Al navegar por Internet podemos encontrarnos con gran cantidad de amenazas que pueden poner en peligro nuestra privacidad o nuestra seguridad.
Esos ataques pueden consistir en páginas web fraudulentas, phishing, ransomware y un largo etcétera. El principal objetivo de todos ellos es acceder a nuestros datos personales e infectar los equipos y dispositivos.
Aquí vamos a hablar de uno de esos tipos de ataques llamado spoofing, sobre los tipos existentes, cómo funciona el spoofing, cómo distinguir los correos electrónicos y sitios web legítimos de los falsos, y cómo evitar convertirse en un blanco para los estafadores.
Indice
¿Qué es Spoofing?
Spoofing, en lo que respecta a la ciberseguridad, es cuando alguien o algo finge ser otra cosa en un intento de ganar nuestra confianza, obtener acceso a nuestros sistemas, robar datos, robar dinero o propagar malware.
Los ataques de spoofing se presentan en muchas formas, principalmente:
- Spoofing de correo electrónico
- Suplantación de sitios web y/o URL
- Identificación de llamadas falsas
- Falsificación de mensajes de texto
- Suplantación de identidad del GPS
- Ataques de hombre en el medio
- Suplantación de extensiones
- IP spoofing
- Spoofing facial
Entonces, ¿cómo nos engañan los cibercriminales?
Muchas veces, el simple hecho de invocar el nombre de una organización grande y confiable es suficiente para lograr que demos información o tomemos algún tipo de acción.
Por ejemplo, un correo electrónico falsificado de PayPal o Amazon podría preguntar sobre compras que nunca realizaste. Preocupado por tu cuenta, puedes estar motivado a hacer clic en el enlace incluido.
Desde ese enlace malicioso, los estafadores harán que descargues malware o te llevarán a una página de inicio de sesión falsa, con un logotipo familiar y una URL falsificada, con el fin de obtener tu nombre de usuario y contraseña.
Hay muchas más formas en que puede desarrollarse un ataque de spoofing. En todos ellos, los estafadores confían en la ingenuidad de sus víctimas. Si nunca dudas de la legitimidad de un sitio web y nunca sospechas que un correo electrónico es falso, es probable que en algún momento seas víctima de este tipo de ataques.
Tipos
Dentro de los tipos de spoofing podemos indicar los siguientes:
Spoofing de correo electrónico
Estrictamente hablando, el spoofing por correo electrónico es el acto de enviar correos electrónicos con direcciones de remitentes falsos, generalmente como parte de un ataque de phishing diseñado para robar tu información, infectar tu ordenador con malware o simplemente pedir dinero. Las cargas útiles típicas para correos electrónicos maliciosos incluyen ransomware, adware, cryptojackers, troyanos o malware que esclaviza su computadora en una botnet.
Pero una dirección de correo electrónico falsificada no siempre es suficiente para engañar a la persona.
Los correos electrónicos de phishing generalmente incluirán una combinación de características engañosas:
- Dirección del remitente falso diseñada para que parezca que proviene de alguien que conoce y en quien confía, posiblemente un amigo, compañero de trabajo, familiar o empresa con la que hace negocios.
- En el caso de una empresa u organización, el correo electrónico puede incluir marcas familiares; por ejemplo, logotipo, colores, fuente, etc.
- Los ataques de spear phishing se dirigen a un grupo individual o pequeño dentro de una empresa e incluirán un lenguaje personalizado y dirigirán al destinatario por su nombre.
- Errores tipográficos, muchos de ellos. Por más que intentan engañarnos, los estafadores por correo electrónico no pasan mucho tiempo revisando su propio trabajo. Las falsificaciones de correo electrónico a menudo tienen errores tipográficos. Si el correo electrónico parece que alguien tradujo el texto a través del Traductor de Google, lo más probable es que lo fuera. Ten cuidado con las construcciones de oraciones inusuales.
El spoofing por correo electrónico desempeña un papel fundamental en las estafas de sextortion. Estas estafas nos engañan haciéndonos creer que nuestras cámaras web han sido secuestradas con spywarey y nos han grabado viendo porno.
Los estafadores luego exigen una cierta cantidad de Bitcoin o enviarán el video a todos tus contactos. Para crear la impresión de legitimidad, los correos electrónicos también incluirán una contraseña desactualizada de alguna violación de datos anterior. La suplantación entra en juego cuando los estafadores ocultan el campo del remitente del correo electrónico para que parezca que está siendo enviado desde tu cuenta de correo electrónico supuestamente violada.
Spoofing web
Se trata de hacer que un sitio web malicioso se vea como uno legítimo.
El sitio falsificado se verá como la página de inicio de sesión de un sitio web que frecuentas, hasta la marca, la interfaz de usuario e incluso un nombre de dominio falso que se ve igual a primera vista.
Los ciberdelincuentes usan sitios web falsificados para capturar tu nombre de usuario y contraseña o colocar malware en tu ordenador. Un sitio web fraudulento generalmente se utilizará junto con un correo electrónico fraudulento, en el que el correo electrónico se vinculará al sitio web.
También vale la pena señalar que un sitio web falso no es lo mismo que un sitio web pirateado. En el caso de la piratería de un sitio web , el sitio web real ha sido comprometido y tomado por ciberdelincuentes, sin involucrarse en falsificaciones. Del mismo modo, la publicidad maliciosa es su propia marca de malware.
En este caso, los ciberdelincuentes han aprovechado los canales de publicidad legítimos para mostrar anuncios maliciosos en sitios web confiables. Estos anuncios cargan secretamente malware en el ordenador de la víctima.
Identificación de llamadas falsas
Ocurre cuando los estafadores engañan a su identificador de llamadas haciendo que la llamada parezca provenir de un lugar que no es.
Los estafadores han aprendido que es más probable que contestes el teléfono si el identificador de llamadas muestra un código de área igual o cercano al tuyo. En algunos casos, los estafadores incluso falsificarán los primeros dígitos de su número de teléfono además del código de área para crear la impresión de que la llamada se origina en su vecindario.
Spoofing por SMS
Consiste en enviar un mensaje de texto con el número de teléfono o la identificación del remitente de otra persona.
Las compañías frecuentemente falsifican sus propios números, con fines de comercialización y conveniencia para el consumidor, al reemplazar el número largo con una identificación alfanumérica de remitente corta y fácil de recordar.
Los estafadores hacen lo mismo: esconden su verdadera identidad detrás de una identificación alfanumérica del remitente, a menudo haciéndose pasar por una empresa u organización legítima. Los textos falsificados a menudo incluirán enlaces a sitios de phishing de SMS o descargas de malware.
Los estafadores de mensajes de texto ahora están aprovechando el mercado laboral al hacerse pasar por agencias de personal, enviando a las víctimas a ofertas de trabajo en apariencia verdaderas.
Por ejemplo, se envió una oferta de un trabajo desde casa de Amazon que incluía un «Toyota Corrola completamente nuevo». En primer lugar, ¿por qué se necesita un automóvil de la empresa si trabajan desde casa? Segundo, ¿es un Toyota «Corrola» una versión genérica del Toyota Corolla?. Buen intento, estafadores.
Spoofing de GPS
Se produce cuando engañas al GPS de tu dispositivo para que piense que estás en una ubicación, cuando realmente estás en otra ubicación.
¿Por qué en la Tierra alguien querría falsificar el GPS? Dos palabras: Pokémon GO.
Usando la suplantación de GPS, los tramposos de Pokémon GO pueden hacer que el popular juego móvil piense que están cerca de un gimnasio en el juego y hacerse cargo de ese gimnasio. De hecho, los tramposos están en una ubicación o país completamente diferente. Del mismo modo, se pueden encontrar videos en YouTube que muestran a los jugadores de Pokémon GO capturando varios Pokémon sin salir de su casa.
Si bien la falsificación de GPS puede parecer un juego de niños, hay otras implicaciones más nefastas a considerar. Según algunas cuentas, Rusia ya está utilizando la suplantación de identidad por GPS para desviar los buques navales como prueba para futuros ataques de guerra cibernética en aviones no tripulados de los Estados Unidos.
Los piratas informáticos podrían incluso falsificar el GPS de su automóvil y enviarlo al destino equivocado.
Ataques de hombre en el medio
¿Te gusta esa conexión Wi-Fi gratuita en tu cafetería local? ¿Has considerado lo que sucedería si un ciberdelincuente pirateara la conexión Wi-Fi o creara otra red Wi-Fi fraudulenta en la misma ubicación?
En cualquier caso, existe una configuración perfecta para un ataque de hombre en el medio, llamado así porque los ciberdelincuentes pueden interceptar el tráfico web entre dos partes. El ataque entra en juego cuando los delincuentes alteran la comunicación entre las partes para redirigir fondos o solicitar información personal confidencial como números de tarjetas de crédito o inicios de sesión.
Suplantación de extensiones
Ocurre cuando los ciberdelincuentes necesitan disfrazar archivos ejecutables de malware.
Un truco de falsificación de extensión común que a los delincuentes les gusta usar es nombrar el archivo como «filename.txt.exe». Los delincuentes saben que las extensiones de archivo están ocultas de forma predeterminada en Windows, por lo que para el usuario promedio de Windows este archivo ejecutable aparecerá como «filename.txt».
IP spoofing
Se utiliza cuando alguien quiere ocultar o disfrazar la ubicación desde la que envía o solicita datos en línea. Como se aplica a las amenazas cibernéticas, la suplantación de direcciones IP se utiliza en ataques distribuidos de denegación de servicio (DDoS) para evitar que se filtre el tráfico malicioso y ocultar la ubicación del atacante.
Spoofing facial
La última forma de ataque podría ser la más personal, debido a las implicaciones que tiene para el futuro de la tecnología y nuestras vidas personales.
Actualmente, la tecnología de identificación facial es bastante limitada. Usamos nuestras caras para desbloquear nuestros dispositivos móviles y ordenadores portátiles. Sin embargo, muy pronto, podríamos encontrarnos haciendo pagos y firmando documentos con nuestras caras.
Imagina las ramificaciones cuando puede abrir una línea de crédito con su cara. Cosas de miedo. Los investigadores han demostrado cómo los modelos faciales en 3D construidos a partir de sus imágenes en las redes sociales ya se pueden usar para piratear un dispositivo bloqueado mediante identificación facial.
También existe la tecnología deepfake que se utiliza para crear vídeos de noticias falsas y cintas de sexo falsas, con las voces y semejanzas de políticos y celebridades, respectivamente.
¿Cómo funciona?
Hemos explorado las diversas formas de spoofing y hemos pasado por alto la mecánica de cada una. Sin embargo, en el caso del spoofing por correo electrónico, vale la pena revisar un poco más.
Hay algunas maneras en que los ciberdelincuentes pueden ocultar su verdadera identidad en una suplantación de correo electrónico. La opción más infalible es hackear un servidor de correo no seguro . En este caso, el correo electrónico proviene, desde un punto de vista técnico, del supuesto remitente.
La opción de baja tecnología es simplemente poner cualquier dirección en el campo «De». El único problema es que si la víctima responde o si el correo electrónico no puede enviarse por alguna razón, la respuesta irá a quien esté en la lista del campo «De», no al atacante.
Esta técnica es utilizada comúnmente por los spammers para usar correos electrónicos legítimos para pasar los filtros de spam. Si alguna vez has recibido respuestas a correos electrónicos que nunca enviaste, esta es una posible razón, aparte de que tu cuenta de correo electrónico ha sido pirateada. Esto se denomina retrodifusión o spam colateral.
Otra forma común en que los atacantes falsifican correos electrónicos es registrando un nombre de dominio similar al que están tratando de falsificar en lo que se llama un ataque homógrafo o suplantación visual.
Para que un ataque de spoofing tenga éxito se necesita una combinación de la suplantación en sí misma y la ingeniería social.
La ingeniería social se refiere a los métodos que utilizan los ciberdelincuentes para engañarnos para que entreguemos información personal, hagamos clic en un enlace malicioso o abramos un archivo adjunto cargado de malware.
Los cibercriminales cuentan con las vulnerabilidades que todos tenemos como seres humanos, como el miedo, la ingenuidad, la avaricia y la vanidad, para convencernos de hacer algo que realmente no deberíamos estar haciendo.
Las vulnerabilidades humanas tampoco siempre son malas. La curiosidad y la empatía son generalmente buenas cualidades, pero a los delincuentes les encanta apuntar a las personas que las exhiben.
Un ejemplo: la estafa en la que supuestamente un ser querido está en la cárcel o en el hospital en un país extranjero y necesita dinero rápido. Un correo electrónico o mensaje de texto podría decir: «Abuelo, he sido arrestado por contrabando de drogas en [nombre del país]. Por favor envíame fondos, por cierto, no se lo digas a mamá y papá. Eres el mejor» Aquí los estafadores cuentan con la falta general de conocimiento del abuelo sobre dónde está su nieto en un momento dado.
¿Cómo detecto el spoofing?
Estas son las señales de que estás siendo engañado. Si ves estos indicadores, presiona Eliminar, haz clic en el botón Atrás o cierra tu navegador.
Suplantación de sitios web
- Sin símbolo de candado o barra verde. Todos los sitios web seguros y de buena reputación deben tener un certificado SSL, lo que significa que una autoridad de certificación externa ha verificado que la dirección web realmente pertenece a la organización que se está verificando. Una cosa a tener en cuenta, los certificados SSL ahora son gratuitos y fáciles de obtener. Si bien un sitio puede tener un candado, eso no significa que sea el verdadero negocio. Solo recuerde, nada es 100 por ciento seguro en Internet.
- El sitio web no está utilizando el cifrado de archivos HTTP, se refiere a las reglas utilizadas al compartir archivos en la web. Los sitios web legítimos casi siempre usarán HTTPS, la versión encriptada de HTTP, al transferir datos de un lado a otro. Si estás en una página de inicio de sesión y ves «http» en lugar de «https» en la barra de direcciones de su navegador, debes sospechar.
- Utiliza un administrador de contraseñas. Un administrador de contraseñas completará automáticamente tus credenciales de inicio de sesión para cualquier sitio web legítimo que guardes en tu lista de contraseñas. Sin embargo, si navegas en un sitio web falsificado, tu administrador de contraseñas no reconocerá el sitio y no completará los campos de nombre de usuario y contraseña, una buena señal de que está siendo falsificado.
Suplantación de correo electrónico
- Vuelve a verificar la dirección del remitente. Como se mencionó, los estafadores registrarán dominios falsos que se parecen mucho a los legítimos.
- Busca en Google el contenido del correo electrónico. Una búsqueda rápida podría mostrarte si un correo electrónico de phishing conocido se está abriendo camino en la web.
- Los enlaces incrustados tienen URL inusuales. Puedes verificar las URL antes de hacer clic pasando el cursor sobre ellas.
- Errores tipográficos, mala gramática y sintaxis inusual. Los estafadores no corrigen su trabajo.
- El contenido del correo electrónico es demasiado bueno para ser verdad.
- Hay archivos adjuntos. Ten cuidado con los archivos adjuntos, especialmente cuando proviene de un remitente desconocido.
Identificación de llamadas falsas
El identificador de llamadas se falsifica fácilmente. Nuestros teléfonos fijos se han convertido en un foco de llamadas fraudulentas . Es especialmente preocupante si se considera que la mayoría de las personas que todavía tienen teléfonos fijos son ancianos, el grupo más susceptible a las llamadas fraudulentas. Deja que las llamadas al teléfono fijo de personas desconocidas se dirijan al correo de voz o al contestador automático.
Medidas de protección frente el spoofing
Estas son las principales medidas que debes adoptar para evitar ser vítima de spoofing.
- Activa el filtro de spam. Esto evitará que la mayoría de los correos electrónicos falsificados lleguen a tu bandeja de entrada.
- No hagas clic en enlaces ni abras archivos adjuntos en correos electrónicos si el correo electrónico proviene de un remitente desconocido. Si existe la posibilidad de que el correo electrónico sea legítimo, comunícate con el remitente a través de otro canal y confirma el contenido del correo electrónico.
- Inicia sesión a través de una pestaña o ventana separada. Si recibes un correo electrónico o mensaje de texto sospechoso, solicitando que inicies sesión en tu cuenta y realices algún tipo de acción, no hagas clic en el enlace proporcionado. En su lugar, abre otra pestaña o ventana y navegua al sitio directamente.
- Coger el teléfono. Si has recibido un correo electrónico sospechoso, supuestamente de alguien que conoces, llama o envia un mensaje de texto al remitente para confirmar que envió el correo electrónico. Este consejo es especialmente cierto si el remitente hace una solicitud sospechosa.
- Mostrar extensiones de archivo en Windows. Windows no muestra las extensiones de archivo de manera predeterminada, pero puedes cambiar esa configuración haciendo clic en la pestaña «Ver» en el Explorador de archivos y luego marcando la casilla para mostrar las extensiones de archivo. Si bien esto no evitará que los ciberdelincuentes falsifiquen extensiones de archivo, al menos podrás ver las extensiones falsificadas y evitar abrir esos archivos maliciosos.
- Invierte en un buen programa de ciberseguridad. En caso de que hagas clic en un enlace o archivo adjunto incorrecto, no te preocupes, un buen programa de ciberseguridad podrá alertarte sobre la amenaza, detener la descarga y evitar que el malware se establezca en tu sistema o red.