Spoofing: ¿qué es y cómo protegerse?

Imagine que recibe un correo electrónico de su Director Financiero pidiéndole urgentemente que valide una transferencia. Todo parece normal: la misma dirección, la misma firma, el mismo tono. Excepto que... no es él. Bienvenido al mundo del spoofing.

Detrás de esta palabra más bien técnica se esconde una amenaza muy real para las empresas y sus empleados. El spoofing, o arte de usurpar una identidad digital, es una puerta de entrada a numerosos ataques: robo de datos, fraude, infiltración en los sistemas, etc. Y, sin embargo, muy pocos equipos están preparados para hacerle frente.

Que no cunda el pánico: se lo explicamos todo. ¿Qué es la suplantación de identidad, cómo funciona, cuáles son los riesgos y, sobre todo, cómo puede protegerse? Eso es lo que analizamos juntos en este artículo.

Definición de spoofing

El spoofing es una técnica de suplantación de identidad digital. En términos prácticos, consiste en falsificar información para que parezca proceder de una fuente legítima. Dirección de correo electrónico, número de teléfono, sitio web, GPS... todo puede disfrazarse para engañar al objetivo.

Es un poco como si alguien se pusiera una máscara de tu jefe para venir a hablar contigo: la voz, la cara, el tono... todo parece real. Excepto que no es él, y quiere acceder a tus datos de acceso.

El spoofing se utiliza a menudo como preludio de otros ataques, como el phishing, el malware o el ransomware. En las empresas, la suplantación de identidad puede dirigirse tanto a los empleados como a los sistemas de información.

Los diferentes tipos de spoofing

Existen varias formas de suplantación de identidad, en función de los canales de comunicación utilizados por los atacantes. He aquí un resumen de las más utilizadas.

Suplantación de direcciones IP

El atacante falsifica su dirección IP para enmascarar su verdadero origen. Esto permite eludir las restricciones de acceso o lanzar ataques DDoS (denegación de servicio). Este tipo de spoofing es difícil de detectar sin herramientas especializadas, porque todo parece "venir de dentro".

Suplantación de identidad por correo electrónico

Esta es una de las formas más extendidas. El atacante envía un correo electrónico haciéndose pasar por una persona de confianza (director general, director financiero, proveedor de servicios, etc.). La dirección del remitente está falsificada y el mensaje suele incitar al destinatario a realizar una acción rápida: hacer clic en un enlace malicioso, abrir un archivo adjunto o validar una transacción bancaria.

Esta técnica es especialmente formidable por su sencillez. El protocolo SMTP utilizado para los correos electrónicos no comprueba sistemáticamente la identidad del remitente. Sin protección, cualquiera puede "fingir" ser quien dice ser.

Suplantación telefónica (usurpación de identidad durante las llamadas)

También conocido como "caller ID spoofing", este proceso permite a un estafador llamar desde un número falsificado, a menudo el de un banco o una autoridad pública. El objetivo: recopilar datos sensibles (códigos de tarjetas, identificadores, etc.) jugando con la confianza.

Este tipo de suplantación afecta especialmente a los equipos poco formados en este tipo de amenazas.

Suplantación de sitios web (DNS spoofing)

Se trata de manipular los sistemas de nombres de dominio (DNS) para redirigir a los usuarios de Internet a un sitio falso con el mismo aspecto que un sitio oficial. Ejemplo: un portal de HRIS falso o una interfaz de inicio de sesión de Google falsa.

Los usuarios, confiados, introducen sus credenciales... que son inmediatamente capturadas por el atacante.

Suplantación de identidad por SMS

Los mensajes SMS falsos utilizan un nombre de remitente falsificado. Imitan marcas o servicios conocidos para animar a los destinatarios a hacer clic en enlaces fraudulentos. Este método, que ha ido en aumento en los últimos años, se dirige tanto a clientes como a empleados.

¿Cómo funciona la suplantación de identidad?

La suplantación de identidad se basa en fallos de los protocolos de comunicación, que no comprueban sistemáticamente la legitimidad de la fuente. Es el caso del correo electrónico, el teléfono y el DNS.

El atacante utiliza herramientas para modificar los campos de cabecera de un mensaje o manipular DNS. También pueden utilizar software malicioso para tomar el control de máquinas o robar identificadores.

En todos los casos, el objetivo es engañar: hacer creer que la petición es legítima para empujarles a actuar. Y cuanto más urgente es la petición, mayores son las posibilidades de éxito.

¿Cómo se detecta la suplantación de identidad?

Se pueden utilizar ciertas técnicas para detectar la suplantación de identidad antes de que sea demasiado tarde. He aquí algunas señales que deberían alertarle de inmediato:

• Un extraño correo electrónico de un colega, pero con un tono inusual;
  
  
• Una dirección de remitente que "parece" correcta, pero no lo es al 100% (por ejemplo, @goooogle.com en lugar de @google.com);
  
  
• Llamada de un número conocido solicitando información sensible;
  
  
• Un sitio web con un diseño familiar, pero una URL ligeramente diferente.
  
  

Los ataques de suplantación de identidad suelen basarse en detalles minúsculos. Un buen ojo, junto con lasherramientas de seguridad adecuadas, puede marcar la diferencia.

Riesgos y consecuencias de la suplantación de identidad

Las consecuencias para las empresas pueden ser de gran alcance:

• Fuga de datos sensibles (identificadores, datos de RRHH, documentos confidenciales, etc.) ;
  
  
• Fraude financiero: transferencias bancarias malversadas, fraude presidencial, etc. ;
  
  
• Pérdida de confianza de empleados y/o clientes;
  
  
• Daño a la reputación en caso de usurpación de dominio o dirección de correo electrónico.
  
  

Y, como suele ocurrir, las consecuencias no son evidentes de inmediato. Algunos ataques de suplantación de identidad se configuran a lo largo del tiempo, en modo oculto, para maximizar su eficacia (y sus daños).

¿Cómo puedo protegerme de la suplantación de identidad?

No basta con saber qué es el spoofing. También hay que tomar medidas concretas para evitarlo en la medida de lo posible.

Buenas prácticas para las empresas

La prevención se basa en 3 pilares: formación, vigilancia y tecnología.

• Conciencie a sus equipos sobre los ataques de usurpación de identidad;
  
  
• Establezca una política clara sobre sus canales de comunicación oficiales;
  
  
• Compruebe sistemáticamente las solicitudes inusuales;
  
  
• Centralice sus herramientas digitales en una plataforma fiable y supervisada.
  
  

Para saber más, lea nuestros consejos sobre ciberseguridad para empresas.

Herramientas y programas informáticos de protección

Se pueden utilizar varios protocolos para reforzar la seguridad del correo electrónico:

• SPF (Sender Policy Framework): comprueba que el servidor remitente está autorizado ;
  
  
• DKIM (DomainKeys Identified Mail): autentica el contenido del mensaje ;
  
  
• DMARC: política de gestión del correo electrónico no conforme.
  
  

Además, existen herramientas que le permiten supervisar el estado de su seguridad digital de forma continua. Entre ellas, cortafuegos, antimalware, sistemas antiintrusión y escáneres de vulnerabilidades. 

Echamos un vistazo más de cerca a las herramientas que necesita para la ciberseguridad en nuestro artículo dedicado.

¿Qué hacer en caso de suplantación de identidad?

En caso de intento (o sospecha) de suplantación de identidad :

1. No hagas clic en nada, no respondas;
   
   
2. Alerte inmediatamente a su departamento informático o proveedor de servicios externo;
   
   
3. Conserve una copia del mensaje o número para su análisis;
   
   
4. Actualice sus contraseñas si es necesario;
   
   
5. Notifique el incidente a la CNIL o a las autoridades competentes.
   
   

En rzilient, nuestro soporte informático externalizado apoya a sus equipos en tiempo real para responder a este tipo de situaciones, incluso de forma remota.

Preguntas frecuentes sobre la suplantación de identidad :

¿Cuáles son las diferencias entre spoofing y phishing?

El phishing atrapa a la víctima con un mensaje fraudulento, a menudo por correo electrónico o mensaje de texto. La suplantación de identidad, por su parte, es la técnica utilizada para hacerse pasar por el remitente. En otras palabras, la suplantación suele ser el medio y el phishing el fin.

¿Es ilegal la suplantación de identidad?

Sí, cuando se utiliza para perjudicar a terceros, suplantar la identidad de otros u obtener acceso a información confidencial, la suplantación de identidad entra en el ámbito de aplicación de la ley. Se considera un delito penal. Existen sanciones tanto para la usurpación de identidad como para el fraude relacionado.

¿Quiénes son los principales objetivos del spoofing?

Los ataques se dirigen principalmente a :

• Empleados con acceso a datos sensibles (RRHH, finanzas, gestión);
• Organizaciones en fase de crecimiento o reestructuración;
• Las empresas muy pequeñas están mal equipadas.

¿Cómo denuncio un intento de suplantación de identidad?

Puede :

• Póngase en contacto con su departamento informático o con su proveedor de ciberseguridad;
  
  
• Denuncie el correo electrónico a través de su bandeja de entrada (por ejemplo, con el botón "Denunciar como phishing") ;
  
  
• Reenvíe el correo electrónico sospechoso a Signal Spam (Francia) ;
  
  
• Presente una denuncia por usurpación de identidad digital si es necesario.
  
  

Conclusión

El spoofing no es una amenaza futurista. Ya está aquí, en nuestros sistemas de mensajería, nuestros teléfonos móviles y nuestras herramientas cotidianas. Y como se basa en la usurpación de la confianza, es aún más peligrosa en un contexto profesional.

La buena noticia es que también es posible protegerse contra ellos. Combinando la vigilancia humana, las herramientas adecuadas y la automatización inteligente, las empresas pueden recuperar el control.

En rzilient, ayudamos a los equipos de TI, RRHH y Finanzas a reforzar su seguridad digital en el día a día, sin sobrecargar sus procesos. Una plataforma "todo en uno", flujos de trabajo personalizados y una asistencia humana reactiva: es todo lo que necesitas para acabar con la suplantación de identidad.

¿Necesita un socio para proteger sus herramientas y a sus empleados? Póngase en contacto con nosotros para hablar de sus necesidades.

‍

‍

‍