estafadores que envían mensajes de texto pueden aprovecharse del mercado de trabajo haciéndose pasar por agencias de colocación y enviando a las víctimas ofertas de empleo demasiado buenas para ser ciertas. En un ejemplo, un puesto de trabajo desde casa en Amazon incluía un "Toyota Corrola nuevo". En primer lugar, ¿para qué se necesita un coche de empresa si se trabaja desde casa? Segundo, ¿es un Toyota "Corrola" una versión genérica del Toyota Corolla? Buen intento, estafadores.

Suplantación de GPS

La suplantación de GPS se produce cuando engañas al GPS de tu dispositivo para que piense que estás en una ubicación, cuando en realidad estás en otra. ¿Por qué alguien querría hacer una suplantación de GPS? Dos palabras: Pokémon GO.

Mediante la suplantación del GPS, los tramposos de Pokémon GO pueden hacer creer al popular juego para móviles que están cerca de un gimnasio del juego y hacerse con él (ganando dinero del juego). En realidad, los tramposos se encuentran en un lugar o país completamente distinto. Del mismo modo, se pueden encontrar vídeos en YouTube que muestran a jugadores de Pokémon GO capturando varios Pokémon sin salir de casa. Aunque la suplantación del GPS puede parecer un juego de niños, no es difícil imaginar que los actores de amenazas podrían utilizar el truco para actos más nefastos que ganar dinero del juego móvil.

Ataque Man-in-the-Middle (MitM)

Los ataques Man-in-the-Middle (MitM ) pueden ocurrir cuando utilizas la Wi-Fi gratuita de tu cafetería local. ¿Ha pensado qué pasaría si un ciberdelincuente pirateara la red Wi-Fi o creara otra red Wi-Fi fraudulenta en el mismo lugar? En cualquiera de los dos casos, tendríamos un escenario perfecto para un ataque man-in-the-middle, llamado así porque los ciberdelincuentes son capaces de interceptar el tráfico web entre dos partes. La suplantación de identidad entra en juego cuando los delincuentes alteran la comunicación entre las partes para desviar fondos o solicitar información personal confidencial, como números de tarjetas de crédito o datos de acceso.

Nota al margen: Mientras que los ataques MitM suelen interceptar los datos en la red Wi-Fi, otra forma de ataque MitM intercepta los datos en el navegador. Esto se denomina ataque del hombre en el navegador (MitB).

Suplantación de extensiones

La suplantación de extensiones se produce cuando los ciberdelincuentes necesitan camuflar archivos maliciosos ejecutables. Un truco común de suplantación de extensiones que les gusta utilizar a los delincuentes es nombrar el archivo con algo parecido a "nombrearchivo.txt.exe". Los delincuentes saben que las extensiones de archivo están ocultas por defecto en Windows , de modo que para el usuario medio de Windows este archivo ejecutable aparecerá como "nombrearchivo.txt".

Suplantación de IP

La suplantación de IP se utiliza cuando alguien quiere ocultar o disfrazar la ubicación desde la que envía o solicita datos en línea. En lo que respecta a las ciberamenazas, la suplantación de direcciones IP se utiliza en los ataques distribuidos de denegación de servicio (DDoS ) para evitar que se filtre el tráfico malicioso y ocultar la ubicación del atacante.

Suplantación facial

La suplantación facial podría ser la más personal, por las implicaciones que conlleva para el futuro de la tecnología y nuestra vida personal. En la actualidad, la tecnología de identificación facial es bastante limitada. Usamos nuestras caras para desbloquear nuestros dispositivos móviles y portátiles, y no mucho más. Sin embargo, dentro de poco podríamos hacer pagos y firmar documentos con la cara. Imagina las ramificaciones cuando puedas abrir una línea de crédito con tu cara. Qué miedo.

Los investigadores han demostrado que los modelos faciales en 3D creados a partir de tus fotos en las redes sociales ya pueden utilizarse para piratear un dispositivo bloqueado mediante identificación facial. Yendo un paso más allá, Malwarebytes Labs informó sobre el uso de la tecnología deepfake para crear vídeos de noticias falsas y vídeos sexuales falsos, con la voz y la imagen de políticos y famosos, respectivamente.

¿Cómo funciona la suplantación de identidad?

Hemos explorado las diversas formas de suplantación de identidad y hemos repasado la mecánica de cada una de ellas. En el caso de la suplantación de identidad por correo electrónico, sin embargo, hay algo más que merece la pena repasar. Hay varias formas de que los ciberdelincuentes oculten su verdadera identidad en una suplantación de correo electrónico. La opción más infalible es piratear un servidor de correo inseguro. En este caso, el correo electrónico procede, desde un punto de vista técnico, del supuesto remitente.

La opción de baja tecnología es simplemente poner cualquier dirección en el campo "De". El único problema es que si la víctima responde o el correo electrónico no puede enviarse por algún motivo, la respuesta llegará a quien figure en el campo "De", no al atacante. Esta técnica la utilizan habitualmente los spammers para utilizar correos legítimos y sortear los filtros de spam. Si alguna vez has recibido respuestas a correos electrónicos que nunca has enviado, esta es una posible razón, aparte de que tu cuenta de correo electrónico haya sido pirateada. Es lo que se denomina spam colateral.

Otra forma común en que los atacantes falsifican correos electrónicos es registrando un nombre de dominio similar al que intentan falsificar en lo que se denomina ataque homógrafo o suplantación visual. Por ejemplo, "rna1warebytes.com". Observe el uso del número "1" en lugar de la letra "l". Observe también el uso de las letras "r" y "n" para simular la letra "m". Esto tiene la ventaja añadida de proporcionar al atacante un dominio que puede utilizar para crear un sitio web falso.

Sea cual sea la suplantación, no siempre basta con lanzar al mundo un sitio web o un correo electrónico falsos y esperar lo mejor. El éxito de la suplantación de identidad requiere una combinación de la propia suplantación y la ingeniería social. La ingeniería social se refiere a los métodos que utilizan los ciberdelincuentes para engañarnos y conseguir que facilitemos información personal, hagamos clic en un enlace malicioso o abramos un archivo adjunto cargado de malware.

Hay muchas jugadas en el libro de jugadas de la ingeniería social. Los ciberdelincuentes cuentan con las vulnerabilidades que todos tenemos como seres humanos, como el miedo, la ingenuidad, la codicia y la vanidad, para convencernos de que hagamos algo que realmente no deberíamos hacer. En el caso de una estafa de sextorsión, por ejemplo, es posible que envíes Bitcoin al estafador porque temes que tus proverbiales trapos sucios salgan a la luz para que todo el mundo los vea.

Las vulnerabilidades humanas tampoco son siempre malas. La curiosidad y la empatía suelen ser buenas cualidades, pero a los delincuentes les encanta atacar a quienes las muestran.

Un ejemplo es la estafa de los nietos desamparados, en la que un ser querido está supuestamente en la cárcel o en el hospital en un país extranjero y necesita dinero rápido. Un correo electrónico o un mensaje de texto puede decir: "Abuelo Joe, me han detenido por contrabando de drogas en [introduzca el nombre del país]. Por favor, envíame fondos y, por cierto, no se lo digas a mamá ni a papá. Eres el mejor [tres emojis de cara feliz guiñando un ojo]". En este caso, los estafadores cuentan con el desconocimiento general de los abuelos sobre dónde se encuentra su nieto en cada momento.

"El éxito de la suplantación de identidad requiere una combinación de la propia suplantación y la ingeniería social. La ingeniería social se refiere a los métodos que utilizan los ciberdelincuentes para engañarnos y conseguir que demos información personal, hagamos clic en un enlace malicioso o abramos un archivo adjunto cargado de malware."

¿Cómo se detecta la suplantación de identidad?

Estos son los signos de que estás siendo víctima de un spoofing. Si ves estos indicadores, pulsa eliminar, haz clic en el botón atrás, cierra el navegador, no pases de largo.

Suplantación de sitios web

  • Sin símbolo de candado ni barra verde. Todos los sitios web seguros y de buena reputación deben tener un certificado SSL, lo que significa que una autoridad de certificación externa ha verificado que la dirección web pertenece realmente a la organización verificada. Hay que tener en cuenta que los certificados SSL son gratuitos y fáciles de obtener. Aunque un sitio tenga un candado, eso no significa que sea auténtico. Recuerde que en Internet nada es seguro al cien por cien.
  • El sitio web no utiliza encriptación de archivos. HTTP, o Protocolo de Transferencia de Hipertexto, es tan antiguo como Internet y se refiere a las reglas utilizadas cuando se comparten archivos a través de la web. Los sitios web legítimos casi siempre utilizan HTTPS, la versión cifrada de HTTP, cuando transfieren datos de un lado a otro. Si estás en una página de inicio de sesión y ves "http" en lugar de "https" en la barra de direcciones de tu navegador, deberías sospechar.
  • Utilice un gestor de contraseñas. Un gestor de contraseñas como 1Password rellenará automáticamente tus credenciales de inicio de sesión para cualquier sitio web legítimo que guardes en tu almacén de contraseñas. Sin embargo, si accedes a un sitio web fraudulento, tu gestor de contraseñas no lo reconocerá y no rellenará los campos de nombre de usuario y contraseña por ti, una buena señal de que estás siendo víctima de una suplantación.

Suplantación de identidad por correo electrónico

  • Compruebe la dirección del remitente. Como ya se ha dicho, los estafadores registran dominios falsos muy parecidos a los legítimos.
  • Busca en Google el contenido del correo electrónico. Una búsqueda rápida puede mostrarte si un correo electrónico de phishing conocido está circulando por la red.
  • Los enlaces incrustados tienen URL inusuales. Compruebe las URL antes de hacer clic pasando el cursor sobre ellas.
  • Errores tipográficos, mala gramática y sintaxis inusual. Los estafadores no suelen corregir su trabajo.
  • El contenido del correo electrónico es demasiado bueno para ser cierto.
  • Hay archivos adjuntos. Desconfíe de los archivos adjuntos, sobre todo si proceden de un remitente desconocido.

Suplantación del identificador de llamadas

  • El identificador de llamadas se falsifica fácilmente. Es triste que nuestros teléfonos fijos se hayan convertido en un hervidero de llamadas fraudulentas. Es especialmente preocupante si tenemos en cuenta que la mayoría de las personas que aún tienen teléfono fijo son ancianos, el grupo más susceptible a las llamadas fraudulentas. Deje que las llamadas al teléfono fijo de desconocidos vayan al buzón de voz o al contestador automático.

¿Cómo puedo protegerme contra la suplantación de identidad?

Lo primero y más importante es que aprendas a detectar un ataque de spoofing. En caso de que te hayas saltado la sección "¿Cómo detecto el spoofing?", deberías volver a leerla ahora.

Activa el filtro antispam. Esto evitará que la mayoría de los correos electrónicos falsos lleguen a tu bandeja de entrada.

No hagas clic en los enlaces ni abras los archivos adjuntos de los correos electrónicos si proceden de un remitente desconocido. Si existe la posibilidad de que el mensaje sea legítimo, ponte en contacto con el remitente a través de otro canal y confirma el contenido del mensaje.  

Inicia sesión a través de otra pestaña o ventana. Si recibes un correo electrónico o mensaje de texto sospechoso en el que se te solicita que inicies sesión en tu cuenta y realices algún tipo de acción, por ejemplo, verificar tu información, no hagas clic en el enlace proporcionado. En su lugar, abre otra pestaña o ventana y navega directamente al sitio. También puede acceder a través de la aplicación específica de su teléfono o tableta.

Coge el teléfono. Si has recibido un correo electrónico sospechoso, supuestamente de alguien que conoces, no tengas miedo de llamar o enviar un mensaje de texto al remitente y confirmar que, efectivamente, te lo ha enviado. Este consejo es especialmente válido si el remitente hace una petición fuera de lugar como: "Oye, ¿podrías comprar 100 tarjetas regalo de iTunes y enviarme por correo electrónico los números de las tarjetas? Gracias, tu jefe".

Mostrar las extensiones de archivo en Windows. Windows no muestra las extensiones de archivo por defecto, pero puede cambiar esta configuración haciendo clic en la pestaña "Ver" del Explorador de archivos y marcando la casilla para mostrar las extensiones de archivo. Aunque esto no impedirá que los ciberdelincuentes falsifiquen las extensiones de los archivos, al menos podrá ver las extensiones falsificadas y evitar abrir esos archivos maliciosos.

Invierte en un buen programa antivirus. En caso de que hagas clic en un enlace o archivo adjunto malicioso, no te preocupes, un buen programa antivirus podrá alertarte de la amenaza, detener la descarga y evitar que el malware se instale en tu sistema o red. Malwarebytes, por ejemplo, tiene productos antivirus y antimalware que puedes probar gratis antes de suscribirte.

Noticias sobre spoofing

Para más información sobre la suplantación de identidad y las últimas noticias sobre ciberamenazas, visite el blogMalwarebytes Labs .

Historia de la suplantación de identidad

El spoofing no es nada nuevo. De hecho, la palabra "spoof" como forma de engaño se remonta a hace más de un siglo. Según el diccionario en línea Merriam-Webster, la palabra "spoof" se atribuye al cómico inglés del siglo XIX Arthur Roberts en referencia a un juego de engaño y superchería creado por Robert. Las reglas del juego se han perdido en el tiempo. Sólo podemos suponer que el juego no era muy divertido o que a los británicos de la época no les gustaba que les tomaran el pelo. Sea como fuere, el nombre perduró, aunque el juego no.

No fue hasta principios del siglo XX cuando spoof se convirtió en sinónimo de parodia. Durante varias décadas, cuando alguien mencionaba "spoof" o "spoofing" se refería a algo divertido y positivo, como la última parodia cinematográfica de Mel Brooks o el álbum cómico de "Weird Al" Yankovic.

Hoy en día, la suplantación de identidad se utiliza con más frecuencia cuando se habla de ciberdelincuencia. Cuando un estafador o una ciberamenaza se hace pasar por alguien o algo que no es, se trata de spoofing.