Los ciberataques están a la orden del día. Cada uno de los que han ido surgiendo en la era digital tiene su propia personalidad y a veces se retroalimentan entre ellos. Ya conocíamos el phising, smishing, pharming, vishing, bluesnarfing, pero ahora ha irrumpido también el spoofing.
Banco Santander describe este término como un conjunto de técnicas de hacking mediante las cuales un ciberdelincuente se hace pasar por una fuente conocida o confiable, falsificando la información necesaria para las comunicaciones, para obtener información privada de los usuarios y llevar a cabo fraudes y estafas a través de Internet.
- Qué es el Spoofing
El spoofing (suplantación en inglés) es un ataque capaz de adoptar muchas formas o avatares para conseguir sus objetivos: direcciones de correo electrónico, identificadores de llamada o SMS falsificados; suplantación de los protocolos que ejecutan internet, como IP o DNS; GPS, de dominio, etc.
“Al falsificar la información de contacto, el atacante puede interactuar con sus víctimas de forma que no sospechen nada, ya que se trata de un ataque muy específico y sofisticado en el que no se usan direcciones de correo claramente fraudulentas o números de teléfono sospechosos, sino que nos costará distinguirlo del original”, señalan expertos del banco.
Santander alerta de que es bastante común que los atacantes falsifiquen múltiples puntos de contacto para iniciar la comunicación y llevar a cabo el ataque. Por ejemplo, los ciberdelincuentes pueden falsificar una dirección de correo electrónico para atraer a una víctima potencial y luego utilizar un sitio web falso para obtener las credenciales de inicio de sesión del usuario u otra información.
La diversidad de técnicas de spoofing es enorme. Y si controlar una es complicado, lo es más con tantas caras diferentes. Por ello, la vulnerabilidad de los clientes está servida. El banco cántabro las analiza una por una y advierte de sus peligros.
Así, el spoofing de llamada (caller-id) consiste en la falsificación del identificador de llamadas que muestra el teléfono cuando recibimos una llamada. El atacante logra falsificar su número por uno legítimo del que la víctima no va a sospechar. En algunos spoofing de llamada, el ataque consiste en desviar la llamada a un proveedor internacional o de larga distancia, lo que hace que la víctima realice un consumo telefónico elevado, que luego se verá reflejado en la factura.
La suplantación de SMS falsifica la identificación del remitente en los mensajes de texto para que parezca provenir de un número confiable y así hacerse pasar por personas o marcas de confianza. Muchas veces, esos SMS piden que se responda con algún dato personal o se acceda a un enlace en el que tendremos que contestar a preguntas personales.
En el caso de la suplantación de correo electrónico, el atacante pretende hacerse pasar por un contacto conocido de la víctima alterando el campo ‘De’ para que coincida con el del contacto por el que se está haciendo pasar. En la mayoría de los ataques de suplantación de correo electrónico, el mensaje contiene enlaces a sitios web maliciosos.
Por su parte, la suplantación de dominio se produce cuando un atacante crea un sitio web que imita a otro existente, a menudo cambiando ligeramente los nombres del dominio. El objetivo de estos ataques es que los usuarios intenten iniciar sesión en su cuenta, momento en el cual el atacante roba las credenciales u otra información personal. Luego, pueden utilizar estos datos para utilizarlos en el sitio web legítimo o vender la información. Este fraude suele desencadenarse por una suplantación de correo electrónico, lo que significa que primero llega utilizando un mail falso y dirige tráfico al sitio web malicioso.
El spoofing del servidor de nombres de dominio DNS (Domain Name Server) o envenenamiento de la caché de DNS implica la manipulación de registros DNS que se utilizan al navegar por Internet, para redirigir a los usuarios hacia un sitio web fraudulento y malicioso que puede parecerse al destino previsto por el usuario (spoofing de dominio/web). Una vez en el sitio fraudulento, se engaña a los usuarios para que inicien sesión en lo que creen que es su cuenta genuina, lo que permite al atacante robar credenciales de acceso u otra información confidencial. El sitio web fraudulento puede instalar gusanos o virus en el ordenador del usuario de manera secreta, dándole al atacante acceso sostenido y persistente al dispositivo y a todos sus datos.
En el ataque Man-in-the-Middle (MitM), que en español significa “hombre en el medio”, un tercero se infiltra en una conversación entre un usuario de la red y una aplicación web. El objetivo es obtener información: datos personales, contraseñas, datos bancarios y/o hacerse pasar por una de las partes para solicitar información adicional o estimular acciones (cambiar las credenciales de inicio de sesión, completar una transacción o iniciar una transferencia de fondos).
El Facial spoofing es una técnica emergente relacionada con el reconocimiento facial. Dado que muchas personas utilizan ahora esta tecnología para desbloquear sus teléfonos o aplicaciones, los ciberdelincuentes están explorando cómo explotar posibles vulnerabilidades. Por ejemplo, los investigadores han demostrado que es posible utilizar modelos faciales en 3D creados a partir de imágenes disponibles en las redes sociales para desbloquear el dispositivo del usuario mediante face ID. Otras implicaciones de esta tecnología incluyen la simulación de secuencias de vídeo vergonzosas, o incluso criminales, de personas de alto perfil, como celebridades, políticos y líderes empresariales, con el fin de extorsionarlos.
Banco Santander explica que la suplantación de IP se utiliza habitualmente en un ataque de denegación de servicio (DoS – Denial of Service) contra redes, webs o sistemas de los objetivos, como pueden ser empresas u organizaciones. Al utilizar esta técnica, los atacantes falsifican su dirección IP para inundar el sitio, sistema o la red de la víctima con tráfico, limitando el acceso de los usuarios legítimos.
En un ataque de suplantación de identidad ARP (Address Resolution Protocol), el adversario vincula su MAC a una dirección IP legítima para que el atacante pueda recibir datos destinados al propietario de esa dirección IP. La suplantación de identidad de ARP se utiliza habitualmente para robar o modificar datos. Sin embargo, también se puede utilizar en ataques DoS, MitM o en secuestro de sesiones.
Y, por último, la suplantación de GPS consiste en alterar el GPS para que muestre una ubicación diferente a la real. Si bien esta técnica es utilizada principalmente por jugadores de juegos en línea, como Pokémon GO, tiene implicaciones mucho más siniestras, como redirigir los sistemas de navegación en vehículos de todo tipo.
Cómo detectar y prevenir un ataque
Para Banco Santander, en muchos casos, los ataques de suplantación de identidad son relativamente sencillos de detectar y prevenir mediante el sentido común. Por ejemplo, si un usuario recibe un correo electrónico para restablecer su contraseña a un sitio web o a una aplicación sin solicitarlo, puede ser un intento de suplantación de identidad. Las empresas y organismos públicos nunca pedirán compartir por correo electrónico o por teléfono información confidencial, como contraseñas o datos bancarios completos.
La entidad aconseja, cuando se reciba un mensaje que contenga enlaces, comprobar el texto del hipervínculo para ver dónde conduce. Bancos, médicos, escuelas u otros proveedores de servicios legítimos nunca utilizarán una URL que no coincida con su dominio y dirigen a los usuarios a su sitio web oficial para acceder y descargar archivos. También recomienda no descargar nunca un archivo adjunto no solicitado, ni siquiera de una fuente confiable. Los proveedores de servicios acreditados interactúan con los clientes de forma personalizada y profesional. Y muy pocos comenzarán los correos electrónicos u otros mensajes con saludos genéricos como Estimado cliente o A quien pueda interesar.
Te puede interesar
Lo más visto
- 1 El inspector jefe de los 20 millones se reunía al lado de la Jefatura
- 2 José Luis Rodríguez Zapatero no existe, no es y no aparece
- 3 Quién es quién de la prole Jolie-Pitt y quién cambió su nombre
- 4 Momento Aldama en el Congreso
- 5 La manta de la que puede tirar Aldama
- 6 El entramado de los socios del 'narcopolicía': frutas, inmobiliarias y ropa
- 7 Aldama revela detalles del viaje de Delcy Rodríguez a España
- 8 Vidal-Quadras: detenido otro implicado en el ataque al fundador de Vox
- 9 El juez del ‘caso Koldo’ envía copia de la declaración de Aldama al Supremo