Qué es el spoofing

El spoofing o suplantación de identidad es un conjunto de técnicas utilizadas por los atacantes para hacerse pasar por una persona o entidad de confianza y engañar a las víctimas para obtener información.

Principales tipos de spoofing

Actualmente, el tipo de ataques más cometido por los ciberdelincuentes es el phishing, que consiste en obtener información sensible de las víctimas para cometer actos delictivos. En el caso de los bancos o entidades financieras se ha producido un incremento exponencial del número de ataques de phishing. El objetivo de este tipo de ataques es obtener credenciales de banca electrónica, datos de tarjetas de crédito/débito u otros medios de pago (ej: Bizum) para cometer estafas o fraudes económicos obteniendo dinero de sus víctimas mediante operaciones electrónicas (transferencias, compras online…), o incluso obtener información personal (nombre, DNI, fecha y lugar de nacimiento, etc.) para cometer otro tipo de delitos.

Antes de explicar en qué consisten los principales tipos de engaño o de suplantación de identidad (spoofing), es conveniente recordar que los bancos o entidades financieras nunca solicitarán a sus clientes a través de ningún medio como SMS, llamada telefónica, correo electrónico, etc. que proporcionen credenciales de la banca electrónica (usuario y contraseña, código que envían al teléfono móvil), ni ninguna otra información como la numeración de la tarjeta, fecha de caducidad y los tres dígitos de control necesarios para efectuar compras online.

En el entorno bancario, los principales tipos de spoofing que se utilizan son el SMS Spoofing y el ID Spoofing, también conocido como spoofing telefónico.

Qué es SMS Spoofing

El SMS Spoofing o suplantación de identidad por SMS es la técnica utilizada en un tipo de phishing conocido como smishing.

El engaño consiste en enviar un SMS a la víctima que simula ser de su banco con el objetivo de que le facilite la información necesaria para cometer la estafa o fraude o cualquier otro delito. Este SMS es modificado mediante aplicaciones o técnicas (cambiando el número de teléfono original que envió el SMS por otro, añadiendo el nombre de la entidad en el FROM del SMS, etc.) para que parezca ser del banco y que entre en el hilo de mensajes originales del banco recibidos por la persona.

Estos SMS falsos contendrán un enlace a una página web falsa (spoofing de página web o dominio), que será parecida a una página web original del banco en cuestión. También es frecuente que el usuario reciba indicaciones para llamar a un número de teléfono donde se le solicitará el usuario y la contraseña de su banca electrónica, el código que envía el banco al móvil para acceder o el número de tarjeta, fecha de caducidad y CVV/CVC (tres dígitos de la parte de atrás de la tarjeta).

Recuerda que Banco Santander nunca va a solicitar información a través de un SMS para introducirla en una página web ni indicará a sus usuarios que llamen a ningún número para facilitar esa información.

Definición de Caller ID Spoofing

El ID Spoofing o suplantación de identidad en llamadas telefónicas es la técnica utilizada en un tipo de phishing conocido como vishing.

El mecanismo del ID Spoofing es análogo al del SMS Spoofing, consiste en cambiar el ID de llamada o número de teléfono para engañar de esta manera a la víctima y haciéndose pasar por personal del banco para conseguir información personal.

Para evitar este tipo de ataques, sigue las mismas recomendaciones que en el caso del SMS Spoofing:

  • Desconfiar de cualquier llamada no esperada por el banco.
  • No facilitar información sensible como credenciales de banca electrónica, datos de tarjetas u otros medios de pago, y cualquier información que permita que cualquier persona se pueda hacer pasar por nosotros (nombre, DNI, fecha y lugar de nacimiento, etc.).

Qué es spoofing de email o correo electrónico

Se utiliza en phishings de correo electrónico y consiste en falsificar un email para que parezca enviado por nuestro banco. Para detectar este tipo de estafas, analiza el mensaje recibido:

  • En el campo DE/FROM, dirección de correo electrónico del remitente, observaremos que el dominio, lo que va a la derecha de la @ (<buzón de correo>@dominio) será distinto al dominio original del banco (en el caso del Banco Santander el dominio correcto es bancosantander.es).
  • En este tipo de correos electrónicos se solicitará información sensible.
  • Se insertarán links o enlaces a páginas web fraudulentas, que serán similares a webs del banco, para infectar el ordenador con algún tipo de malware (virus, gusano, troyano, etc.) o que se abra una página web similar a la de la entidad (spoofing de dominio o página web) y que la persona introduzca la información requerida por el atacante.

La recomendación para evitar phishing basado en spoofing de correo electrónico es no facilitar ningún tipo de información sensible por correo electrónico y no hacer click en ningún enlace que venga en un email inesperado “del banco”. Por norma general, para el caso de los enlaces o links, la recomendación es ir directamente a la página del banco a través del navegador de Internet o de un buscador como p. ej. Google y acceder a la banca electrónica, etc. a través de la página web del propio banco y no de enlaces o links de correo.

Spoofing de página web o dominio: qué debes saber

Como comentamos en los casos anteriores de spoofing, este tipo de suplantación de identidad lo utilizan los atacantes en combinación con otros tipos de spoofing, como el de SMS o email, para crear páginas web maliciosas o fraudulentas que parecen ser las del banco y donde se solicitan las credenciales de la banca electrónica o cualquier otro tipo de información que permita cometer estafas o fraude o hacerse pasar por la víctima para cometer cualquier actividad delictiva en su nombre.

Al igual que en el caso del spoofing de correo electrónico, si observamos la URL (dirección web) en la barra de direcciones del navegador de Internet, veremos que el dominio de la página web es similar, pero no coincide exactamente con el dominio de la entidad en cuestión. Por ejemplo, una página web del Banco Santander tendrá el dominio bancosantander.es (<nombre de la página web>.bancosantander.es/<otra información o subpáginas>, como por ejemplo https://www.bancosantander.es/empresas).

Cómo evitar este tipo de ataques

  • Acceder siempre a la página de la entidad tecleando la URL en el navegador o a través de un buscador como Google.
  • No hacer click en ningún enlace o link que nos llegue a través de un correo electrónico o SMS inesperado para evitar infecciones por malware.
  • No introducir información en ninguna web que se abra a través de un enlace recibido a través de un SMS o email inesperado.

¿Qué hacer en caso de facilitar información sensible en un phishing?

Para los clientes del Banco Santander, en el caso de que identifiquen cargos en sus cuentas que no han realizado o faciliten cualquier tipo de información a través de llamada de teléfono, correo electrónico, SMS o un enlace o link web sospechosos, pueden contactar inmediatamente con el banco a través de los canales de comunicación puestos a disposición de los clientes para informar de lo sucedido:

¿Te ha parecido útil esta información?
Nos encantaría conocer tu opinión para mejorar

Te puede interesar

×
${loading}
×