Skip to main content

¿Qué es Spoofing? La técnica de engaño que va de la mano del phishing

19/06/2021 - 16:02

La mayoría de usuarios en internet ya conocen el término phishing, pero hay otro tipo de ataque informático que también se produce con mucha frecuencia y conocemos menos. ¿Sabéis qué es el Spoofing? Os lo contamos.

Aunque hay muchas categorías de ataques informáticos, los ciberdelincuentes no se centran en una sola, utilizan varias técnicas en un mismo ataque para tener más éxito, por eso el phishing y el spoofing suelen ir de la mano. 

Mientras el phishing es una técnica de cibercrimen en la que los piratas informáticos tratan de pescar a sus víctimas para robarles sus datos personales, el spoofing hace referencia a una de las técnicas que usan los delincuentes para realizar esa pesca. 

A través de páginas web falsas, correos electrónicos, SMS u ofertas y anuncios en internet, los cibercriminales tientan a los usuarios para hacerles caer en sus trampas y entre los anzuelos que se utilizan está el spoofing. La palabra spoof en inglés se suele traducir como parodia o burla, pero para este caso sería más correcto traducirlo como suplantación o imitación

Así lo traducen en la Oficina Española de Seguridad del Internauta como una suplantación de la identidad de una página web, empresa o de cualquier individuo con el objetivo de robar los datos de otras personas: “técnicas de hacking utilizadas de forma maliciosa para suplantar la identidad de una web, entidad o una persona en la red, con el objetivo de obtener información privada sobre nosotros”.

Se hacen pasar por marcas o entidades muy conocidas para que las víctimas confíen en ellos. Si te llega, por ejemplo, un correo electrónico de la Dirección General de Tráfico de tu país diciendo que tienes una multa pendiente por saltarte un semáforo o si te llega un SMS de tu banco indicando que hay un problema con tu cuenta bancaria, habrá muchas personas que piquen y descarguen el documento adjunto o pinchen en el enlace que viene con el mensaje. 

Sin embargo, en la mayoría de los casos es una trampa que te dirige a una web falsa que imita el diseño de tu banco o de la entidad a la que está suplantando su identidad. De esta forma la víctima introduce sus datos personales y contraseñas para pagar la multa o para consultar su dinero en el banco pensando que hay un problema. De esta manera tan sencilla le has dado tus datos personales a un ladrón que ahora puede hacerse pasar por ti y robar tu dinero.

Esta técnica se puede utilizar con cualquier empresa o persona. Pueden suplantar la identidad de alguna red social donde tengas una cuenta, empresas como Netflix o Amazon donde estamos pagando una suscripción o simplemente se hacen pasar por el Gobierno indicando que hay un problema con tu declaración de la renta o el paro que estás cobrando. 

Incluso es posible suplantar la identidad de un amigo o conocido al que hayan atacado previamente y a través de su ordenador o móvil infectado te mandan mensajes para que descargues algún archivo o entres en una web.

Estas son algunas de las modalidades de spoofing y cómo podemos actuar en cada uno de esos casos para evitar caer en la trama:

Spoofing en página web

Los ciberdelincuentes crean webs falsas imitando el diseño e incluso la URL de la web original y utilizan las técnicas de phishing para llevarnos hasta esa trampa de spoofing. 

  • Consejo: Al tratarse de una página web o un enlace que nos lleva a una página, la url puede darnos la pista. Busca enlaces y direcciones con certificados digitales y comprueba que no se trata de una farsa. 

Spoofing por correo electrónico 

Es el segundo caso más utilizado en este tipo de suplantaciones. Los ciberdelincuentes mandan correos masivos a muchos usuarios o crean cadenas de bulos que la gente va compartiendo sin pensar que están infectando a los demás. 

  • Consejo: La firma digital o encriptar el correo suele ayudar a certificar que somos el auténtico dueño de esa dirección. Esto también ayuda a verificar los correos de una empresa de los falsos. En cualquier caso, siempre es más seguro comprobar la información entrando directamente a la web de la empresa escribiendo la dirección en el navegador, evitando usar buscadores o los enlaces que hay en el propio mensaje. 

Spoofing por dirección IP

Los ciberdelincuentes también han aprendido a falsear sus direcciones IP para saltarse algunos controles de la red y poder mandarnos un malware. Esta técnica es muy común en los ataques DDoS que os explicamos en este otro vídeo. 

  • Consejo: Debemos configurar nuestro router con un firewall, para que sea capaz de filtrar direcciones IP sospechosas, aunque es posible que los delincuentes engañen, también a tu router.

Spoofing DNS

Existen algunos malware que pueden infectar nuestro router al descargarlos y cambiar los DNS del sistema. Así, cuando queramos acceder a una página en concreto, el router infectado nos redirige a una web falsa.  (sistema de nombres de dominio, DNS)

  • Consejo: Además de contar con un buen antivirus y comprobar siempre que estamos en una página segura antes de dar ningún dato, debemos blindar nuestro router, cambiar las contraseñas de forma periódica. 

Spoofing por aplicación

En último lugar queremos recalcar que estos engaños también los podemos encontrar en las aplicaciones para móviles u ordenador. Las tiendas oficiales (Apple Store, Google Play Store) cuentan con medidas de seguridad para certificar la fiabilidad de las apps, pero no son infalibles. Podemos encontrar apps que imitan la de Netflix pero que contienen un malware esperando que las descarguemos en el móvil.

  • Consejo: comprueba siempre la fuente y desarrolladores de esa aplicación. En vez de buscarla en la barra de búsqueda de la tienda puede ser más seguro entrar en la página web oficial y allí buscar el enlace para descargar la aplicación, pero debes estar muy seguro que esa es la página oficial. Y siempre leer detenidamente los permisos que le das a la aplicación para utilizar tu móvil, ver tu ubicación o utilizar tu cámara.

A parte de estos consejos, os podemos dar otros que sirven para cualquier tipo de peligro en internet: 

  • Actuar con sentido común y precaución ante cualquier mensaje, noticia o anuncio que nos llegue
  • Estar informado sobre las últimas noticias en tecnología y en ciberataques que entidades como INCIBE o medios de comunicación como nosotros solemos compartir para que estéis alertas.
  • Ser conscientes de que no hay una técnica o programa que nos proteja de todos los ataques y que siempre debemos estar preparados para caer en la trampa, haciendo copias de seguridad y actualizando todos los dispositivos.
  • Y por último, ante la más mínima duda, nunca debemos compartir ni distribuir un mensaje o descargar un archivo o aplicación y debemos denunciar o consultar a las autoridades, policía o instituciones dedicadas a la ciberseguridad.