Los estafadores siempre han tratado de aprovechar la inexperiencia, la ignorancia y la ingenuidad de los demás en su beneficio. Hoy combinan el engaño con la tecnología para crear una nueva herramienta, el spoofing, una variante del phishing.
En el diccionario de Cambridge, se define spoofing como “el acto de hacer creer a alguien que algo no es cierto; que es una broma». Por desgracia, no hay nada divertido en la suplantación de identidad, que es lo que en realidad significa en términos de ciberseguridad. Es indudable que hacerse pasar por otra persona es el engaño más antiguo del mundo.
En concreto, en esta ciberestafa, los ciberdelincuentes interceptan las comunicaciones de sus víctimas para engañarlas haciéndoles pensar que el correo electrónico proviene de alguien que conocen o en quien pueden confiar. En la mayoría de los casos, utilizan la identidad de una amistad, un proveedor o una empresa. Al explotar esta confianza, el atacante pide al destinatario que divulgue información o realice alguna otra acción, como hacer clic en un sitio externo.
Como se desprende de esta rápida descripción, el spoofing en realidad es una técnica tan antigua como internet, pero aún muy efectiva. En pocas palabras, es el arte de imitar a alguien o algo (por ejemplo, organizaciones como bancos u otras entidades) en un intento de ganar nuestra confianza.
Una vez derribado el muro natural de la desconfianza (y de la precaución), los delincuentes acceden a nuestros sistemas para robar datos, dinero o propagar malware. Además del correo electrónico, también es una estafa muy frecuente en aplicaciones de mensajería como WhatsApp.
¿Cómo funciona el spoofing?
El spoofing aprovecha este truco para inducirnos a bajar la guardia y convencernos a ofrecer información o realizar algún tipo de acción. Para ello, por ejemplo, pueden utilizar un email falso de Amazon para solicitar información sobre compras que nunca hemos hecho. Esta es una poderosa palanca psicológica que podría empujarnos a hacer clic en un enlace malicioso.
A partir de esta simple acción, los estafadores ya pueden enviarnos a una web donde se incluye una descarga automática de malware. O a una página de inicio de sesión falsificada con un logotipo familiar, solo con el fin de recopilar nuestro nombre de usuario y contraseña. Aunque a los más experimentados todo esto les pueda parecer una estafa un poco pasada de moda, son muchos los que aún caen en la trampa.
Nunca hay que olvidar, de hecho, que hoy en día casi toda la población tiene acceso a internet. Esto incluye a colectivos, como los ancianos o los niños, que todavía están muy poco informados sobre los peligros que esconde la red.
El spoofing es una técnica delictiva muy común y con datos impresionantes. Todos los días se envían 3100 millones de correos electrónicos falsos y más del 90 % de los ciberataques comienzan con un correo electrónico. En 2019, el FBI informó que 467 000 ciberataques tuvieron éxito y el 24 % de ellos se realizó por email. Los correos de spoofing y phishing han tenido un coste estimado a nivel mundial de 26 000 millones de dólares desde 2016.
Se trata de un efecto secundario casi inevitable de la revolución digital. De hecho, todos nosotros, a diario, sin darnos cuenta, compartimos una cantidad increíble de datos, personales y de otro tipo. Es inevitable que parte de esta información pueda usarse como un arma contra nosotros.
Cómo protegerse de las estafas por email
Por desgracia, incluso con un antivirus y un filtro antispam eficaz, algunos correos electrónicos maliciosos logran llegar al buzón del usuario. Hay varias recomendaciones que se pueden seguir para evitar ser víctima de este tipo de fraude.
- Nunca hacer clic sobre enlaces para acceder a sitios web donde se nos pide autenticarnos. Escribir siempre el dominio oficial en la barra del navegador y ‘loguearse’ en el sitio.
- Copiar y pegar el contenido de un mensaje sospechoso en un motor de búsqueda. Es probable que el texto utilizado en un ataque de phishing común ya haya sido denunciado y publicado en internet.
- Tener cuidado cuando recibimos un email que parece provenir de una fuente oficial, pero que tiene errores ortográficos o gramaticales.
- Evitar abrir archivos adjuntos de remitentes sospechosos o desconocidos.
- Los correos electrónicos que prometen dinero o cualquier otra cosa que sea demasiado buena para ser verdad, probablemente sean una estafa.
- Prestar atención a los emails que crean una sensación de urgencia o peligro. Los ataques de phishing a menudo intentan acortar el escepticismo natural de los destinatarios sugiriendo que algo malo sucederá si no actúan con rapidez.
- Tratar los enlaces incluidos en los emails con especial precaución si el mensaje alerta sobre cierres de cuentas inminentes, pagos programados no realizados o actividad sospechosa en una de nuestras cuentas bancarias.
- Por lo general, es mejor conectarse a las webs desde el navegador y no hacer clic en los enlaces presentes en los correos electrónicos.
En gran medida se trata de usar el sentido común o pensar cinco segundos antes de ejecutar acciones automáticas. Sin embargo, estas sencillas precauciones nunca se repetirán lo suficiente.
Por Alberto Barbieri
Imágenes | Tamara Gak/Unsplash, Brett Jordan/Unsplash y Bermix Studio/Unsplash
