A lo largo de la vida, es posible que te encuentres con alguien que finge ser alguien o algo que no es. Esta pretensión se conoce como "spoofing"; el spoofing ha sido probablemente parte de la humanidad desde que caminamos sobre dos piernas. El spoofing en ciberseguridad es un tipo de ingeniería social que manipula la confianza para ganarse la confianza del objetivo.
La ciberdelincuencia que implica alguna forma de ingeniería social y engaño cuesta mucho a las empresas. Por ejemplo, el FBI registró pérdidas por valor de unos 2.400 millones de dólares en 2021 atribuidas a denuncias de Business Email Compromise (BEC)/Email Account Compromise (EAC), una forma sofisticada de ciberdelincuencia que utiliza algunas formas de suplantación de identidad.
A continuación se explica qué es la suplantación de identidad y cómo prevenirla.
Definición de Spoofing
La suplantación de identidad engaña a una persona haciéndole creer que alguien o algo, por ejemplo, un ordenador o un sitio web, es de confianza, aunque no lo sea. La suplantación se utiliza para obtener acceso a algo importante o sensible, como datos, un dispositivo o un servidor web, lo que permite a un ciberdelincuente robar información, instalar malware o extorsionar.
Tipos de suplantación de identidad
El spoofing adopta muchas formas y probablemente seguirá adaptándose a medida que las empresas cambien sus modelos operativos. Estas son algunas de las formas más frecuentes de spoofing:
Falsificación del correo electrónico
Los estafadores crean correos electrónicos que parecen proceder de una empresa o persona determinada: la confianza es la palabra clave aquí. Los estafadores utilizan la confianza desarrollada por marcas conocidas, como Microsoft o una persona como un director general, para engañar a la gente para que haga cosas. Por ejemplo, un correo electrónico de phishing puede parecer un correo electrónico de Office 365; el correo electrónico contendrá un enlace que, si se hace clic, va a un sitio web que se parece exactamente a la página de inicio de sesión de Office 365. El usuario, engañado por el sitio web de aspecto realista, introducirá sus credenciales de inicio de sesión, que luego serán robadas por un ciberdelincuente.
Falsificación de URL
El spoofing del correo electrónico suele ir acompañado de un sitio web falso para robar las credenciales de acceso u otros datos o como paso previo a la infección de malware. Una URL falsa engaña a la persona que navega a ese sitio haciéndole creer que es el sitio web real. La URL será similar a la del sitio web real; sin embargo, este sitio web será malicioso y estará configurado para robar datos o hacer algún otro daño.
Typosquatting / suplantación de sitios web
La gente puede equivocarse fácilmente al escribir la URL de un nombre de dominio de confianza. Los estafadores utilizan este error común para hacer creer a los usuarios que han llegado al sitio web real. A partir de ahí, los estafadores utilizarán este engaño para robar las credenciales de inicio de sesión u otros datos, o utilizarán el sitio como trampolín para infectar un dispositivo con malware.
Falsificación de mensajes de texto
El spoofing de textos engaña a una persona haciéndole creer que un mensaje de texto SMS procede de una empresa o persona que conoce y en la que confía. Los mensajes de texto falsos se presentan de varias formas. Algunos ejemplos son los textos que contienen un enlace de suplantación de identidad, los mensajes que parecen de un familiar pidiendo dinero y los textos que parecen ser de un banco solicitando información personal o financiera.
Suplantación de IP
Las direcciones IP (Protocolo de Internet) son una dirección numérica de un dispositivo en Internet. Esta dirección es esencial, ya que permite la transferencia de datos hacia y desde ubicaciones de dispositivos de confianza. Los suplantadores de IP crean una dirección IP falsa para hacerse pasar por un dispositivo de confianza. Esto permite a los estafadores engañar a otro dispositivo para que reciba o envíe información sensible o personal a esa fuente. Los ataques Man-in-the-Middle (MitM) suelen funcionar mediante la suplantación de IP. Los ataques MitM interceptan los datos mientras fluyen entre las fuentes, lo que permite manipularlos o robarlos.
Falsificación profunda (facial spoofing)
Cualquier forma de comunicación de confianza puede ser falsificada. A medida que los sistemas de reconocimiento facial se familiaricen y las comunicaciones digitales a distancia se normalicen, la suplantación facial (y de voz) seguirá. La tecnología de falsificación profunda utiliza la inteligencia artificial para generar imágenes y voces realistas pero falsas de las personas. Se espera que las estafas por falsificación profunda aumenten en los próximos años y es probable que los estafadores las utilicen para falsear las comunicaciones. Por ejemplo, la tecnología de voz falsa profunda estuvo implicada en una estafa de compromiso de correo electrónico empresarial (BEC ) en 2019.
¿Cómo funciona la suplantación de identidad?
Todas las formas de suplantación de identidad tienen algo en común: utilizan la confianza entre humanos y/o ordenadores para robar o manipular datos. Al hacerse pasar por una entidad de confianza, un estafador puede manipular más fácilmente al operador humano (o al dispositivo) que está al otro lado de la transacción.
La confianza es un elemento de seguridad crucial; por ello, los estafadores se centran en manipular y abusar de la confianza. La suplantación de identidad por correo electrónico y el phishing son grandes ejemplos de cómo se puede abusar de la confianza para suplantar a las personas. En laencuesta"2022 Cyber Security Breaches Survey" del Gobierno del Reino Unido, el 83% de las empresas británicas informaron de intentos de phishing. Además, una encuesta de Cisco de 2021 sobre las tendencias de las amenazas registró que el 86% de las organizaciones tenían al menos un usuario que navegaba a un sitio web falso. El informe coincide con el hecho de que la confianza ofrece oportunidades a los estafadores cuando concluye:
"Los phishers suelen hacerse pasar por una entidad de confianza en una comunicación electrónica. Probablemente por eso es la causa del 90% (no es una errata) de las violaciones de datos".
¿Cómo protegerse de la suplantación de identidad?
Al secuestrar nuestro instinto de confiar en algo o en alguien, los estafadores pueden solicitar y recibir más fácilmente información sensible. Un marco para la prevención de la suplantación de identidad debe empezar por comprender cómo funciona la confianza. Las medidas preventivas que ayudan a los empleados a detectar y detener un ataque de suplantación de identidad incluyen:
Formación sobre la suplantación de identidad: la formación sobre la suplantación de identidad forma parte de una campaña de formación sobre seguridad más general y ayuda a los empleados a entender cómo funciona la suplantación de identidad. Las tácticas de phishing y spoofing a menudo se combinan para manipular el comportamiento de un empleado: forme a los empleados sobre cómo los spoofers explotan esa confianza. Por ejemplo, utilice una plataforma de simulación de phishing para enviar correos electrónicos de phishing simulados que utilicen elementos típicos de spoofing, como marcas de confianza, una sensación de urgencia para actuar y un enlace a un sitio web falso.
Utilizar una VPN: una red privada virtual permite al empleado ocultar su dirección IP. Esto ayuda a evitar la suplantación de IP. Una VPN también encripta los datos durante la transferencia para evitar los ataques Man-in-the-Middle.
Ejercicios de higiene de la seguridad: enseñe a los empleados la importancia de los buenos hábitos de higiene de la seguridad. Esto debe incluir la creación y gestión de contraseñas sólidas, la autenticación de dos factores y la comprensión del control del impulso de hacer clic en un enlace o descargar un archivo adjunto en un correo electrónico o mensaje de texto.
Informar sobre la suplantación de identidad: anime a sus empleados a informar sobre cualquier intento de suplantación de identidad que se sospeche (o tenga éxito). Las plataformas especializadas en la presentación de informes ofrecen una forma de notificar fácilmente los casos de suplantación de identidad, lo que permite a la organización responder con rapidez y eficacia.
Despliegue procesos anti-spoofing: establezca varios procesos anti-spoofing en su empresa para detener los intentos de suplantación. Por ejemplo, tenga controles y equilibrios que establezcan que otro par de ojos debe comprobar los pagos que superen una determinada cantidad.
La suplantación de identidad es algo que el ser humano siempre ha encontrado. Pero incluso en un mundo digitalizado, la suplantación sigue dependiendo de la confianza. Si los empleados son conscientes de que se abusa de su confianza y se les da las herramientas para reconocer los intentos de suplantación, una organización puede ayudar a protegerse de los daños cibernéticos.