¿Qué es?

La suplantación de identidad, también conocida como phishing, es un tipo de fraude que busca engañar a las personas para que entreguen información personal, como contraseñas, datos bancarios o números de tarjetas. Los estafadores se hacen pasar por empresas confiables, como bancos o instituciones conocidas, y envían correos electrónicos, mensajes de texto o incluso llamadas que parecen reales.

El mensaje suele incluir logotipos oficiales, un tono urgente y enlaces que llevan a sitios falsos que imitan a los verdaderos. Al ingresar tus datos en estos sitios, sin saberlo, se los estás entregando directamente a los atacantes. A veces, también instalan virus o programas espía en tu computadora sin que te des cuenta.

Estos ataques no solo afectan a personas comunes. En las empresas, un solo mensaje puede ser suficiente para que un hacker acceda a toda la red interna, provocando filtraciones de información, pérdidas económicas o robos masivos de datos.

¿Cómo funciona la Suplantación de identidad?

En un ataque típico, el criminal obtiene la información de contacto de uno o muchos objetivos y luego comienza a enviar mensajes de suplantación de identidad por correo electrónico o mensaje de texto. En la mayoría de las campañas de suplantación de identidad, el atacante infunde sus mensajes con un sentido de urgencia, lo que motiva a la víctima a responder con datos sensibles o hacer clic en un enlace. Si la víctima hace clic en el enlace, se la lleva a un sitio web falso diseñado específicamente para el robo de identidad o para permitir que el atacante obtenga acceso a datos restringidos. El cibercriminal puede usar una combinación de varios factores para engañar a sus objetivos:

• Una dirección de correo electrónico realista que utiliza el atacante, como una que parece tener el mismo dominio o uno similar al de una empresa de confianza
• Un sitio web que parece pertenecer a una empresa legítima
• Un correo electrónico bien redactado y gramaticalmente limpio con logotipos realistas u otro material adicional de la marca

Por ejemplo, una de las campañas de suplantación de identidad más comunes involucra a un atacante que crea un sitio web que se parece casi exactamente al de una institución financiera. Después de que la víctima hace clic en un enlace, no tiene idea de que está siendo víctima de una estafa de suplantación de identidad, especialmente porque el sitio se ve tan auténtico.

Con este tipo de técnicas de suplantación de identidad, la víctima ingresa sus credenciales de inicio de sesión, que recopila el atacante. Luego, el pirata informático utiliza las credenciales de inicio de sesión por sí mismo o las vende a otra persona. Es por eso que es crucial estar atento a los correos electrónicos sospechosos e informar cualquier cosa que levante una bandera a TI.

Tipos de ataques de Suplantación de identidad de identidad.

Los intentos de Suplantación de identidad de identidad pueden ser diversos, ya que los ciber atacantes se han vuelto más sofisticados y creativos con sus técnicas. Lo que une estos ataques es su propósito común: robo de identidad o transferencia de malware. A continuación, se presenta una revisión de los diferentes tipos de ataques a la información.

1. Suplantación de identidad dirigida

Cuando los ataques generales de correo electrónico utilizan tácticas similares al correo no deseado para difundir miles a la vez, los ataques de suplantación de identidad dirigida a personas específicas dentro de una organización. En este tipo de estafa, los piratas informáticos personalizan sus correos electrónicos con el nombre, el cargo, el número de teléfono laboral y otra información del objetivo para engañar al destinatario para que crea que el remitente de alguna manera los conoce de manera personal o profesional. La suplantación de identidad dirigida es para organizaciones con los recursos para investigar e implementar esta forma de ataque más sofisticada.

2.Whaling

Whaling es una variante de la suplantación de identidad dirigida que se dirige a los CEO y otros ejecutivos (“whales”). Como tales personas generalmente tienen acceso sin restricciones a datos corporativos sensibles, la relación riesgo-recompensa es drásticamente mayor. Whaling es para organizaciones criminales avanzadas que tienen los recursos para ejecutar esta forma de ataque.

3. Compromiso del correo electrónico corporativo (BEC)

Los ataques de Compromiso de correo electrónico empresarial (Business Email Compromise, BEC) están diseñados para hacerse pasar por altos ejecutivos y engañar a empleados, clientes o proveedores para que transfieran pagos de bienes o servicios a cuentas bancarias alternativas. De acuerdo con el Informe de delitos por Internet de 2019 del FBI, las estafas de BEC fueron el tipo de cibercrimen más dañino y efectivo en 2019.

4. Suplantación de identidad por clonación

En este tipo de ataque, el estafador crea una réplica casi idéntica de un correo electrónico auténtico, como una alerta que uno podría recibir del banco, para engañar a una víctima para que comparta información valiosa. El atacante intercambia lo que parece ser un enlace o archivo adjunto auténtico en el correo electrónico original con uno malicioso. El correo electrónico a menudo se envía desde una dirección que se asemeja a la del remitente original, lo que dificulta su detección.

5. Vishing

También conocido como suplantación de identidad de voz, en vishing, el estafador muestra de manera fraudulenta el número de teléfono real de una organización conocida y confiable, como un banco o el IRS, en el identificador de llamadas de la víctima para atraer al destinatario a responder la llamada. Luego, el estafador se hace pasar por un ejecutivo o funcionario y utiliza tácticas de ingeniería social o intimidación para exigir el pago de dinero supuestamente adeudado a esa organización. La vishing también puede incluir el envío de mensajes de correo de voz que piden a la víctima que devuelva la llamada a un número; cuando la víctima lo hace, se engaña a la víctima para que ingrese su información personal o los detalles de su cuenta.

6. Zapato de nieve

En un esquema de raquetas de nieve, los atacantes intentan eludir los filtros tradicionales de correo electrónico no deseado. Lo hacen expulsando mensajes a través de múltiples dominios y direcciones IP, enviando un volumen tan bajo de mensajes que las tecnologías de filtrado de spam basadas en reputación o volumen no pueden reconocer ni bloquear mensajes maliciosos de inmediato. Algunos de los mensajes llegan a las bandejas de entrada de correo electrónico antes de que los filtros aprendan a bloquearlos.

¿Cómo puedes protegerte?

Sophos ofrece varias herramientas para protegerte de este tipo de amenazas:

• Filtrado de correos electrónicos (Sophos Email): Detecta y bloquea mensajes sospechosos antes de que lleguen a tu bandeja de entrada, incluso si parecen reales.
• Protección contra enlaces maliciosos (URL Protection): Analiza los enlaces incluidos en correos y páginas web para identificar sitios falsos antes de que abras uno.
• Detección de malware (Intercept X): Sophos analiza en tiempo real si un archivo o enlace puede infectar tu equipo. Si detecta una amenaza, lo bloquea inmediatamente.
• Protección contra robo de identidad (Phishing Protection): Ayuda a prevenir el robo de datos con inteligencia artificial que detecta patrones sospechosos en los mensajes.
• Autenticación multifactor (MFA): Sophos permite activar capas extra de seguridad, como el uso de un código desde tu celular además de tu contraseña.
• Capacitación para usuarios (Sophos Phish Threat): Entrena a los empleados o usuarios con simulaciones reales de phishing para que aprendan a detectar intentos de engaño.

Recomendaciones finales:

• Nunca hagas clic en enlaces sospechosos. Verifica siempre el remitente.
• No descargues archivos adjuntos que no esperabas.
• Revisa si el sitio web tiene una dirección segura (https).
• Usa herramientas como Sophos para prevenir ataques antes de que ocurran.