La FTC informa de que el correo electrónico es un medio popular para las estafas de suplantación de identidad

Los ataques de suplantación de identidad han ido en aumento en la última década, con gigantes corporativos establecidos y agencias gubernamentales en la línea de fuego. La Comisión Federal de Comercioestá constantemente alerta ante las miles de estafas de suplantación de identidad que les llegan, dirigidas a estas empresas y organismos gubernamentales.

El problema de estos ataques es que juegan con la psicología humana, lo que los hace muy difíciles de detectar y detener. Además, los estafadores son cada vez más sofisticados tecnológicamente en sus técnicas de suplantación de identidad. En última instancia, esto aumenta el índice de éxito de las estafas. 

Las malas prácticas de seguridad en las organizaciones y la falta de concienciación entre los empleados son razones comunes que contribuyen al éxito de las estafas de suplantación de identidad. Tanto es así que, sólo en 2023, la FTC señala 330.000 casos de estafas por suplantación de identidad de empresas y 160.000 casos de estafas por suplantación de identidad de gobiernos. En su Consumer Protection Data Spotlight, la FTC reveló que el coste total asociado a estos ataques el año pasado superó los 1.000 millones de dólares.

¿Qué son las estafas de suplantación de identidad? 

Las estafas de suplantación de identidad son ciberamenazas en las que un atacante se hace pasar por una organización, institución o individuo para engañar a las víctimas y conseguir que revelen información sensible. Las estafas de suplantación de identidad suelen estar cargadas de un motivo financiero o para obtener acceso a los sistemas e información internos de una organización. 

¿A quién va dirigido?

En realidad, todo el mundo puede ser suplantado en Internet. Sin embargo, teniendo en cuenta el motivo de la rentabilidad, los ciberatacantes suelen suplantar la identidad de los siguientes objetivos populares en las estafas: 

1. Empresas privadas de renombre 
2. Organismos públicos
3. Bancos e instituciones financieras 
4. Colegios, universidades y otras instituciones educativas 
5. Altos ejecutivos de empresa (CEO, CTO, CFO)
6. Amigos y familiares 

¿Qué métodos se utilizan?  

Para llevar a cabo estafas de suplantación de identidad, los atacantes pueden utilizar los siguientes métodos: 

1. Suplantación de identidad por correo electrónico: Los correos electrónicos de phishing suelen enviarse desde nombres de dominio falsificados o suplantados, haciéndose pasar por organizaciones reales para estafar a sus clientes actuales o potenciales.

2. Vishing/Smishing: Similar al phishing, pero llevado a cabo a través de llamadas telefónicas o SMS, los atacantes se hacen pasar por fuentes legítimas para extraer información sensible.

3. Medios de comunicación social: La suplantación de identidad está muy extendida en las redes sociales, donde los estafadores crean perfiles falsos de usuarios existentes para difundir información errónea o engañar a amigos y familiares. El secuestro de cuentas es otra forma de suplantar identidades en las redes sociales.

¿Cuáles son los objetivos? 

El objetivo final de las estafas de suplantación de identidad es: 

1. Robar información confidencial como credenciales de acceso, contraseñas de cuentas, datos de tarjetas de crédito y débito, etc. 
2. Robar o transferir dinero a víctimas y organizaciones 
3. Manipular a las víctimas para que descarguen ransomware y malware en sus sistemas.
4. Robo de identidad 

Las 5 principales estafas de suplantación de identidad denunciadas por los consumidores a la FTC en 2023 

La FTC, en su informe Data Spotlight, enumeró las siguientes estafas más denunciadas por los consumidores en el año 2023: 

1. Falsas alertas de seguridad de cuentas 

Supongamos que recibe un mensaje de su banco en el que se le informa de que ha transferido X cantidad de dinero y se le pide que confirme si ha realizado la transacción. Se trata de un mensaje estándar que envían los bancos cuando se realiza una transacción, por motivos de seguridad. Sólo que el mensaje no es realmente de su banco. Esta vez es de un atacante que se hace pasar por su banco para engañarle y conseguir que transfiera sus fondos. 

2. Alertas falsas de renovación de cuenta

Tenías una cuenta de Netflix que hacía tiempo que no renovabas y de repente recibes una alerta de Netflix informándote de que van a realizar una renovación automática que descontará dinero de tu cuenta. Esto es alarmante y le instará inmediatamente a tomar medidas. Esta falsa alerta de un estafador que se hace pasar por Netflix se inspira en estafas similares de suplantación de identidad denunciadas por los consumidores a la FTC. 

3. Increíbles ofertas de descuentos, rebajas y cupones de regalo 

Si no vives bajo una roca, esta estafa no será nueva para ti. A menudo recibimos mensajes y correos electrónicos de empresas de comercio electrónico sobre las últimas rebajas y descuentos. Aunque algunos son auténticos, la mayoría de estos mensajes son una estafa. Es importante ser precavido y buscar señales de advertencia como enlaces y archivos adjuntos sospechosos. Otros indicios pueden ser mensajes mal redactados, errores gramaticales y ofertas que parecen demasiado buenas para ser verdad. 

4. Problemas de entrega de paquetes 

Entre 2023 y 2024, se produjo un gran aumento de las estafas relacionadas con la entrega de paquetes. Esta estafa parece bastante inofensiva. Un paquete entregado a su nombre no ha sido entregado y se le informa de que debe recogerlo manualmente en su oficina de correos local. El mensaje suele incluir un enlace con más información sobre el paquete. Pero la verdad es que no hay ningún paquete y el enlace puede llevarle a un sitio web de phishing para robar sus credenciales o empezar a descargar malware en su sistema. 

5. Los problemas con la ley asustan

El estrés y la coacción conducen a menudo al mal juicio o a la falta de él. Esta es la motivación de esta época de estafas por suplantación de identidad. Los estafadores que se hacen pasar por las fuerzas del orden cobran a personas inocentes por involucrarse de alguna manera con la ley. Las víctimas confundidas hacen lo que les dicen los estafadores para no meterse en líos y defenderse. 

La FTC presenta una nueva norma sobre suplantación de identidad de gobiernos y empresas

En 1 de abril de 2024la FTC finalmente puso en marcha la nueva norma sobre suplantación de identidad de gobiernos y empresas. Introdujeron medidas estrictas para prevenir las estafas de suplantación de identidad y minimizar las pérdidas financieras sufridas por los consumidores. He aquí los puntos clave de un vistazo:

1. La FTC puede emprender acciones legales contra los autores para obtener la devolución del dinero robado a los consumidores estafados. 
2. La FTC está continuamente tratando de proteger y educar a los consumidores sobre los diversos tipos de estafas de suplantación de identidad para que estén mejor informados y equipados.
3. La FTC también acepta comentarios del público hasta el 30 de abril sobre su norma de regulación comercial sobre suplantación de identidad

El correo electrónico: Un medio principal para las estafas de suplantación de identidad

La FTC destaca el correo electrónico y los mensajes de texto como los dos principales medios para las estafas de suplantación de identidad después de 2020. Aunque las estafas por llamadas telefónicas eran populares antes, su frecuencia ha disminuido de forma constante, mientras que las estafas por correo electrónico y SMS van en aumento.

Pero, ¿por qué eligen los atacantes el correo electrónico? El correo electrónico es un potente medio para los ciberataques, ya que se utiliza con demasiada frecuencia en entornos personales y profesionales. Se envían más de 300.000 millones de correos electrónicos al día, con más de 4.000 millones de usuarios activos en todo el mundo. Esto convierte al correo electrónico en un medio popular para que los estafadores investiguen a sus víctimas potenciales. Otros factores que hacen del correo electrónico una opción popular son: 

1. Falta de concienciación sobre el fraude por correo electrónico 
2. Malas prácticas de seguridad del correo electrónico en organizaciones y organismos públicos 
3. Falta de compatibilidad con protocolos avanzados de autenticación de dominios. 

¿Cómo evitar las estafas de suplantación de identidad por correo electrónico?

Hay dos métodos principales para evitar la suplantación de identidad por correo electrónico: ser precavido con los correos electrónicos que recibes y dificultar que los estafadores se hagan pasar por remitentes legítimos (esto se aplica más a las organizaciones).

Para los particulares, he aquí algunos consejos:

• Esté alerta a las señales de alarma: Los estafadores suelen crear una sensación de urgencia o presión para engañarle y que actúe rápidamente sin pensar. Presta atención a los correos electrónicos con mala gramática, faltas de ortografía o peticiones inesperadas de dinero o información personal.
• Verifique las direcciones de los remitentes: No te fíes sólo del nombre del remitente. Fíjate bien en la dirección de correo electrónico completa. Los estafadores pueden falsificar fácilmente los nombres de los remitentes para que parezcan legítimos.
• No hagas clic en enlaces o archivos adjuntos sospechosos: Pasa el ratón por encima de los enlaces antes de hacer clic para ver la URL de destino real. Nunca descargues archivos adjuntos de remitentes desconocidos.
• Desconfíe de los correos electrónicos no solicitados: Si recibes un correo electrónico de alguien que no conoces, sé especialmente precavido. 

Con el rápido aumento de las estafas de suplantación de identidad, la implementación de soluciones de seguridad de correo electrónico en la nube se ha vuelto crucial. Este enfoque integral para proteger las comunicaciones por correo electrónico desempeña un papel fundamental en la prevención de las estafas de suplantación de identidad, la protección de la información confidencial y el mantenimiento de la integridad de las operaciones empresariales frente a las crecientes amenazas cibernéticas.

En el caso de las organizaciones, existen medidas técnicas adicionales que pueden aplicarse:

• Autenticación SPF: SPF ayuda a verificar que los correos electrónicos que dicen proceder de su dominio se envían desde sus servidores autorizados.
• Autenticación DKIM: DKIM ayuda a verificar que los correos electrónicos no han sido manipulados durante las transacciones y que el contenido del mensaje ha permanecido intacto.
• DMARC: DMARC se basa en SPF y/o DKIM y le permite especificar cómo los receptores de correo electrónico deben tratar los correos electrónicos no autenticados de su dominio.
• Eduque a los empleados: Forme al personal para que conozca las estafas de suplantación de identidad por correo electrónico y sepa cómo detectarlas.

Mientras que los protocolos técnicos pueden requerir tiempo, esfuerzo y recursos para su configuración, junto con conocimientos y experiencia, las organizaciones facilitan el proceso con un analizador DMARC. Esta herramienta le ayuda a configurar, supervisar y gestionar fácilmente la autenticación del correo electrónico para uno o varios dominios. Además, es una solución más rápida, rentable y segura para pasar de políticas de no aplicación a políticas de aplicación. Esto le protege en cierta medida contra las estafas de suplantación de identidad por correo electrónico.

Palabras finales

La FTC trata continuamente de ayudar a las víctimas de estafas de suplantación de identidad y de concienciar sobre las ciberamenazas. Es importante recordar que la Comisión nunca le exigirá dinero, le chantajeará, utilizará la fuerza ni le ofrecerá recompensas. Por lo tanto, si recibe un SMS, un correo electrónico o una llamada telefónica de alguien que dice ser de la FTC y actúa de forma sospechosa, ¡tenga cuidado! Puede ponerse en contacto inmediatamente con los números de teléfono de ayuda de la FTC mencionados en su sitio web oficial para obtener ayuda. 

Por último, recuerde predicar y practicar siempre una comunicación digital segura, mantenerse alerta e invertir en buenas herramientas de ciberseguridad. Siempre es mejor prevenir que curar, y tomar las medidas adecuadas ahora puede ayudarle a ahorrar daños en costes de reparación en el futuro.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• ¿Cómo configurar DMARC en Office 365? Guía paso a paso - 6 de mayo de 2024
• Explicación de los códigos de error SMTP Yahoo - 1 de mayo de 2024
• SPF Softfail Vs Hardfail: ¿Cuál es la diferencia? - 26 de abril de 2024