Spoofing: qué es, qué tipos existen y cómo evitarlo
Hoy en día, el spoofing es una de las técnicas más utilizadas y avanzadas para cometer ciberataques. Siempre que un atacante o una amenaza (p. ej. malware) se hace pasar por alguien o algo que no es, estamos ante un ataque de este tipo.
Índice:
- Definición de spoofing
- ¿Cómo funciona el spoofing?
- ¿Qué tipos de spoofing existen?
- Consejos para prevenir un ataque de spoofing
- Cómo detectar un ataque de spoofing
- Diferencia entre spoofing y phishing
Definición de spoofing
Spoofing es un término que hace referencia a un conjunto de técnicas de hacking mediante las cuales un ciberdelincuente se hace pasar por una fuente conocida o confiable, falsificando la información necesaria para las comunicaciones, para obtener información privada de los usuarios y llevar a cabo fraudes y estafas a través de Internet. El spoofing puede adoptar muchas formas: direcciones de correo electrónico o identificadores de llamada o SMS falsificados, suplantación de IP, DNS, GPS, de dominio, etc.
Al falsificar la información de contacto, el atacante puede interactuar con sus víctimas de forma que estas no sospechen nada, ya que se trata de un ataque muy específico y sofisticado en el que no se usan direcciones de correo claramente fraudulentas o números de teléfono sospechosos, sino que nos costará distinguirlo del original.
¿Cómo funciona el spoofing?
Los atacantes utilizan el spoofing para manipular los servicios y mensajes de correo electrónico, o los protocolos que ejecutan Internet (p. ej. IP, DNS) para engañar a sus víctimas y cometer ciberataques que les permitan conseguir sus objetivos (información, dinero, denegación de servicio, etc.).
Las técnicas de spoofing varían según el tipo de ataque: en la suplantación de correo electrónico, el atacante envía un email malicioso con la dirección de correo electrónico falsificada, haciéndose pasar generalmente por un contacto confiable; sin embargo, en un ataque MitM (Man in the Middle) puede crear un punto de acceso Wi-Fi para interceptar las comunicaciones de los usuarios de la red y recopilar información sensible.
Es bastante común que los atacantes falsifiquen múltiples puntos de contacto, como una dirección de correo electrónico y un sitio web, para iniciar la comunicación y llevar a cabo el ataque. Por ejemplo, los ciberdelincuentes pueden falsificar una dirección de correo electrónico para atraer a una víctima potencial y luego utilizar un sitio web falso para obtener las credenciales de inicio de sesión del usuario u otra información. Familiarizarse con los diferentes tipos de ataques de spoofing es fundamental para comprender cómo funciona la suplantación de identidad.
¿Qué tipos de spoofing existen?
El spoofing pueden ser de muchos tipos, en función de qué información se esté falsificando. Los principales tipos se describen a continuación.
Spoofing de llamada
El spoofing de llamada (caller-id) consiste en la falsificación del identificador de llamadas que muestra el teléfono cuando recibimos una llamada.
En este tipo de spoofing el atacante logra falsificar su número de teléfono por uno legítimo del que la víctima no va a sospechar. Así, si el destinatario contesta al teléfono, los atacantes suelen hacerse pasar por un agente de atención al cliente para recopilar información personal, como por ejemplo datos bancarios, contraseñas u otra información personal (número de la Seguridad Social, fecha de nacimiento, etc.).
En algunos spoofing de llamada, el ataque consiste en desviar la llamada a un proveedor internacional o de larga distancia, lo que hace que la víctima realice un consumo telefónico elevado, que luego se verá reflejado en la factura.
SMS spoofing
La suplantación de SMS es una técnica que falsifica la identificación del remitente en los mensajes de texto para que el mensaje parezca provenir de un número confiable y así, hacerse pasar por personas o marcas de confianza. Muchas veces, esos SMS piden que se responda con algún dato personal o se acceda a un link en el que tendremos que contestar a preguntas personales.
Email spoofing
Uno de los tipos más comunes de ataques de suplantación de identidad es la suplantación de correo electrónico. Esto ocurre cuando un atacante pretende hacerse pasar por un contacto conocido de la víctima alterando el campo ‘De’ para que coincida con el del contacto por el que se está haciendo pasar.
En la mayoría de los ataques de suplantación de correo electrónico, el mensaje contiene enlaces a sitios web maliciosos o archivos adjuntos infectados. El atacante también puede utilizar técnicas de ingeniería social para convencer al destinatario de que divulgue datos personales u otra información confidencial.
Spoofing de dominio web
La suplantación de dominio ocurre cuando un atacante crea un sitio web que imita un sitio existente, a menudo cambiando ligeramente los nombres de dominio. El objetivo de estos ataques es que los usuarios intenten iniciar sesión en su cuenta, momento en el cual el atacante roba las credenciales de su cuenta u otra información personal. Luego, los atacantes pueden utilizar las credenciales en el sitio web legítimo o vender la información.
Los ataques de suplantación de sitios web suelen desencadenarse por una suplantación de correo electrónico, lo que significa que el atacante primero llega utilizando una cuenta de correo electrónico falsa y dirige el tráfico al sitio web malicioso.
Spoofing de DNS
El spoofing del servidor de nombres de dominio (DNS – Domain Name Server), o envenenamiento de la caché de DNS, es un ataque que implica la manipulación de registros DNS que se utilizan al navegar por Internet, para redirigir a los usuarios hacia un sitio web fraudulento y malicioso que puede parecerse al destino previsto por el usuario (spoofing de dominio/web).
Una vez en el sitio fraudulento, se engaña a los usuarios para que inicien sesión en lo que creen que es su cuenta genuina, lo que permite al atacante robar credenciales de acceso u otra información confidencial. El sitio web fraudulento puede instalar gusanos o virus en el ordenador del usuario de manera secreta, dándole al atacante acceso sostenido al dispositivo y a todos sus datos (persistencia).
Ataque de hombre en el medio (MitM – Man in the Middle)
Es un tipo de ciberataque en el que un tercero se infiltra en una conversación entre un usuario de la red y una aplicación web. El objetivo de este ataque es obtener información: datos personales, contraseñas, datos bancarios y/o hacerse pasar por una de las partes para solicitar información adicional o estimular acciones (cambiar las credenciales de inicio de sesión, completar una transacción o iniciar una transferencia de fondos).
Este tipo de ataque suele incluir spoofing de correo electrónico, de sitios web o ambos, con el fin de desencadenar actividad y llevar a cabo la transferencia de datos.
Facial spoofing
Una técnica de spoofing emergente está relacionada con el reconocimiento facial. Dado que muchas personas utilizan ahora esta tecnología para desbloquear sus teléfonos o aplicaciones, los ciberdelincuentes están explorando cómo explotar posibles vulnerabilidades.
Por ejemplo, los investigadores han demostrado que es posible utilizar modelos faciales en 3D creados a partir de imágenes disponibles en las redes sociales para desbloquear el dispositivo del usuario mediante face ID. Otras implicaciones de esta tecnología incluyen la simulación de secuencias de vídeo vergonzosas, o incluso criminales, de personas de alto perfil, como celebridades, políticos y líderes empresariales, con el fin de extorsionarlos.
IP spoofing
La suplantación de IP consiste en que los ciberdelincuentes modifican su dirección IP para ocultar su identidad real o hacerse pasar por otro usuario. Esta técnica se utiliza habitualmente en un ataque de denegación de servicio (DoS – Denial of Service) contra redes, webs o sistemas de los objetivos (como pueden ser empresas u organizaciones). Al utilizar esta técnica, los atacantes falsifican su dirección IP para inundar el sitio, sistema o la red de la víctima con tráfico, limitando el acceso de los usuarios legítimos.
ARP spoofing
El protocolo de resolución de direcciones (ARP – Address Resolution Protocol) es un protocolo básico para el funcionamiento de las redes de datos que consiste en asociar las direcciones IP con las direcciones de control de acceso a medios (MAC – Media Access Control) para transmitir datos. En un ataque de suplantación de identidad ARP, el adversario vincula su MAC a una dirección IP legítima para que el atacante pueda recibir datos destinados al propietario de esa dirección IP. La suplantación de identidad de ARP se utiliza habitualmente para robar o modificar datos. Sin embargo, también se puede utilizar en ataques DoS, MitM o en secuestro de sesiones.
GPS spoofing
La suplantación de GPS consiste en alterar el GPS de un dispositivo para que muestre una ubicación diferente a la real. Si bien esta técnica es utilizada principalmente por jugadores de juegos en línea, como Pokémon GO, tiene implicaciones mucho más siniestras como, por ejemplo, redirigir los sistemas de navegación en vehículos de todo tipo.
Consejos para prevenir un ataque de spoofing
Para la mayoría de los usuarios, la mejor manera de protegerse contra la suplantación de identidad es estar atentos a las señales de estos ataques:
- No hacer clic en enlaces no solicitados, ni descargar archivos adjuntos inesperados.
- Iniciar sesión en las cuentas a través del navegador o de una aplicación oficial, no a través de un enlace de un correo electrónico o un mensaje de texto.
- Acceder únicamente a las URL que comiencen con HTTPS.
- No compartir información personal, como números de identificación, números de cuenta o contraseñas, por teléfono o correo electrónico.
- Cuando una persona de atención al cliente contacte por teléfono o correo electrónico, realiza una búsqueda en Google para determinar si el número o la dirección están asociados con alguna estafa.
- Utilizar un administrador de contraseñas, que ingresará automáticamente una contraseña guardada en un sitio reconocido (pero no en un sitio falsificado).
- Utilizar un filtro de spam para evitar que la mayoría de los correos electrónicos falsos lleguen a la bandeja de entrada.
- Utilizar un antivirus (EPP – EndPoint Protection o EDR – Endpoint Detection and Response), que detectará muchas amenazas e incluso evitará que se infecten los dispositivos.
- Habilitar el doble factor de autenticación (2FA) siempre que sea posible, lo que hace que sea mucho más difícil de que los ataques de los ciberdelincuentes tengan éxito.
Cómo detectar un ataque de spoofing
En muchos casos, los ataques de suplantación de identidad son relativamente sencillos de detectar y prevenir mediante el sentido común. A continuación, hay una serie de preguntas que los usuarios pueden hacerse para identificar estos ataques:
- ¿Se ha solicitado esta petición? Por ejemplo, si un usuario recibe un correo electrónico para restablecer su contraseña sin solicitarlo al sitio web o aplicación, puede ser un intento de suplantación de identidad.
- ¿El mensaje solicita información confidencial? Las empresas y organismos públicos nunca pedirán a las personas que compartan información confidencial, como contraseñas o datos bancarios completos, por correo electrónico o por teléfono.
- ¿La organización utiliza un dominio diferente? Cuando se reciba un mensaje que contenga enlaces, coloque el cursor sobre el texto del hipervínculo para obtener una vista previa de dónde conduce el enlace. Los bancos, médicos, escuelas u otros proveedores de servicios legítimos nunca utilizarán una URL que no coincida con su dominio.
- ¿El sitio web o el enlace apuntan a una dirección HTTPS? Los sitios seguros utilizan HTTPS, la versión cifrada de HTTP al transferir datos.
- ¿El mensaje contiene un archivo adjunto no solicitado? Las empresas u organismos legítimos dirigirán a los usuarios a su sitio web oficial para acceder y descargar archivos. Nunca descargue un archivo adjunto no solicitado, ni siquiera de una fuente confiable o familiar.
- ¿El mensaje está personalizado y es profesional? Los proveedores de servicios acreditados interactuarán con los clientes de forma personalizada y profesional. Muy pocos comenzarán los correos electrónicos u otros mensajes con saludos genéricos como «Estimado cliente» o «A quien pueda interesar».
- ¿La correspondencia contiene errores evidentes de gramática y ortografía? Una de las formas más fáciles de detectar un intento de suplantación de identidad es mediante la mala gramática, ortografía, diseño o marca. Es una técnica deliberada utilizada por los piratas informáticos para eliminar a los usuarios inteligentes y atrapar objetivos más fáciles.
Diferencia entre spoofing y phishing
El spoofing se suele confundir con el phishing, pero la principal diferencia es que el primero se basa en técnicas avanzadas que utilizan atacantes expertos y que consisten en falsificar la información necesaria para las comunicaciones con una entidad o marca (identificador de llamadas/SMS, dirección de correo electrónico, IP, MAC, ARP, DNS, etc.). Sin embargo, el phishing consiste en ataques de ingeniería social, generalmente más básicos, que intentan robar información confidencial. En particular, un ataque de phishing elaborado o complejo puede comenzar con un spoofing de correo electrónico o identificador de llamada/SMS para engañar a la víctima. El phishing es un ataque, mientras que el spoofing es una técnica que puede utilizarse en un ataque de phishing o no.
Las técnicas de spoofing y los ataques de phishing están relacionados, pero son amenazas de ciberseguridad distintas. Observar las características de cada uno aclara sus diferencias:
- Propósito: el objetivo del spoofing es falsificar la información de una comunicación con el propósito de hacerse pasar por algo o alguien, mientras que el propósito de los ataques de phishing es robar información.
- Naturaleza: en el spoofing se falsifica la información de una comunicación, mientras que los ataques de phishing son un fraude en el que hay robo de información.
- Método: el spoofing consiste en técnicas generalmente complejas de falsificación de la información de los servicios o protocolos de comunicaciones que se utilizan para cometer un ataque. El phishing, sin embargo, es un tipo de ataque que se lleva a cabo utilizando técnicas de ingeniería social.