¿Qué es la suplantación de identidad? Definición y explicación

Definición de suplantación de identidad

En ciberseguridad, se habla de "suplantación de identidad" cuando los estafadores se hacen pasar por otra persona o algo más para ganarse la confianza de alguien. La motivación suele ser obtener acceso a sistemas, robar datos, robar dinero o propagar software malicioso.

¿Qué es la suplantación de identidad?

La suplantación es un término general para definir el enmascaramiento de un ciberdelincuente, que se hace pasar por una entidad o dispositivo de confianza para que hagas algo que beneficia al atacante y te perjudica. Cada vez que un estafador en línea disfraza su identidad, estamos ante la presencia de este fenómeno.

La suplantación de identidad puede aplicarse a una serie de canales de comunicación y puede implicar distintos niveles de complejidad técnica. Los ataques de suplantación de identidad suelen implicar un elemento de ingeniería social, en el que los estafadores manipulan psicológicamente a sus víctimas aprovechando vulnerabilidades humanas como el miedo, la codicia o la falta de conocimientos técnicos.

¿Cómo funciona la suplantación de identidad?

Estos ataques suelen basarse en dos elementos: la suplantación en sí, como un correo electrónico o sitio web falsos, y el aspecto de ingeniería social, que incita a las víctimas a actuar. Por ejemplo, los suplantadores de identidad pueden enviar un correo electrónico que parezca proceder de un compañero de trabajo o superior de confianza pidiéndote que transfieras dinero por Internet, justificando la solicitud de forma convincente. Los suplantadores de identidad suelen saber de qué hilos tirar para manipular a la víctima para que realice la acción deseada (en este ejemplo, autorizar una transferencia bancaria fraudulenta) sin levantar sospechas.

El éxito de un ataque de suplantación de identidad puede tener graves consecuencias, como el robo de información personal o empresarial, la obtención de credenciales para utilizarlas en otros ataques, la propagación de software malicioso, el acceso no autorizado a una red o la elusión de los controles de acceso. En el caso de las empresas, los ataques de suplantación de identidad pueden conducir, en ocasiones, a ataques de ransomware o a dañinas y costosas filtraciones de datos.

Hay muchos tipos diferentes de ataques de suplantación de identidad: los más sencillos se refieren a correos electrónicos, sitios web y llamadas telefónicas. Los ataques técnicos más complejos afectan a las direcciones IP, al Protocolo de resolución de direcciones (ARP) y a los servidores del Sistema de nombres de dominio (DNS). A continuación, analizamos los ejemplos más comunes de suplantación de identidad.

Tipos de suplantación de identidad

Suplantación de correo electrónico

Uno de los ataques más extendidos, la suplantación de correo electrónico se produce cuando el remitente falsifica los encabezados del correo electrónico para que el software cliente muestre la dirección fraudulenta del remitente, que la mayoría de los usuarios toman al pie de la letra. A menos que inspeccionen detenidamente el encabezado, los destinatarios del correo electrónico asumen que el remitente falsificado ha enviado el mensaje. Si es un nombre que conocen, es probable que confíen en él.

Los correos electrónicos falsos suelen solicitar una transferencia de dinero o permiso para acceder a un sistema. Además, a veces contienen archivos adjuntos que instalan software malicioso, como programas troyanos o virus, al abrirlos. En muchos casos, el software malicioso se diseña no solo para infectar el ordenador, sino también para propagarse por toda tu red.

Este tipo de suplantación se basa, en gran medida, en la ingeniería social, la capacidad de convencer a un usuario humano para que crea que lo que está viendo es auténtico, pidiéndole que abra un archivo adjunto o haga una transferencia de dinero, por ejemplo.

Cómo evitar la suplantación de identidad en el correo electrónico:

Por desgracia, es imposible acabar por completo con la suplantación de identidad de correo electrónico, ya que la base para enviarlo, conocida como Protocolo simple de transferencia de correo, no requiere ningún tipo de autenticación. Sin embargo, los usuarios normales pueden tomar medidas sencillas para reducir el riesgo de un ataque de suplantación de identidad por correo electrónico eligiendo un proveedor de correo electrónico seguro y practicando buenos hábitos de ciberseguridad:

• Utiliza cuentas de correo electrónico desechables al registrarte en sitios web. Esto reduce el riesgo de que tu dirección de correo electrónico privada aparezca en listas utilizadas para el envío masivo de mensajes falsos.
• Asegúrate de que la contraseña del correo electrónico es segura y compleja. Una contraseña segura hace más difícil que los delincuentes accedan a tu cuenta y la utilicen para enviar correos electrónicos maliciosos.
• Si puedes, inspecciona el encabezado del correo electrónico (esto dependerá del servicio de correo electrónico que utilices y solo funcionará en ordenadores de escritorio). El encabezado del correo electrónico contiene metadatos sobre cómo se envió el correo electrónico y de dónde procede.
• Activa el filtro antispam. Esto debería evitar que la mayoría de los correos electrónicos falsos lleguen a la bandeja de entrada. 

Suplantación de IP

Mientras que la suplantación de correo electrónico se centra en el usuario, la suplantación de IP se dirige a toda la red.

En la suplantación de IP, un atacante intenta obtener acceso no autorizado a un sistema mediante el envío de mensajes con una dirección IP falsa o "suplantada", de manera que parezca que el mensaje viene de una fuente de confianza, como la propia red informática interna, por ejemplo.

Para conseguirlo, los ciberdelincuentes toman una dirección IP de un host válido y alteran los encabezados de paquetes enviados desde sus propios sistemas para que parezca que vienen del ordenador de confianza original. Detectar a tiempo los ataques de suplantación de IP es especialmente importante, ya que suelen forman parte de ataques de DDoS (denegación de servicio distribuidos), que pueden desconectar toda una red. Puedes leer más en nuestro artículo detallado sobre suplantación de IP.

Cómo evitar la suplantación de IP: consejos para propietarios de sitios web:

• Supervisar las redes en busca de actividad inusual.
• Utilizar sistemas de filtrado de paquetes capaces de detectar inconsistencias, como paquetes salientes con direcciones IP de origen que no coinciden con las de la red.
• Utilizar métodos de verificación para todos los accesos remotos (incluso entre ordenadores conectados en red).
• Autenticar todas las direcciones IP.
• Utilizar un bloqueador de ataques de red.
• Asegurarse de que al menos algunos recursos informáticos están detrás de un firewall.

Suplantación de sitios web

La suplantación de sitios web, también conocida como suplantación de URL, se produce cuando los estafadores hacen que un sitio web fraudulento se parezca a uno legítimo. El sitio web falsificado tendrá una página de inicio de sesión familiar, logotipos robados y una identidad de marca similar, e incluso una URL falsificada que parece correcta a primera vista. Los piratas informáticos crean estos sitios web para robar tus datos de inicio de sesión y, potencialmente, introducir software malicioso en tu ordenador. A menudo, la suplantación de sitios web se realiza junto con la suplantación de correo electrónico; por ejemplo, los estafadores pueden enviarte un correo electrónico que contenga un vínculo al sitio web falso.

Cómo evitar la suplantación de sitios web:

• Verificar la barra de direcciones: es poco probable que un sitio web falso sea seguro. Para comprobarlo, la URL debe empezar por https:// en lugar de http:// (la "s" significa "seguro"), y también debe haber un símbolo de candado en la barra de direcciones. Esto significa que el sitio dispone de un certificado de seguridad actualizado. Si un sitio no lo tiene, no significa necesariamente que haya sido suplantado; busca también otros indicios.
• Presta atención a las faltas de ortografía o los errores de gramática, o a los logotipos o colores que pueden ser ligeramente incorrectos. Comprueba que el contenido esté completo: por ejemplo, los sitios web falsos a veces no se molestan en rellenar la política de privacidad o los términos y condiciones con contenido real.
• Usa un administrador de contraseñas: el software utilizado para autorrellenar las credenciales de inicio de sesión no funciona en los sitios web suplantados. Si el software no rellena automáticamente los campos de contraseña y nombre de usuario, podría indicar que el sitio web es falso.

Suplantación telefónica o de identificación de llamadas

La suplantación de identificación de llamadas (a veces denominada suplantación telefónica) se produce cuando los estafadores falsifican deliberadamente la información enviada a tu identificador de llamadas para disfrazar su identidad. Lo hacen porque saben que es más probable que contestes el teléfono si crees que te llama un número local en lugar de uno que no reconoces.

La suplantación de identificación de llamadas utiliza VoIP (voz sobre protocolo de internet), que les permite a los estafadores crear un número de teléfono y un identificador de llamadas de su elección. Una vez que el destinatario responde a la llamada, los estafadores intentan obtener información confidencial con fines fraudulentos.

Cómo evitar que alguien suplante mi número de teléfono:

• Comprueba si tu operador de telefonía dispone de un servicio o aplicación que te ayude a identificar o filtrar las llamadas de spam.
• Puedes considerar el uso de aplicaciones de terceros que te ayuden a bloquear las llamadas de spam, pero ten en cuenta que estarás compartiendo datos privados con ellos.
• Si recibes una llamada de un número desconocido, a menudo es mejor no contestar. Responder a las llamadas spam invita a recibir más llamadas de spam, ya que los estafadores te considerarán un candidato potencial.

Suplantación por mensajes de texto

La suplantación por mensajes de texto, a veces denominada suplantación de identidad por SMS, se produce cuando la persona que envía un mensaje de texto engaña a los usuarios con información falsa sobre el remitente. Las empresas legítimas a veces hacen esto con fines de marketing, sustituyendo un número largo por una identificación alfanumérica corta y fácil de recordar, aparentemente para que sea más cómodo para los clientes. Pero los estafadores también lo hacen: ocultan su verdadera identidad tras un identificador de remitente alfanumérico, normalmente haciéndose pasar por una empresa u organización legítima. A menudo, estos textos falsos incluyen vínculos a sitios de phishing por SMS (conocidos como "smishing") o descargas de software malicioso.

Cómo evitar la suplantación de identidad por mensajes de texto:

• Evita en la medida de lo posible hacer clic en los vínculos de los mensajes de texto. Si un SMS que parece ser de una empresa que conoces te pide que actúes con urgencia, visita su sitio web escribiendo tú mismo la URL o buscándola a través de un motor de búsqueda y no hagas clic en el vínculo del SMS.
• En particular, nunca hagas clic en vínculos de "restablecimiento de contraseña" en mensajes SMS, ya que es muy probable que se trate de estafas.
• Recuerda que los bancos, las empresas de telecomunicaciones y otros proveedores de servicios legítimos nunca piden datos personales por SMS, así que no proporciones información personal por esa vía.
• Ten cuidado con las alertas de SMS "demasiado buenas para ser verdad" sobre premios o descuentos: es probable que sean estafas.

Suplantación de ARP

El Protocolo de resolución de direcciones (ARP) permite que las comunicaciones de red alcancen un dispositivo específico en una red. La suplantación de ARP, a veces también llamada envenenamiento de caché ARP, se produce cuando un actor malicioso envía mensajes ARP falsificados a través de una red de área local. Esto vincula la dirección MAC del atacante con la dirección IP de un dispositivo o servidor legítimo de la red. Este vínculo significa que el atacante puede interceptar, modificar o incluso detener cualquier dato destinado a esa dirección IP.

Cómo evitar el envenenamiento de caché ARP:

• Para las personas, la mejor defensa contra este ataque es utilizar una red privada virtual (VPN).
• Las organizaciones deben utilizar cifrado, es decir, los protocolos HTTPS y SSH, para ayudar a reducir la posibilidad de que un ataque de envenenamiento de ARP tenga éxito.
• Las organizaciones también deben considerar el uso de filtros de paquetes, que bloquean los paquetes maliciosos y aquellos cuyas direcciones IP son sospechosas.

Suplantación de DNS

La suplantación de DNS, a veces denominada envenenamiento de caché DNS, es un ataque en el que se utilizan registros DNS alterados para redirigir el tráfico en línea a un sitio web falso que se asemeja a su destino previsto. Los suplantadores lo consiguen sustituyendo las direcciones IP almacenadas en el servidor DNS por las que los piratas informáticos quieren utilizar. Puedes leer más sobre los ataques de suplantación de DNS en nuestro artículo completo aquí.

Cómo evitar la suplantación de DNS:

• Para las personas: nunca hagas clic en un vínculo en el que no confías, utiliza una red privada virtual (VPN), analiza periódicamente tu dispositivo en busca de software malicioso y vacía la caché DNS para solucionar el envenenamiento.
• Para los propietarios de sitios web: utiliza herramientas de detección de falsificación de DNS, extensiones de seguridad del sistema de nombres de dominio y cifrado de extremo a extremo.

Suplantación de GPS

La suplantación de GPS se produce cuando se engaña a un receptor GPS para que emita señales falsas que parecen reales. Esto significa que los estafadores fingen estar en un lugar mientras en realidad están en otro. Los estafadores pueden utilizar esto para interferir el GPS de un coche y enviarte a un lugar equivocado o, a una escala mucho mayor, pueden incluso interferir potencialmente las señales GPS de barcos o aviones. Muchas aplicaciones móviles se basan en los datos de ubicación de los teléfonos inteligentes, que pueden ser objetivos de este tipo de ataques de suplantación de identidad.

Cómo evitar la suplantación de GPS:

• Se está desarrollando tecnología antifalsificación de GPS, pero principalmente para grandes sistemas, como la navegación marítima.
• La forma más sencilla (aunque incómoda) de que los usuarios protejan sus teléfonos inteligentes o tabletas es ponerlos en "modo de ubicación para ahorrar energía". En este modo, solo se utilizan las redes wifi y móviles para determinar tu ubicación, y el GPS está desactivado (este modo no está disponible en algunos dispositivos).

Suplantación facial

La tecnología de reconocimiento facial se utiliza para desbloquear dispositivos móviles y ordenadores portátiles y cada vez más en otros ámbitos, como los cuerpos de seguridad, la seguridad aeroportuaria, la sanidad, la educación, el marketing y la publicidad. La suplantación de reconocimiento facial puede producirse a través de datos biométricos obtenidos ilegalmente, ya sea de forma directa o encubierta a partir de los perfiles en línea de una persona o a través de sistemas pirateados.

Cómo evitar la suplantación facial:

• La mayoría de los métodos anti suplantación facial implican la detección de vivacidad. Esto determina si una cara es real o es una reproducción falsa. Hay dos técnicas involucradas en este proceso:
  • Detección del parpadeo, que observa patrones en los intervalos de parpadeo: se deniega el acceso a los estafadores que no coincidan con estos patrones.
  • Detección interactiva, que les pide a los usuarios que realicen determinadas acciones faciales para comprobar que son reales.

Cómo evitar la suplantación

En general, seguir estos consejos de seguridad en línea te ayudará a minimizar la exposición a los ataques de suplantación de identidad:

1. Evita hacer clic en los vínculos o abrir los archivos adjuntos de los correos electrónicos de fuentes desconocidas. Podrían contener software malicioso o virus que infectarían tu dispositivo. En caso de duda, evítalo siempre.
2. No respondas a correos electrónicos o llamadas de remitentes desconocidos. Cualquier comunicación con un estafador conlleva un riesgo potencial e invita a recibir más mensajes no deseados.
3. Siempre que sea posible, configura la autenticación de dos factores. Esto añade otra capa de seguridad al proceso de autenticación y les dificulta a los atacantes el acceso a tus dispositivos o cuentas en línea.
4. Usa contraseñas seguras. Una contraseña segura no es fácil de adivinar e, idealmente, se compone de una combinación de letras mayúsculas y minúsculas, caracteres especiales y números. Evita utilizar la misma contraseña en todos los sitios y cámbiala con regularidad. Una herramienta de administrador de contraseñas es una excelente manera de administrar las contraseñas.
5. Revisa tu configuración de privacidad en línea. Si utilizas sitios de redes sociales, ten cuidado con quién te conectas y aprende a utilizar la configuración de privacidad y seguridad para mantenerte a salvo. Si reconoces un comportamiento sospechoso, has hecho clic en spam o has sido víctima de una estafa en línea, toma medidas para proteger tu cuenta y asegúrate de denunciarlo.
6. No reveles información personal en Internet. Evita revelar información personal y privada en Internet a menos que estés 100 % seguro de que se trate de una fuente de confianza.
7. Mantén actualizados el software y las redes. Las actualizaciones de software incluyen parches de seguridad, correcciones de errores y nuevas funciones: mantenerse al día reduce el riesgo de infección por software malicioso y las vulneraciones de seguridad.
8. Revisa los sitios web, correos electrónicos o mensajes en busca de faltas de ortografía o errores de gramática, además de cualquier otro aspecto que parezca incorrecto, como logotipos, colores o falta de contenido. Esto puede ser un indicio de suplantación de identidad. Visita únicamente sitios web con un certificado de seguridad válido.

En Estados Unidos, las víctimas de suplantación pueden presentar una denuncia ante el Centro de Quejas del Consumidor de la FCC. Otras jurisdicciones del mundo tienen organismos similares con sus propios procedimientos de denuncia. Si has perdido dinero debido a la suplantación de identidad, puedes involucrar a las fuerzas policiales.

La mejor manera de mantenerse seguro en Internet es mediante una solución de software antivirus sólida. Recomendamos Kaspersky Total Security: un paquete de ciberseguridad completo, que protegerá a toda tu familia en Internet y te garantizará una experiencia en línea más segura.

Artículos relacionados:

• Amenazas de spam y phishing
• Estafas por Instagram: cómo mantenerte seguro en Instagram
• ¿Qué es el doxing?