“Cuidado si te llama tu ‘banco’ y te pide transferir todos tus ahorros a otra cuenta por ‘#seguridad’. Podría ser #spoofing”. Con este mensaje en su cuenta oficial en X la Policía Nacional alerta de una técnica de ingeniería social llamada spoofing con la que los ciberdelincuentes suplantan la identidad de una entidad de confianza, bien mediante llamada o bien en internet, para hacerse con nuestra información sensible.
⚠️Cuidado si te llama tu "banco" y te pide transferir todos tus ahorros a otra cuenta por "#seguridad"
— Policía Nacional (@policia) March 21, 2024
✋🏼Podría ser #spoofing✋🏼 pic.twitter.com/HLGfYlQoeC
“¿Transferirías todos tus ahorros a otra cuenta si te lo pide tu banco?”, comienza el vídeo explicativo que acompaña al mensaje de la Policía Nacional en X. “Pues ojo, porque puede tratarse de spoofing. Los ‘cibermalos’ se hacen pasar por tu banco para advertirte de movimientos sospechosos entre tus cuentas y convencerte para que transfieras el dinero a otras supuestamente seguras”.
¿Cómo funciona el spoofing?
La información ofrecida por la Policía Nacional explica que mediante “un programa informático, los estafadores cambian el número de teléfono que aparece en nuestra pantalla para que sea el de nuestro banco. Y además utilizan una jerga bancaria para que nos creamos esta estafa”.
“En unos minutos consiguen que las víctimas les den todos los datos para acceder a sus cuentas y vaciarlas. Tu banco nunca te pedirá datos personales ni bancarios por teléfono, o un código que supuestamente te hayan enviado por SMS. Por lo tanto, nunca facilites datos de este modo. Ante la duda, cuelga y llama al teléfono oficial de tu entidad bancaria. Y si has sido estafado, acude a la policía”, concluye la autoridad en su mensaje informativo.
Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) señala que en el spoofing los ciberdelincuentes se valen de ciertas técnicas de hackeo para suplantar la identidad de una web, de una entidad o una persona en internet para hacerse con la información sensible de los usuarios, especialmente con contraseñas para logar acceso a los datos de las víctimas.
¿Cuántos tipos de spoofing hay?
Además de la llamada que suplanta a la entidad bancaria de las víctimas, y de acuerdo con INCIBE, hay varios tipos de spoofing. Uno de los más habituales es el de página web legítima por una fraudulenta. Esta copia el diseño de la original, incluso puede llegar a utilizar una dirección URL parecida. Además, esta institución destaca que los estafadores suelen utilizar el phishing como gancho para que las víctimas acaben en la web falsa.
Otra técnica frecuente es la suplantación de la dirección de email de una persona o una entidad de confianza. A través de esta, se solicita a la víctima información personal. Esta técnica también se emplea con números de teléfono para enviar SMS fraudulentos.
También existe el spoofing de dirección de IP, en los que los ciberdelincuentes la falsean y la hacen pasar por una distinta. Así, aunque el rúter de la víctima cuente con restricciones que impidan pasar a IP desconocidas o de origen sospechoso, los estafadores pueden saltarse esa barrera y enviar malware.
Por último, existe un tipo de spoofing mediante el que el atacante logra infectar y acceder al rúter de la víctima, y lo modifican para que, cuando esta intente acceder a una web, se le redirija a la que escoja el ciberdelincuente.