¿Qué es la suplantación de identidad en ciberseguridad?
Publicado el: 18 Jul 2022
Última modificación: 8 Sep 2025
A medida que avanza por la vida, puede encontrarse con alguien que finge ser alguien o algo que no es. Este fingimiento se conoce como «spoofing»; es probable que el spoofing haya formado parte de la humanidad desde que caminamos sobre dos piernas. La suplantación de identidad en ciberseguridad es un tipo de ingeniería social que manipula la confianza para ganarse la confianza del objetivo.
La ciberdelincuencia que implica alguna forma de ingeniería social y engaño cuesta mucho a las empresas. Por ejemplo, el FBI registró en 2021 pérdidas por valor de unos 2.400 millones de dólares atribuidas a reclamaciones por Business Email Compromise (BEC)/ Email Account Compromise (EAC), una forma sofisticada de ciberdelincuencia que utiliza algunas formas de suplantación de identidad.
A continuación le explicamos qué es la suplantación de identidad y cómo evitarla.
Definición de suplantación de identidad
La suplantación de identidad cibernética engaña a una persona haciéndole creer que alguien o algo, por ejemplo, un ordenador o un sitio web, es digno de confianza, aunque no lo sea. La suplantación de identidad se utiliza para obtener acceso a algo importante o sensible, como datos, un dispositivo o un servidor web, lo que permite a un ciberdelincuente robar información, instalar programas maliciosos o extorsionar.
Tipos de suplantación
La suplantación de identidad adopta muchas formas y probablemente seguirá adaptándose a medida que las empresas cambien sus modelos operativos. He aquí algunas de las formas más frecuentes de suplantación de identidad:
Suplantación del correo electrónico
Los estafadores crean correos electrónicos que parecen proceder de una empresa o persona determinada: la confianza es la palabra clave en este caso. Los estafadores utilizan la confianza desarrollada por marcas conocidas, como Microsoft o una persona como un director general, para engañar a la gente y conseguir que haga cosas. Por ejemplo, un correo electrónico de phishing puede parecer un correo electrónico de Office 365; el correo electrónico contendrá un enlace que, si se pulsa, lleva a un sitio web que se parece exactamente a la página de inicio de sesión de Office 365. El usuario, engañado por el sitio web de aspecto realista, introducirá sus credenciales de inicio de sesión, que serán robadas por un ciberdelincuente.
Suplantación de URL
La suplantación de direcciones de correo electrónico suele combinarse con un sitio web falso para robar credenciales de inicio de sesión u otros datos o como paso previo a la infección por malware. Una URL falsificada engaña a la persona que navega hasta ese sitio haciéndole creer que se trata del sitio web real. La URL será similar a la del sitio web real; sin embargo, este sitio web será malicioso y estará configurado para robar datos o hacer algún otro daño.
Typosquatting / suplantación de sitios web
La gente puede equivocarse fácilmente al teclear la URL de un nombre de dominio de confianza. Los estafadores utilizarán este error común para engañar a las personas haciéndoles creer que han aterrizado en el sitio web real. A partir de ahí, los estafadores utilizarán este engaño para robar credenciales de inicio de sesión u otros datos o utilizarán el sitio como trampolín para infectar un dispositivo con malware.
Suplantación de mensajes de texto
La falsificación de mensajes de texto engaña a una persona haciéndole creer que un mensaje de texto SMS procede de una empresa o persona que conoce y en la que confía. Los mensajes de texto falsos adoptan diversas formas. Algunos ejemplos incluyen textos que contienen un enlace de phishing, mensajes que parecen de un familiar pidiendo dinero y textos que parecen ser de un banco solicitando información personal o financiera.
Suplantación de IP
La dirección IP (Protocolo de Internet) es una dirección numérica de un dispositivo en Internet. Esta dirección es esencial, ya que permite la transferencia de datos hacia y desde ubicaciones de dispositivos de confianza. Los suplantadores de IP crean una dirección IP falsa para hacerse pasar por un dispositivo de confianza. Esto permite a los estafadores engañar a otro dispositivo para que reciba o envíe información sensible o personal a esa fuente. Los ataques Man-in-the-Middle (MitM) suelen funcionar mediante la suplantación de IP. Los ataques MitM interceptan los datos mientras fluyen entre las fuentes, lo que permite manipularlos o robarlos.
Suplantación profunda de identidad (suplantación facial)
Cualquier forma de comunicación fiable puede ser falsificada. A medida que los sistemas de reconocimiento facial se familiaricen y las comunicaciones digitales a distancia se normalicen, la suplantación facial (y de voz) les seguirá. La tecnología de falsificación profunda utiliza la inteligencia artificial para generar imágenes y voces realistas pero falsas de las personas. Se espera que las estafas por deep fake aumenten en los próximos años y es probable que los estafadores las utilicen para falsear las comunicaciones. Por ejemplo, la tecnología de falsificación profunda de la voz estuvo implicada en una estafa de Business Email Compromise (BEC) en 2019.
¿Cómo funciona la suplantación de identidad?
Todas las formas de suplantación de identidad tienen algo en común, utilizan la confianza entre humanos y/o ordenadores para robar o manipular datos. Al hacerse pasar por una entidad de confianza, un estafador puede manipular más fácilmente al operador humano (o al dispositivo) que se encuentra al otro lado de la transacción.
La confianza es un elemento de seguridad crucial; por ello, los estafadores se centran en manipularla y abusar de ella. La suplantación de identidad por correo electrónico y el phishing son grandes ejemplos de cómo se puede abusar de la confianza para engañar a las personas. En laencuesta «2022 Cyber Security Breaches Survey» del Gobierno británico, el 83% de las empresas británicas informaron de intentos de phishing. Además, una encuesta de Cisco de 2021 sobre las tendencias de las amenazas registró que en el 86% de las organizaciones al menos un usuario había navegado a un sitio web falso. El informe coincide en que la confianza brinda oportunidades a los estafadores cuando concluye:
«Los phishers suelen hacerse pasar por una entidad de confianza en una comunicación electrónica. Probablemente por eso es responsable del 90% (no es una errata) de las violaciones de datos».
¿Cómo protegerse contra la suplantación de identidad?
Al secuestrar nuestro instinto de confiar en algo o en alguien, los estafadores pueden solicitar y recibir información sensible con mayor facilidad. Un marco para la prevención de la suplantación de identidad debe empezar por comprender cómo funciona la confianza. Las medidas preventivas que ayudan a los empleados a detectar y detener un ataque de suplantación de identidad incluyen:
Formación de concienciación sobre la suplantación de identidad: la formación de concienciación sobre la suplantación de identidad forma parte de una campaña de formación de concienciación sobre seguridad más general y ayuda a los empleados a comprender cómo funciona la suplantación de identidad. Las tácticas de phishing y suplantación de identidad suelen ir emparejadas para manipular el comportamiento de un empleado: forme a los empleados sobre cómo los suplantadores de identidad se aprovechan de esa confianza. Por ejemplo, utilice una plataforma de simulación de ph ishing para enviar correos electrónicos de phishing simulados que utilicen elementos típicos de la suplantación de identidad, como marcas de confianza, una sensación de urgencia para actuar y un enlace a un sitio web falso.
Utilice una VPN: una Red Privada Virtual permite a un empleado ocultar su dirección IP. Esto ayuda a evitar la suplantación de IP. Una VPN también cifra los datos durante la transferencia para evitar los ataques Man-in-the-Middle.
Ejercicios de higiene de la seguridad: enseñe a los empleados la importancia de unos buenos hábitos de higiene de la seguridad. Esto debe incluir la creación y gestión sólidas de contraseñas, la autenticación de dos factores y la comprensión del control del impulso de hacer clic en un enlace o descargar un archivo adjunto en un correo electrónico o mensaje de texto.
Denuncie las suplantaciones: anime a sus empleados a denunciar cualquier sospecha (o éxito) de intento de suplantación de identidad. Las plataformas de denuncia especializadas ofrecen una forma de informar fácilmente de los casos de suplantación de identidad, lo que permite a una organización responder con rapidez y eficacia.
Implemente procesos anti-spoofing: establezca varios procesos anti-spoofing en su empresa para detener los intentos de suplantación. Por ejemplo, disponga de controles y contrapesos que establezcan que otro par de ojos debe comprobar los pagos superiores a una cantidad determinada.
La suplantación de identidad es algo con lo que el ser humano siempre se ha encontrado. Pero incluso en un mundo digitalizado, la suplantación de identidad sigue basándose en la confianza. Haciendo que los empleados sean conscientes de que se abusará de su confianza y dándoles las herramientas para reconocer los intentos de suplantación, una organización puede ayudar a protegerse de los daños cibernéticos.