Suplantación de identidad (Spoofing)

La suplantación de identidad consiste en fingir una identidad falsa, a menudo como parte de actividades delictivas. En informática, por ejemplo, puede hacerse mediante correos electrónicos que pretenden proceder de remitentes fiables. El término deriva del verbo inglés «spoof», que significa engañar o estafar.

¿Qué significa suplantación de identidad en detalle?

La suplantación de identidad es un procedimiento que se utiliza para diversas actividades delictivas. Entre las identidades de confianza potencialmente falsificadas se incluyen las siguientes:

• Tu banco
• Una empresa conocida como Amazon, Ebay o Paypal
• La policía u otra autoridad
• Uno de tus proveedores de servicios, clientes o incluso tu director general
• Amigos, conocidos o familiares

Fingiendo una identidad de confianza, se puede engañar a los usuarios:

• visitan sitios web comprometidos desde los que se descargan programas maliciosos (malware ) en su ordenador
• revelar nombres de usuario, contraseñas o incluso tus datos bancarios introduciéndolos en un sitio web falso
• Revelar información sensible de la empresa o transferir grandes sumas de dinero a una cuenta, por ejemplo, si los estafadores se hacen pasar por un superior(fraude del director general).
• abrir archivos adjuntos de correo electrónico que contengan malware como keyloggers o ransomware.
• También se realizan intentos de chantaje utilizando la suplantación de identidad, por ejemplo, bajo la identidad de un supuesto experto en informática. Esta persona afirma haber observado y documentado determinadas actividades de su víctima. Estas actividades suelen ser de naturaleza embarazosa. Para evitar su publicación, se pide a la víctima que pague un rescate.

¿Dónde me encuentro con el tema del «spoofing» en mi trabajo diario?

Puedes encontrarlo potencialmente en cada correo electrónico y en cada enlace que no sea claramente legible para ti. La suplantación de identidad también puede llevarse a cabo por teléfono, por ejemplo, mediante una persona que te llame haciéndose pasar por tu administrador y pidiéndote tu contraseña.

¿Qué puedo hacer para mejorar mi seguridad?

En general: reduce tus ciberriesgos. Esto también reducirá las posibilidades de que la suplantación de identidad tenga éxito. En concreto:

• Adopta una actitud crítica ante los correos electrónicos. Si tienes la más mínima duda, comprueba la identidad del remitente fuera de tu programa de correo electrónico. Por ejemplo, haciendo una llamada rápida o visitando el sitio web. No utilices los datos de contacto del correo sospechoso, sino información de tu libreta de direcciones o de canales oficiales.
• Sensibiliza a todos los empleados de tu empresa sobre este procedimiento, incluidos tus administradores, directores generales y miembros del consejo de administración. Las breves llamadas mencionadas pueden salvar a tu empresa de daños mayores.
• Nunca hagas clic en los enlaces de los correos electrónicos para acceder a tu cuenta de cliente. Accede manualmente a los sitios web correspondientes e inicia sesión en tu cuenta de cliente como de costumbre. Las facturas sorprendentes o los supuestos controles de seguridad suelen resultar inexistentes.
• En el caso de los enlaces, comprueba la dirección real a la que conduce el enlace. Si hay la menor duda, no hagas clic en él. Llama manualmente a la página deseada.
• Denuncia siempre los intentos de chantaje a la policía. Por absurdos e inapropiados que sean a menudo, son delitos penales.