El spoofing o la suplantación de identidad es un tipo de ataque cada vez más habitual. El robo de datos confidenciales, información financiera, daños reputacionales y consecuencias legales son algunos de los principales riesgos derivados de ello. A los particulares también les afecta.
Lo más común es hacerse pasar por entidades bancarias para que los usuarios hagan diversas operaciones desde la banca online. A través de un programa informático, los estafadores cambian el número de teléfono que debería aparecernos en pantalla y colocan el de nuestro banco. Esto hace que el usuario confíe en que la llamada es auténtica.
El supuesto empleado suele alertar de que alguien ha conseguido sus claves secretas de la aplicación de la entidad y que están realizando operaciones. Una vez el cliente ha mordido el cebo, le convence de la urgencia de transferir el dinero de la cuenta a otra que denominan “segura”. En el proceso facilitan datos personales como el DNI y esa clave secreta que aseguran que han pirateado.
Cuando tienen los datos necesarios, los delincuentes vacían las cuentas sin que la víctima pueda recuperar el dinero. Otra de las formas con las que convencen al cliente es utilizando la jerga bancaria habitual en las sucursales. Esta es, incluso, una profesión. Los conocidos como buffers ofrecen sus servicios a las organizaciones criminales, que los contratan directamente para que hagan las llamadas.
¿Cómo podemos comprobar si quien nos llama es realmente nuestro banco?
Lo primero que aconsejan los expertos para no caer en la trampa es escuchar lo que nos piden. Desde las Policía Nacional y los propios bancos, se insiste en que no se pedirán datos personales por teléfono ni por SMS. También aconsejan no picar en los mensajes que dicen ser de nuestro banco y que nos piden hacer clic en un enlace.
Otro punto que destacan es enviar el DNI, el domicilio o incluso una fotografía expone nuestra privacidad. Ante la duda, lo mejor es acercarse físicamente a una oficina para confirmar la información facilitada por teléfono.
Además de suplantar la identidad de los bancos, también se hacen pasar por instituciones públicas, proveedores, clientes o compañías telefónicas.
Tipos de spoofing
Existen cuatro variantes de este tipo de ciberataque:
- Web spoofing: Consiste en crear una página web falsa que suplanta la identidad y el diseño de una página real. Los ciberdelincuentes suelen redirigir a los internautas a la página web ilegítima mediante enlaces incluidos en correos electrónicos o mensajes que envían previamente a las víctimas o a través de anuncios maliciosos.
- Email spoofing: En este caso se suplanta una dirección de correo electrónico de una persona o entidad, obtenida con anterioridad mediante la ejecución de otros ataques. El objetivo es intentar conseguir información confidencial de los usuarios o infectar sus dispositivos con programas maliciosos. Es otro tipo de spam y cadena de bulos.
- IP spoofing: Falsificación y sustitución de una dirección IP legítima por otra fraudulenta. Así, los ciberdelincuentes logran acceder a redes en las que otros usuarios se autentican o en las que se les proporcionan distintos permisos.
- DNS spoofing: Con ello, logran acceder e infectar el rúter de un lugar ejecutando programas maliciosos específicos o aprovechando sus vulnerabilidades para modificar los DNS (Domain Name System o Sistema de Nombres de Dominio). Lo que se pretende con ello es que la víctima acceda a una página web determinada y, desde ella, sea redirigido a otra página fraudulenta.
