Ilustración de una llamada problemática El Androide Libre
Así funciona la estafa perfecta: pueden llamarte desde un número oficial para robarte datos o acceder a tu banco
Recibir una llamada o un mensaje de un número oficial ya no es garantía de que no nos vayan a estafar y ha desencadenado un gran problema.
Más información: Las 10 pistas que indican que un mensaje de WhatsApp o un SMS es intento de estafa
En España tenemos una aceptable digitalización de la sociedad. Es normal comunicarnos vía telemática con empresas, instituciones y, por supuesto, amigos y familiares.
Esto ha disparado los intentos de estafas, pero hay un tipo que es especialmente peligroso porque no activa las alertas de las posibles víctimas. El spoofing.
Esta técnica consiste en la suplantación de identidad en el entorno digital. Un atacante se hace pasar por una persona, empresa o dispositivo de confianza. Su objetivo principal es el engaño.
Busca obtener acceso a sistemas, robar datos, instalar malware o realizar fraudes. La confianza del usuario es su principal objetivo.
Esta técnica explota cómo se gestiona la identidad en internet. Muchos sistemas confían en información como direcciones de correo o números de teléfono.
Así pues, no siempre verifican su autenticidad de forma rigurosa. Los ciberdelincuentes aprovechan estas debilidades. Crean una apariencia de legitimidad que resulta difícil de cuestionar para una víctima desprevenida.
El origen del Spoofing
El término "spoof" proviene del inglés y significa parodiar, falsificar o engañar. Los primeros protocolos de internet, como TCP/IP, se diseñaron en un entorno de confianza.
Un agente de la Guardia Civil investigando estafas El Español
La seguridad no era la principal preocupación. Se asumía que los participantes de la red eran fiables. Han cambiado mucho las cosas.
Los primeros ataques documentados de IP spoofing surgieron en la década de 1980. Demostraron la facilidad con la que un sistema podía hacerse pasar por otro.
![Cuidado con coger el teléfono a desconocidos: estas son las estafas más comunes en España en los últimos años](["https:\/\/s2.elespanol.com\/2024\/10\/14\/elandroidelibre\/noticias-y-novedades\/893421084_249994791_320x180.jpg"])
Con la popularización del correo electrónico y la web, el spoofing evolucionó. Pasó de ser una herramienta para expertos en redes a una técnica común para el fraude masivo.
Actualmente hay sistemas que minimizan estos casos, pero es aún posible falsificar un envío de un correo desde un email concreto o hacer una llamada desde un número diferente al que aparece en pantalla.
Tipos de Spoofing
Existen múltiples variantes de spoofing. Cada una se enfoca en un canal de comunicación diferente.
El email spoofing es uno de los más conocidos. El atacante falsifica la cabecera de un correo electrónico. Hace que parezca enviado por una fuente legítima.
El IP spoofing opera a nivel de red. El atacante modifica los paquetes de datos para ocultar su dirección IP real. La sustituye por la de un sistema de confianza.
Otra modalidad es el website spoofing o suplantación de sitios web. Los delincuentes crean una copia casi idéntica de una página web legítima. Puede ser la de un banco o una red social.
Imagen representativa de hackers X
Engañan a los usuarios para que introduzcan sus credenciales en el sitio falso. El diseño, el logo y la URL suelen ser muy similares a los originales.
El caller ID spoofing se aplica a las llamadas telefónicas. Permite a quien llama modificar el número que aparece en la pantalla del receptor.
Pueden hacerse pasar por una entidad bancaria, un organismo público o un servicio técnico. Su fin es obtener información personal o financiera mediante ingeniería social durante la llamada.
Hay más variantes, menores, como el ARP spoofing que ocurre en redes locales o el GPS spoofing, que emite señales falsas para engañar a los receptores GPS sobre su ubicación real.
Motivaciones
La razón principal del spoofing es el beneficio económico. Los atacantes buscan robar credenciales bancarias, números de tarjetas de crédito o acceso a cuentas de pago.
El objetivo final es sustraer dinero directamente de las víctimas o vender la información robada en la dark web, donde estos datos tienen un alto valor.
Una persona recibiendo una llamada telefónica EFE
El espionaje corporativo e industrial es otra motivación clave. Mediante el spoofing, un atacante puede infiltrarse en la red de una empresa competidora.
Su objetivo es robar secretos comerciales, propiedad intelectual o planes estratégicos. Este tipo de ataque puede causar un daño económico y reputacional inmenso a la organización víctima.
Algunos ataques de spoofing buscan simplemente causar disrupción. El IP spoofing es una herramienta esencial en los ataques DDoS.
Los atacantes ocultan su identidad y dirigen una avalancha de tráfico ilegítimo hacia un objetivo. El servicio atacado se sobrecarga y deja de estar disponible para sus usuarios legítimos.
Otra de las funciones más conocidas del spoofing es la de distribución de malware. Un correo suplantado que parece venir de un contacto conocido tiene más probabilidades de ser abierto.
El archivo adjunto o el enlace contenido en él pueden instalar ransomware, spyware u otro software malicioso en el sistema de la víctima, comprometiendo su seguridad y privacidad.
Cómo combatir el Spoofing
La prevención del spoofing requiere una combinación de tecnología y concienciación. Para el correo electrónico, existen protocolos de autenticación. SPF, DKIM o DMARC que ayudan a verificar que un correo proviene realmente del dominio que dice representar.
Frente al website spoofing, la vigilancia es fundamental. Siempre se debe comprobar la URL en la barra de direcciones del navegador. No vale con buscar el candado de seguridad y asegurarse de que la conexión es HTTPS.
![Estafas a través de SMS.](["https:\/\/s2.elespanol.com\/2024\/07\/30\/invertia\/observatorios\/digital\/874423283_248153759_320x180.jpg"])
Es recomendable escribir directamente la dirección del sitio o usar marcadores guardados, en lugar de hacer clic en enlaces recibidos.
La doble autenticación (MFA) es una de las defensas más eficaces. Aunque un atacante logre robar una contraseña mediante spoofing, necesitará un segundo factor de autenticación.
Este puede ser un código generado en un móvil o una llave de seguridad física. La MFA añade una capa crítica de protección a las cuentas.
En cuanto a las llamadas, si nos resulta raro lo que nos dicen desde un número que parece oficial, lo mejor es colgar y llamar nosotros para preguntar por el tema en cuestión.
Consejos para el usuario
Lo primero que hay que tener claro es que no hay que confiar ciegamente en la información del remitente de un correo o en el identificador de una llamada.
Si se recibe una comunicación inesperada que solicita información personal o una acción urgente, hay que pensar. Hay que verificar la solicitud a través de otro canal de comunicación conocido y fiable.
![Alertan de una nueva estafa telefónica que afecta a Galicia: el ‘spoofing’](["https:\/\/s2.elespanol.com\/2023\/05\/11\/quincemil\/actualidad\/galicia\/762934661_244651202_320x180.jpg"])
También es importante examinar los detalles con atención. Los correos y sitios web falsos a menudo contienen errores gramaticales, faltas de ortografía o un diseño de baja calidad.
Las direcciones de correo del remitente pueden ser muy parecidas a las legítimas, pero con ligeras variaciones. Prestar atención a estos pequeños indicios puede revelar el engaño.
Por supuesto, hay que mantener el software siempre actualizado. Esto incluye el sistema operativo, el navegador web y el software de seguridad.
Las actualizaciones a menudo contienen parches para vulnerabilidades de seguridad que los atacantes podrían explotar. Un sistema actualizado es un sistema más seguro y resistente a los ataques.
