Desde la llegada de internet a nuestras vidas, hemos tenido que acostumbrarnos a infinidad de términos nuevos. A continuación, arrojamos algo de luz en torno a una de las técnicas que más están utilizando los ciberdelincuentes para burlar las medidas de seguridad y llegar hasta nuestras propiedades. Se trata del spoofing.

Miramos nuestro teléfono y vemos que tenemos una notificación nueva. Es un mensaje de texto, "nuestro banco" nos advierte que nuestra cuenta ha sido vulnerada. Por seguridad, instan a cambiar la contraseña. Rápidamente, y sin dudarlo, hacemos clic e introducimos nuestra antigua contraseña y la nueva. Sin darnos cuenta, hemos dado las herramientas necesarias a los cibercriminales para que puedan acceder a nuestra cuenta, tomando el control de nuestro dinero.

Parece ciencia ficción para algunos, pero es real. El spoofing es una práctica de suplantación de identidad que busca explotar nuestra confianza en una marca o fuente conocida.

¿Qué es el spoofing?

El spoofing, o suplantación de identidad, juega con esa confianza que nos da un remitente habitual, como nuestro banco. Aprovecha esa relación para que realicemos una acción en un entorno simulado, que no es el real, que de otra manera nunca haríamos sin pensar. Por tanto, es posible recibir un email "falso" de una empresa junto con el resto de los mensajes que recibas de la misma. Esto es así porque los ciberdelincuentes "spoofean" el nombre del remitente para que sea el mismo que el real.

Esta forma de suplantación de identidad aprovecha servicios existentes en internet que permiten enmascarar su verdadera identidad y adoptar la imagen y semejanza de nuestro banco. Como en apariencia es "nuestro banco", no dudamos y bajamos la guardia, casi sin quererlo. Ese es su golpe de efecto para obtener lo que quieren: acceso a la cuenta corriente.

Los canales que usa el spoofing son diversos: por SMS y por correo electrónico son los más habituales, pero también lo hacen por medio de aplicaciones de mensajería electrónica, llamadas telefónicas o, más recientemente, utilizando ciertas redes sociales y servicios populares de videollamada.

¿Qué diferencia hay entre spoofing y phishing?

El phishing, término que por desgracia nos es más familiar en los últimos tiempos, busca el robo de datos en sí mismo. El spoofing, por su parte, persigue únicamente suplantar la identidad de aquel que comete el delito.

Ambas son técnicas complementarias y pueden utilizarse en un mismo proceso de engaño, pero son diferentes. Si te interesa el tema, puedes profundizar en las llamadas fraudulentas vía telefónica o vishing.

¿Cómo evitar ser víctima de spoofing?

La clave para no caer en este tipo de engaños está en los detalles: cómo está diseñado, el lenguaje, cómo hablan y se refieren a nosotros y, en general, la forma de expresarse. Todo ello es fundamental para ponernos en alerta del posible intento de estafa. Las faltas de ortografía son también un indicador con el que se suelen delatar.

¿Quieres evitar estos ataques? Estas son algunas recomendaciones generales para lograrlo:

1. Parece, pero no es quien dice ser. Modificar o mostrar un nombre de remitente es relativamente sencillo, tanto en un e-mail (nombre que se muestra), como en una comunicación de otro tipo. Verifica que el nombre se corresponda con la dirección de e-mail de forma detallada, lo que lleva a la siguiente recomendación sobre spoofing.

2. El secreto está en los detalles. Fíjate en la dirección o dominio al que redirige. Generalmente cambian levemente el nombre de la dirección web, jugando con guiones, modificando la extensión de dominio o utilizando dominios de segundo nivel (por ejemplo, .es.ru en lugar de .es del dominio real).

3. Disponibles por defecto. Algunos móviles de gama media-alta y gama alta ya cuentan con servicios por parte del fabricante que etiquetan por nosotros y advierten que el remitente de una llamada o una comunicación puede ser fraudulento. Si no dispones de esta funcionalidad, puedes consultar algunas apps que también ofrecen ayuda en esta tarea.

4. Nunca facilites datos sensibles. No te fíes de aquella entidad que te pida completar datos sensibles directamente vía formulario, mensajería, etc.

5. Cuidado con los enlaces. Si las entidades quieren que accedas a alguna promoción o servicio, lo harán a través de nuestra área personal, no a través de enlaces.

6. Nunca instales nada. Desconfía de aquellas comunicaciones que te pidan que instalar un programa o una app específica.

7. Cuidado con las plataformas de videoconferencia y mensajería. Se ha visto recientemente que también burlan ciertas vulnerabilidades para "jugar" con la previsualización de enlaces y hacerse pasar por contactos de confianza de tu agenda, dispositivo, etc.

Técnicas para cometer el spoofing

Además de los consejos básicos, también es importante conocer las técnicas que utilizan para cometer el spoofing. Estas son las claves:

1. La excusa. Utilizan cualquier ocasión para ponerse en contacto, como un posible pago fraudulento, para solicitar "ciertos datos". Recuerda que desde Openbank nunca te pediremos claves por mensaje.

2. El interlocutor dispone de ciertos datos personales. Es una forma de ganarse tu confianza. Si te dan datos como el DNI o teléfono, desconfía. Normalmente, es la entidad quien los pide para confirmar que eres tú.

3. Códigos de seguridad. Nunca facilites un código de seguridad a tu interlocutor. Suele estar precedida por una petición por su parte que no hemos realizado y esas coordenadas son el único cortafuegos entre ellos y el botín.

Al igual que en la vida real, cuando alguien nos contacta por primera vez, nos genera sospecha, desconfianza. Aplicar esa máxima al ámbito digital es un buen punto de partida.

Publicado el 12 de abril de 2022