qué es el spoofing, tipos y cómo protegerte de estos ciberataques

¿Qué es el ‘spoofing’ y como lo usan los ciberdelincuentes para engañarnos?

Fernando Denís Ramírez, Country Manager Spain

El 'spoofing' es la técnica mediante la cual un atacante puede falsificar determinada información con el objetivo de suplantar una identidad para engañar a un sistema, persona o dispositivo.

Cualquier valor que permita la validación de una asociación, en este caso vamos a hablar de la asociación entre una persona y un sistema, es susceptible de poder sufrir está técnica de ataque, pero no hay que olvidar que el 'spoofing' no necesariamente se usa para suplantar a una persona, sino, por ejemplo, se puede usar para suplantar a una máquina que solo puede hablar con otra.

qué es el spoofing

Esta técnica combinada con otras de ingeniería social supone un terrible quebradero de cabeza para las personas y empresas, ya que permite crear escenarios aún más convincentes y engañosos. Pero antes de ver cómo los atacantes combinan estas dos técnicas, vamos a repasar los distintos tipos de Spoofing.

Cómo hemos dicho anteriormente cualquier dato o valor susceptible de permitir la validación de una entidad tiene probabilidad de ser usado por una técnica de Spoofing, así que solo repasaremos los tipos más relevantes usados para engañarnos a nosotros, las personas.

Spoofing de correo electrónico

En este caso nos referimos a la falsificación de la dirección de correo electrónico de origen para hacer que parezca que el mensaje proviene de una fuente legítima y confiable. Este tipo se lleva usando desde los orígenes de internet, por suerte, los servidores de correo electrónico implementan protocolos de seguridad como SPF, DKIM y DMARC para evitar este tipo de suplantaciones. Por lo que si lo tenemos correctamente configurado será imposible hacer esta validación 100% real, y digo 100% real porque ahí es donde entra la ingeniería social, o la búsqueda de patrones similares que permitan engañar al ojo humano. Este tipo de 'Spoofing' es comúnmente utilizado en ataques de phishing, donde los atacantes intentan engañar a las personas para que revelen información confidencial, como contraseñas o información financiera.

Spoofing de número de teléfono

Para este tipo de 'Spoofing' tenemos que cambiar de ámbito, en este caso nos iremos al de las comunicaciones telefónicas, un ecosistema que no cuenta con los protocolos de seguridad que sí que contamos en el del correo electrónico. Fundamentalmente este tipo de técnica se lleva a cabo por los ciber delincuentes para ocultar la verdadera identidad y hacernos creer que la fuente es legítima, fundamentalmente mediante el uso de llamadas o sms. En estos casos, la suplantación total y el usuario poco puede hacer para identificar este tipo de ataques.

Ahora sí veamos cómo los atacantes están combinando los ataques de spoofing con la ingeniería social. Empecemos definiendo ¿qué es la ingeniería social?

Por todo lo anteriormente descrito, los atacantes ven una gran oportunidad combinando estas dos técnicas aprovechando la información obtenida mediante el 'spoofing' para personalizar y perfeccionar sus tácticas de ingeniería social.

Un ejemplo es el del caso del email en el que después de suplantar con éxito la identidad de un remitente de correo electrónico legítimo mediante el 'spoofing', los ciber delincuentes pueden utilizar esa credibilidad para diseñar mensajes de phishing más convincentes. Estos mensajes pueden incluir detalles específicos sobre la víctima o la organización, aumentando la probabilidad de que caigan en su trampa.

Un caso más sofisticado está ocurriendo en estos momentos en el que los atacantes accediendo a información financiera de la víctima (puede obtenerse de distintas formas) engañan a victima utilizando datos financieros "privados" y haciendo spoofing del teléfono de la oficina del cliente, para engañarle y hacer transferencias a cuentas de los atacantes.

Otro caso bastante común últimamente es el secuestro de redes sociales, basado en la misma premisa de ganar la confianza de la víctima con datos personales que solo ella creía conocer de forma que le cedan el código de migración de la red social a otro dispositivo. Durante ese tiempo, el atacante intentará engañar a los contactos de la primera víctima, para que le transfieran dinero.