Ya no sirve de nada verificar quién se comunica con nosotros, porque hasta eso se puede trampear.
En los últimos años, no dejamos de sumar a la lista innumerables nuevas ciberamenazas a la seguridad de los usuarios. Una de estas amenazas (o, más bien, toda una categoría de las mismas) es el llamado ‘spoofing’, una técnica utilizada por estafadores para engañar a sus víctimas haciéndose pasar por una entidad (o, menos habitualmente, un individuo) de confianza, con el objetivo de acceder a información personal, distribuir malware o cometer fraudes.
Este engaño puede realizarse de diversas formas, incluyendo SMS, correos electrónicos y llamadas telefónicas. A continuación, revisaremos qué forma toma esta estafa en cada caso.
Spoofing Telefónico
El spoofing en llamadas de voz, también conocido como suplantación de llamadas o ‘caller ID spoofing’, es una técnica utilizada por ciberdelincuentes para falsificar el número de teléfono que aparece en el identificador de llamadas de la víctima. Este método es particularmente peligroso porque puede llevar a las víctimas a confiar en el interlocutor.
Los atacantes falsifican mediante un servicio especializado el número de teléfono que aparece en el identificador de llamadas para que no coincida con el número de origen real, sino que parezca que la llamada proviene de una fuente fiable. Esto permite al atacante utilizar tácticas de persuasión para obtener información confidencial de la víctima o convencerla de realizar alguna acción dañina, como instalar malware o realizar transferencias bancarias.
Spoofing en SMS
El spoofing en SMS es una técnica utilizada por los ciberdelincuentes para falsificar el ‘nombre’ (identificador) del remitente de un mensaje de texto, haciéndolo parecer legítimo. Esta práctica es peligrosa porque puede llevar a los usuarios a proporcionar información personal o realizar acciones que pongan en riesgo su seguridad.
Los atacantes logran esto cambiando, mediante herramientas especializadas pero relativamente accesibles, el nombre del remitente que aparece en el SMS, y haciendo que parezca provenir de una entidad fiable. Así, cuando el teléfono recibe un SMS procedente del remitente ‘BBVA’, lo muestra en el mismo hilo de mensajes que otros SMS legítimos previos, pues no se comprueba en ningún momento el número de origen.
Recientemente, lo hemos visto en uso en la estafa de las falsas multas de la DGT, donde los atacantes envían mensajes falsos haciéndose pasar por la Dirección General de Tráfico para engañar a los usuarios.
Spoofing en E-mails
La aplicación del ‘spoofing’ en estafas realizadas mediante e-mail, como las campañas de phishing, implica falsificar la dirección del remitente en un correo electrónico para que parezca provenir de una fuente confiable. Existen varios métodos que los atacantes emplean para llevar a cabo esta suplantación de identidad. A continuación, se detallan algunos de los más comunes:
Falsificación de la Dirección de E-mail del Remitente
Este método implica alterar la dirección de correo electrónico del remitente para que parezca que el correo proviene de una fuente confiable. Puede ejecutarse de dos maneras, unas más convincentes y ‘curradas’ que las otras:
- Intrusión en el servidor de origen: Es posible que un atacante cree una cuenta nueva (“soporte1@banco.com”) en el mismo servidor que la cuenta legítima (“soporte@banco.com”).
- Cambio del campo “From”: Los atacantes manipulan el campo “From” en el encabezado del correo para mostrar una dirección legítima. Por ejemplo, en lugar de que el correo provenga de una dirección desconocida, a nuestros ojos parecerá venir de una dirección oficial como “soporte@banco.com”. Luego, sólo necesitarán manipular campos como ‘Reply-To’ para redirigir las respuestas a una dirección controlada por el atacante. Su uso es muy habitual en estafas de sextorsión.
- Utilización de direcciones similares: Los atacantes crean direcciones de correo que son muy similares a las legítimas pero en otros servidores, cambiando sutilmente algunos caracteres (“soporte@banco.com” vs. “soporte@banc0.com”) o utilizando otras extensiones de dominio (“soporte@banco.com” vs. “soporte@banco.org”).
Falsificación del Nombre del Remitente
Este método no necesariamente implica cambiar la dirección de correo electrónico, sino que sencillamente altera el nombre visible del remitente. Es fácil que ‘cuele’ si no revisamos con cuidado el mail recibido. En este caso, los atacantes modifican el nombre visible sin alterar la dirección de correo electrónico, para que al primer golpe de vista parezca que el correo proviene de alguien conocido o de confianza.
Ejemplo: Un correo electrónico de “Pedro García” (que en realidad es “attacker@example.com”) solicita que se haga clic en un enlace para ver un documento importante.