En los últimos tiempos hemos oído hablar muy a menudo de phishing, uno de los ciberataques más comunes, cuyo objetivo es robar información privada y/o confidencial de la víctima, como contraseñas y/o números de tarjetas de crédito.

Hoy queremos fijarnos en otra técnica muy habitual que a veces se confunde con el phishing: el spoofing o suplantación de identidad.

Spoofing vs phishing: similares pero diferentes

A menudo el phishing se confunde con el spoofing (del inglés spoof, que significa falsificar o burlar) porque a menudo son utilizados simultáneamente y/o consiguen el mismo resultado. Para entender la diferencia, solo hay que fijarse en el foco de ambos ataques.

Mientras que cuando hablamos de phishing debemos fijarnos en el objetivo de los ciberdelincuentes (robar información confidencial), al hablar de spoofing el foco recae en la acción realizada: la suplantación de identidad.

Mientras que el phishing se basa principalmente en la ingeniería social (aprovechando que los usuarios, manipulables, son el eslabón débil de cualquier ataque), el spoofing o suplantación de identidad puede utilizar otras técnicas y/o métodos con tal de hacer creer que la interacción es confiable (proviene de una fuente conocida) y segura.

Además, la suplantación de identidad puede provocar otros delitos o daños colaterales sin la necesidad de robar información confidencial (personal o profesional), como por ejemplo propagar malware u otro software malicioso, e incluso para preparar el terreno para ataques posteriores.

Las técnicas de suplantación de identidad

Son muchas las técnicas utilizadas por los ciberdelincuentes en el spoofing.

E-mail spoofing

Una de las más comunes es la que modifica aspectos de un correo electrónico como el remitente o el asunto para simular una fuente confiable y engañar a la víctima. Es utilizada para la difusión de spam, y también para ataques de phishing (robo de información).

A menudo este tipo de correos animan al usuario a actualizar las contraseñas o cambiar las credenciales de acceso a un servicio web, pero también acostumbran a enviar contenido más irrelevante junto a un archivo adjunto que contiene malware.

SMS spoofing

Si en lugar de correo electrónico hablamos de mensajería móvil (SMS pero también WhatsApp y otras aplicaciones similares) estamos hablando de SMS spoofing.

En este caso, los atacantes consiguen que los mensajes no solo parezcan de un remitente conocido, sino que además se muestren integrados en una cadena de mensajes verídica.

Web spoofing

La segunda técnica más utilizada, a veces en combinación con el e-mail spoofing, es la creación de páginas web falsas que suplantan a una real copiando o utilizando una URL muy similar.

Aunque lo habitual es la creación de formularios con los que los ciberdelincuentes buscan obtener información confidencial, a veces no es necesario introducir ningún dato. Hay páginas web fraudulentas capaces de tomar el control de todo el tráfico del navegador, e incluso de nuestro equipo, desde el momento en el que accedemos a una de ellas.

IP spoofing

Entre los métodos más técnicos para realizar spoofing destaca la suplantación de la IP de la víctima, saltándose las restricciones del router para tomar el control de todos los dispositivos conectados a una red local.

Una vez consumado uno de estos ataques, toda la información y comunicaciones que circulen por la red vinculada a esa dirección IP pueden ser alteradas, para realizar acciones como robar información confidencial, instalar software malicioso y otros ciberdelitos.

DNS spoofing

Una vez se ha infectado y se tiene el control de un router, también pueden modificarse los DNS o nombres dominio.

De esta manera, cada vez que la víctima accede a una web, especialmente a servicios personales, los ciberdelincuentes tienen la capacidad de redirigirlos fácilmente y de manera silenciosa a una web fraudulenta.

ARP spoofing

Otro ataque vinculado a las redes locales es el que toma el control del protocolo ARP, imprescindible para transmitir datos en redes ethernet.

Si esta suplantación tiene éxito, los atacantes pueden espiar todas las comunicaciones entre los dispositivos conectados a dicha red local.

GPS spoofing

Finalmente, existe también un tipo de suplantación de identidad menos habitual y muy compleja, pero al mismo tiempo muy peligrosa.

Falsificar la señal de GPS no solo permite utilizar de manera ilegítima la ubicación de dispositivos móviles para camuflar ubicaciones falsas, sino que puede engañar a toda clase de dispositivos y, en el caso de movilidad o transportes, provocar accidentes.

Prevención: recomendaciones para evitar el spoofing

Para evitar y luchar contra la suplantación de identidad estas son las recomendaciones de los expertos:

Atentos a cualquier elemento sospechoso

Ante la avalancha de ciberataques de spoofing, es recomendable estar muy atento a ciertos detalles de los correos electrónicos o mensajes que resulten sospechosos. Esto incluye revisar el remitente (que el nombre y el dominio sean los correctos) y el cuerpo de los mensajes, buscando faltas de ortografía, errores gramaticales o estructuras extrañas.

No abrir ni enlaces ni archivos sospechosos

En el caso de recibir correos electrónicos o mensajes de identidad dudosa o sospechosa, evitar siempre abrir directamente los enlaces o archivos adjuntos que contengan, especialmente cuando son comunicaciones que demandan urgencia. De esta manera evitaremos no solo el robo de información, sino la también la instalación de virus, malware o troyanos.

En cualquier caso, es mejor abrir un navegador y, en modo privado, copiar allí la ruta, y en caso de duda consultar directamente al remitente verdadero (persona o empresa) por otras vías.

Atención a la solicitud de información

En el caso de mensajes que soliciten la introducción de datos personales en formularios o el envío de información confidencial, hay que sospechar por defecto, especialmente si se trata de datos bancarios.

Hay que recordar, por ejemplo, que ningún banco nos va a solicitar nunca información confidencial o credenciales de acceso, ni por correo electrónico ni a través de mensajería.

Revisar la URL

Igual que hay que fijarse con cautela en los mensajes, lo mismo ocurre con las direcciones web. Además de fijarse en que cumplan el protocolo https (con el candado que asegura una conexión segura) y que sean exactamente como debe ser la dirección original (a veces solo falta una letra o está cambiada).

Utilización de soluciones de cifrado y anti-spam

Cuando hablamos de datos altamente confidenciales, es recomendable usar soluciones de cifrado que doten a nuestras comunicaciones de una capa extra de seguridad y protección.

Además, el uso de firewall y el filtro de direcciones IP facilita la neutralización de conexiones entrantes sospechosas, y los filtros anti-spam nos ayudarán a detectar con mayor facilidad identidades fraudulentas.

Contraseñas robustas y autenticación de dos factores

Si hablamos de ataques de spoofing que impliquen la conexión a Internet o las redes locales, hay medidas de ciberseguridad aparentemente muy genéricas pero que mejoran la protección.

Hablamos, por ejemplo, de cambiar la contraseña por defecto del router, crear contraseñas robustas para los servicios que más utilizamos (y cambiarlas periódicamente) o de utilizar la autenticación de dos factores.

Actualizaciones al día

Como ya hemos dicho en otras ocasiones, otra medida básica para evitar la suplantación de identidad es la actualización de sistemas operativos y software, para disponer de los últimos parches de seguridad. 

Conclusiones

La conclusión es que, para evitar el spoofing, hay que navegar con precaución, conscientes de los riesgos y siempre alerta ante elementos sospechosos de dudosa procedencia.

También recomendamos consultar la guía “Cómo aprender a identificar fraudes online” de la Oficina de Seguridad del Internauta. Y, ante un ataque consumado, es muy útil comunicarlo al Instituto Nacional de Ciberseguridad (INCIBE) para evitar que le pueda ocurrir a más personas.