El spoofing es un tipo de fraude en el que un atacante se hace pasar por una fuente confiable con el propósito de engañar, manipular o robar información confidencial, propagar malware o cometer fraudes financieros. Un ejemplo claro son las llamadas o los mensajes de texto que parecen proceder de los bancos, cuando en realidad el estafador ha hecho que su número de teléfono parezca ser de la entidad financiera.
Desde la consultora de seguridad Jiratek indican que lo que caracteriza a este fraude es la suplantación de identidad con apariencia de total legitimidad. “A diferencia de otros fraudes más evidentes, el spoofing busca imitar de forma muy precisa la identidad de una persona, un número de teléfono o incluso un rostro. Eso genera una sensación de confianza que hace que la víctima baje la guardia y actúe sin cuestionarlo demasiado”, señalan a INFOVERITAS.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) señalan que el spoofing es un término amplio que puede adoptar muchas formas, algunas más conocidas, como el spoofing telefónico, y otras menos conocidas o emergentes: suplantación de IP, DNS, GPS, de dominio…. No obstante, todas comparten el objetivo de suplantar una identidad de una institución o empresa legítima para engañar a los usuarios. A continuación, exploramos las distintas variantes de spoofing y cómo se usan para engañar.
Spoofing de llamada
En este caso, el estafador manipula la información que aparece en el identificador de llamadas del teléfono. Así, cuando el usuario recibe la llamada, parece que procede de su banco, su compañía telefónica o incluso de un familiar. “Existen herramientas relativamente fáciles de conseguir que permiten modificar el número mostrado, y ahí es donde reside el peligro: la persona que recibe la llamada confía en el origen y no verifica la autenticidad”, resaltan desde Jiratek.
Email Spoofing
¿Has recibido alguna vez un correo electrónico de una marca conocida donde se te informa que has recibido un premio? Se trata de un email spoofing. El atacante falsifica la dirección del remitente para que un email parezca enviado por la empresa u organismo en cuestión. En este, siempre se insta al usuario a realizar una acción a través de un link que redirige a una página web fraudulenta. Este método es ampliamente usado para obtener información confidencial o instalar malware.
Para evitar caer en esta modalidad de estafa, la recomendación del Banco Santander es ir directamente a la página del banco o de la entidad legítima a través del navegador de Internet o de un buscador y acceder a la banca electrónica a través de la página web del propio banco y no de enlaces o links de correo.
SMS Spoofing
Los usuarios reciben un SMS de su supuesto banco en el mismo hilo de mensajes oficial de la entidad bancaria. Normalmente, el mensaje contiene un enlace al que le piden acceder para actualizar o proporcionar sus datos. Esta es una técnica conocida como SMS Spoofing.
“Los delincuentes cambian el remitente para que en tu móvil aparezca el nombre de tu banco o de una institución legítima. De hecho, muchas veces los mensajes falsos se mezclan en la misma conversación donde ya tienes SMS reales, lo que aumenta la confusión. El contenido suele incluir un enlace fraudulento o un aviso urgente que te invita a actuar sin pensar”, indican desde Jiratek.
Además, resaltan desde Banco Santander, también es frecuente que el usuario reciba indicaciones “para llamar a un número de teléfono donde se le solicitará el usuario y la contraseña de su banca electrónica, el código que envía el banco al móvil para acceder o el número de tarjeta, fecha de caducidad y CVV/CVC, los tres dígitos que aparecen en la parte de atrás de la tarjeta”.
Spoofing de dominio web
Aunque ahora no caigas, seguro que en más de una ocasión has visitado alguna web fraudulenta. Los delincuentes replican la estética de una página web legítima mediante el uso de elementos similares: logos, tipografías, colores… Para hacer más creíble el engaño, indican desde INCIBE, “suelen utilizar una URL parecida a la que pretenden suplantar” para que las potenciales víctimas no se percaten del fraude. El modus operandi de estos casos siempre es el mismo: diseños que imitan al de la tienda original, precios irresistibles y enlaces patrocinados en buscadores y páginas webs para captar el mayor número de víctimas posibles.
Spoofing de DNS
En esta modalidad, el ciberdelincuente consigue infectar y acceder al router de la víctima y envenenar la caché de DNS (DNS – Domain Name Server), el sistema que traduce las direcciones web fáciles de recordar (www.info-veritas.com) a las direcciones numéricas IP. Así, los delincuentes pueden manipular los registros que se utilizan al navegar por Internet, para redirigir a los usuarios hacia un sitio web fraudulento y malicioso que puede parecerse al destino previsto por el usuario (spoofing de dominio/web).
Así, cada vez que el usuario intenta acceder a webs conocidas, como redes sociales, marketplaces, banca online o plataformas de series y películas, el navegador nos redireccionará a una web maliciosa.
Facial Spoofing
Dado que muchas personas utilizan ahora esta tecnología para desbloquear sus teléfonos o aplicaciones, los ciberdelincuentes están explorando cómo explotar las posibles vulnerabilidades de esta herramienta.
El spoofing facial, explican desde Verifik, es un fraude que consiste en simular la identidad mediante el uso de imágenes manipuladas. En esta modalidad de suplantación, los delincuentes usan diferentes métodos y herramientas para engañar a los sistemas de autenticación. Es decir, fingir estar presentes físicamente ante la cámara cuando en realidad no lo están.
“El gran problema es que resulta muy difícil de detectar de forma automática, porque las falsificaciones cada vez son más realistas. Por eso es imprescindible contar con un plan de seguridad sólido que combine biometría con otros factores de verificación y protocolos internos”, resaltan desde la consultora especializada en Ciberseguridad Jiratek.
IP Spoofing
Desde INCIBE explican que las comunicaciones en Internet se hacen mediante el envío y recepción de “paquetes”. Cada paquete lleva una dirección IP del remitente y el destinatario. En este tipo de ataques, el ciberdelincuente es capaz de falsear su dirección IP y hacerla pasar por una dirección distinta.
“De este modo, si un router tiene unas restricciones determinadas para no dejar pasar IP desconocidas o de origen poco fiable, el ciberdelincuente puede llegar a saltarse estas restricciones y hacernos llegar un paquete con malware”, agregan.
Cinco consejos para prevenir este tipo de fraudes
- La principal defensa contra el spoofing es desconfiar. Desde Jiratek aconsejan “desconfiar siempre de llamadas o mensajes que generen urgencia, incluso si parecen legítimos”.
- No pinchar en enlaces recibidos por SMS, salvo que se haya confirmado con la entidad oficial por otra vía.
- En el caso de duda de las llamadas telefónica, “colgar y volver a marcar al número oficial de la entidad en cuestión”, indican desde Jiratek.
- En el caso del reconocimiento facial, complementar con otros factores de seguridad.
- Otro de los consejos de la consultora de seguridad Jiratek es “participar en cursos de concienciación digital que aumenten la capacidad de detectar fraudes”.
Fuentes
Instituto Nacional de Ciberseguridad (INCIBE)
Declaraciones de Jiratek, consultora especializada en ciberseguridad