¿Qué es un ataque de suplantación de identidad?

Definición de suplantación de identidad

La suplantación de identidad (o spoofing) es una técnica mediante la cual un ciberdelincuente suplanta la identidad de una fuente conocida o fiable. La suplantación de identidad puede adoptar muchas formas, como correos electrónicos falsificados, suplantación de IP, suplantación de DNS, suplantación de GPS, suplantación de sitios web y llamadas falsificadas.

De este modo, el adversario puede interactuar con la víctima y acceder a sus sistemas o dispositivos con el objetivo final de robar información, extorsionar para obtener dinero o instalar malware u otro software dañino en el dispositivo.

¿Cómo funciona la suplantación de identidad?

Las técnicas de suplantación de identidad varían según el tipo de ataque. Por ejemplo, en la suplantación de correos, el adversario puede piratear un servidor de correo no seguro para ocultar su verdadera identidad. En un ataque de intermediario (MITM), un adversario puede crear un punto de acceso Wi-Fi para interceptar cualquier actividad web y recopilar información personal. También existen técnicas de suplantación de identidad relativamente simples o no técnicas, como alterar el campo “De” en una dirección de correo electrónico.

Es bastante común que los ciberdelincuentes falsifiquen múltiples puntos de contacto, como una dirección de correo electrónico y un sitio web, para iniciar la comunicación y llevar a cabo el ataque real. Por ejemplo, los ciberdelincuentes pueden falsificar una dirección de correo electrónico para atraer a una víctima potencial y luego utilizar un sitio web falsificado para capturar las credenciales de inicio de sesión del usuario u otra información. Familiarizarse con los diferentes tipos de ataques de suplantación de identidad es fundamental para comprender cómo funciona esta técnica.

Tipos de ataques de suplantación de identidad

Los ataques de suplantación de identidad adoptan muchas formas, desde las relativamente simples hasta las más avanzadas. Los tipos más comunes de ataques de suplantación de identidad incluyen los siguientes:

Suplantación de correos

Uno de los tipos más comunes de ataques de suplantación de identidad es la suplantación de correos electrónicos. Esto ocurre cuando un ciberdelincuente pretende ser un contacto conocido, familiar o plausible alterando el campo “De” para que coincida con un contacto fiable o imitando el nombre y la dirección de correo de un contacto conocido. Por ejemplo, una dirección de correo electrónico falsificada puede utilizar un cero (0) en lugar de la letra O, o sustituir una I mayúscula por una L minúscula. Esto se denomina ataque homógrafo o suplantación visual (visual spoofing).

En la mayoría de los ataques de suplantación de correos, el mensaje contiene enlaces a sitios web maliciosos o archivos adjuntos infectados. El ciberdelincuente también puede emplear técnicas de ingeniería social para convencer al destinatario de que divulgue datos personales u otra información sensible.

Suplantación de identidad en llamadas

De modo similar a como ocurre en la suplantación de correos, la suplantación de identidad en llamadas enmascara el número de teléfono real de un adversario con uno que resulta familiar. Si el destinatario contesta el teléfono, los ciberdelincuentes suelen hacerse pasar por un agente de atención al cliente para recopilar información personal, como la siguiente:

• Número de la Seguridad Social
• Fecha de nacimiento
• Datos bancarios
• Contraseñas

Algunos ataques avanzados de suplantación de identidad en llamadas telefónicas pueden redirigir la llamada a un operador internacional o de larga distancia, lo que provoca que la víctima acumule facturas con importes elevados.

Suplantación de dominios o sitios web

La suplantación de dominios ocurre cuando un ciberdelincuente crea un sitio web que imita a otro existente, a menudo cambiando ligeramente los nombres de dominio. El objetivo de estos ataques es que los usuarios intenten iniciar sesión en su cuenta, momento en el que el ciberdelincuente puede registrar sus credenciales de cuenta u otra información personal. El ciberdelincuente puede entonces utilizar las credenciales en un sitio web legítimo o vender la información. Los ataques de suplantación de sitios web generalmente se desencadenan mediante una suplantación de correos, lo que significa que el ciberdelincuente primero se comunica utilizando una cuenta de correo electrónico ficticia y luego dirige el tráfico al sitio web suplantado.

Suplantación de IP

Un ciberdelincuente puede alterar su dirección IP para ocultar su identidad real o suplantar a otro usuario. Los adversarios avanzados suelen recurrir a esta técnica en los ataques DoS. Mediante esta técnica, los ciberdelincuentes alteran su dirección IP para inundar de tráfico el sitio de la víctima, limitando el acceso a los usuarios auténticos. Más información sobre los ataques DoS.

Suplantación del protocolo de resolución de direcciones (ARP)

El protocolo de resolución de direcciones (ARP) es el proceso de hacer coincidir direcciones IP con direcciones de control de acceso al medio (MAC) para transmitir datos. En un ataque de suplantación de ARP, el adversario vincula su MAC a una dirección IP de red legítima para poder recibir datos destinados al propietario de esa dirección IP. La suplantación de ARP se utiliza comúnmente para robar o modificar datos. Con todo, también se puede utilizar en ataques DoS y de intermediario (MITM), o en secuestros de sesiones.

Suplantación de GPS

La suplantación de GPS es el acto de alterar el GPS de un dispositivo para que se registre en una ubicación diferente de la ubicación física del usuario. Si bien esta técnica la utilizan principalmente los jugadores de juegos en línea, como Pokémon GO, tiene implicaciones mucho más siniestras. Por ejemplo, la suplantación de GPS se puede emplear para redirigir los sistemas de navegación en vehículos de todo tipo, incluidos automóviles de pasajeros, aviones comerciales, buques de guerra, autobuses públicos y demás.

Ataque de intermediario (MITM)

Un ataque de intermediario (MITM) es un tipo de ciberataque en el que un tercero espía la comunicación entre un usuario de la red y una aplicación web. El objetivo de este ataque es recopilar información a escondidas, como datos personales, contraseñas o información bancaria, o suplantar la identidad de alguno de los implicados en la comunicación para solicitar información adicional o incitar a una acción determinada, como cambiar las credenciales de inicio de sesión, completar una transacción o iniciar una transferencia de fondos. Este tipo de ataque a menudo incluye suplantación de correos, suplantación de sitios web o ambos para motivar la actividad y llevar a cabo la transferencia de datos.

Suplantación facial

Una técnica de suplantación de identidad emergente está relacionada con el reconocimiento facial. Dado que ahora muchas personas utilizan dicha tecnología para desbloquear sus teléfonos o aplicaciones, los ciberdelincuentes están estudiando cómo pueden explotar posibles vulnerabilidades. Por ejemplo, los investigadores han demostrado que es posible utilizar modelos faciales 3D creados a partir de imágenes disponibles en las redes sociales para desbloquear el dispositivo del usuario mediante reconocimiento facial. Otras implicaciones de esta tecnología incluyen la simulación de secuencias de vídeo embarazosas o incluso delictivas de individuos de alto perfil, como celebridades, políticos y líderes empresariales, con el fin de extorsionarles y pedirles dinero.

¿Cómo puedo detectar la suplantación de identidad?

En muchos casos, los ataques de suplantación de identidad son relativamente fáciles de detectar y prevenir con diligencia y concienciación. Ofrecemos la siguiente lista de preguntas que los usuarios pueden emplear para identificar un ataque de suplantación de identidad:

• ¿Se ha requerido la solicitud? Por ejemplo, si un usuario recibe un correo electrónico de restablecimiento de contraseña sin solicitarlo al sitio, puede tratarse de un intento de suplantación de identidad.
• ¿El mensaje solicita información confidencial? Las empresas y agencias gubernamentales legítimas nunca pedirán a las personas que compartan información confidencial, como contraseñas o números de la Seguridad Social, por correo electrónico o teléfono.
• ¿La organización está utilizando un dominio diferente? Al recibir un mensaje con enlaces, pasa el cursor sobre el texto del hipervínculo para consultar una vista previa del destino del enlace. Los bancos, los hospitales, las escuelas u otros proveedores de servicios legítimos jamás intentarán enrutar la actividad o la comunicación a través de una URL que no coincida con su dominio actual.
• ¿El sitio web o el enlace llevan a una dirección HTTPS? Los sitios seguros casi siempre utilizan HTTPS, la versión cifrada de HTTP, cuando transfieren datos.
• ¿El mensaje contiene un archivo adjunto no solicitado? Las empresas legítimas dirigirán a los usuarios a su sitio web oficial para acceder y descargar archivos. Nunca descargues un archivo adjunto no solicitado, incluso de una fuente fiable o conocida, como un familiar o un compañero de trabajo.
• ¿El mensaje está personalizado y es profesional? Los proveedores de servicios con buena reputación se comunicarán con los clientes de manera personalizada y profesional. Muy pocos comenzarán sus correos electrónicos u otros mensajes con saludos genéricos, como "Estimado cliente" o "A quien corresponda".
• ¿El mensaje contiene errores gramaticales y ortográficos evidentes? Una de las formas más fáciles de detectar un intento de suplantación de identidad es a través de faltas ortográficas o gramaticales, un diseño deficiente o una estrategia de marca pobre. Es una técnica que emplean deliberadamente los hackers para descartar a los usuarios más inteligentes y atrapar a los objetivos más incautos.

¿Cómo puedo protegerme de los ataques de suplantación de identidad?

Para los usuarios cotidianos, la mejor forma de protegerse contra la suplantación de identidad es estar atentos a las señales de dicho ataque. Como se indicó anteriormente, deben tenerse en cuenta las siguientes recomendaciones:

• Nunca hagas clic en enlaces no solicitados ni descargues archivos adjuntos inesperados.
• Inicia sesión en tu cuenta siempre a través de una pestaña de navegador nueva o de la aplicación oficial, no desde un enlace de un correo electrónico o mensaje.
• Acede solo a URL que comiencen con HTTPS.
• Nunca compartas información personal, como números de identificación, números de cuenta o contraseñas, por teléfono o correo electrónico.
• Cuando un representante del servicio al cliente se comunique contigo por teléfono o correo electrónico, realiza una búsqueda en Google para determinar si el número o la dirección están asociados con alguna estafa.
• Usa un gestor de contraseñas, que introducirá de manera segura una contraseña guardada en un sitio reconocido (pero no en uno suplantado).
• Utiliza un filtro para spam para no recibir en tu bandeja de entrada la mayoría de correos electrónicos falsificados.
• Invierte en software de ciberseguridad, que detectará muchas amenazas e incluso evitará que algunas infecten tu dispositivo.
• Habilita la autenticación en 2 pasos si es posible para ponérselo más difícil aún a los ciberdelincuentes.

Debido a la naturaleza avanzada del panorama de amenazas, así como a la complejidad de las operaciones comerciales globales, las organizaciones deben aprovechar las últimas tecnologías digitales para mantenerse un paso por delante del adversario cibernético.