Un ataque de suplantación de identidad es un intento de obtener acceso no autorizado a sistemas de información haciéndose pasar por usuarios autorizados. Estos ataques basados en la identidad se dirigen específicamente a las identidades digitales de personas u organizaciones y las ponen en peligro, aprovechando las vulnerabilidades relacionadas con la gestión de identidades y accesos para robar información como nombres de usuario, contraseñas o datos personales, cometer fraude o realizar otras actividades maliciosas.
Según Security Magazinese ha producido un asombroso aumento del 131% en el whaling y la suplantación de ejecutivos entre el primer trimestre de 2020 y el primer trimestre de 2021, y el 55% de los profesionales de la ciberseguridad afirman que un ejecutivo de su empresa ha sido suplantado. Además, el informe de 2023 "Tendencias en la seguridad de las identidades digitales" informe de la Identity Defined Security Alliance (IDSA) reveló que un asombroso 90% de las organizaciones se encontraron con al menos una brecha vinculada a las identidades digitales en el último año. Estos ataques costaron a las empresas 1.800 millones de dólares en pérdidas solo el año pasado, y la falta de protección de los datos de los clientes puede dar lugar a graves multas reglamentarias y costosos litigios, como se ha visto en casos como el acuerdo de Equifax por valor de 575 millones de dólares tras una brecha.
El problema es tan generalizado que 1 de cada 3.226 correos electrónicos recibidos (una vez cada 24 días) por un ejecutivo es un intento de suplantación.
En este artículo, exponemos todo lo que necesita saber sobre un ataque de suplantación de identidad, sus tipos, cómo detectarlos y cómo defender su organización contra ellos.
Puntos clave
- Los ataques de suplantación de identidad, una forma clave de las ciberamenazas basadas en la identidad, utilizan la ingeniería social para imitar a entidades de confianza con fines de acceso no autorizado o fraude.
- Estos ataques, que han afectado recientemente al 90% de las organizaciones, plantean importantes riesgos financieros, de reputación y jurídicos, y exigen una atención urgente.
- Las tácticas van desde la suplantación de correos electrónicos y dominios falsos (phishing) hasta la explotación de contraseñas reutilizadas (credential stuffing) y la interceptación de comunicaciones (MitM).
- La vigilancia ante señales sospechosas (urgencia, solicitudes extrañas, correos electrónicos defectuosos) y una sólida formación de los usuarios son las primeras líneas de defensa vitales.
- Para la protección es esencial una defensa técnica a varios niveles, que incluya una autenticación fuerte (MFA), verificación del correo electrónico (DMARC), parches periódicos y, potencialmente, un modelo de confianza cero.
¿Qué es un ataque de suplantación de identidad?
Un ataque de suplantación de identidad es una forma de ingeniería social en la que un atacante se hace pasar por otra persona o suplanta la identidad de un usuario legítimo (o grupo de usuarios), para obtener acceso a información que no está autorizado a tener, robar datos relacionados con la identidad, cometer fraude o llevar a cabo otras actividades maliciosas.
En este tipo de ataque, el atacante suele utilizar técnicas de ingeniería social, manipulando la psicología humana y la confianza, para obtener información sobre el sistema y/o el objetivo, como hacerse pasar por un miembro del departamento de TI y pedir credenciales de inicio de sesión. Estos ataques evolucionan continuamente en sofisticación, empleando técnicas avanzadas y recopilación selectiva de información.
Los ataques de suplantación de identidad pueden ser en persona, por teléfono o en línea. Y pueden ser catastróficos si no se detectan.
¡Protéjase contra los ataques de suplantación de identidad con PowerDMARC!
¿Cómo se realiza un ataque de suplantación de identidad?
La suplantación de identidad se produce cuando un actor malicioso se hace pasar por un usuario o servicio legítimo para acceder a información protegida. Los ataques de suplantación de identidad son fáciles de llevar a cabo y pueden ser muy perjudiciales, dependiendo del tipo de datos que el atacante intente obtener, pudiendo provocar importantes pérdidas económicas o daños a la reputación.
Todo lo que necesita un atacante es reunir suficiente información sobre un usuario o servicio legítimo para engañar a otros y hacerles creer que son quienes dicen ser. El atacante intentará entonces que su objetivo (u objetivos) revele información sensible que, de otro modo, estaría protegida por las medidas de seguridad.
En muchos casos, los atacantes utilizarán el correo electrónico u otras formas de comunicación para intentar ataques de suplantación de identidad. Enviarán correos electrónicos haciéndose pasar por otra persona (lo que se conoce como spoofing), lo que puede incluir correos electrónicos de phishing que contengan enlaces que descarguen malware en el sistema de un usuario desprevenido.
Otro método utilizado por los atacantes es el conocido como whaling, que consiste en robar la identidad de un gerente o propietario y enviar correos electrónicos en los que se pide a los empleados que transfieran fondos o proporcionen otra información sensible. Como el correo electrónico parece provenir de alguien con autoridad, muchos empleados seguirán las instrucciones sin preguntar.
¿Cómo se planean los ataques de suplantación de identidad?
Para crear un plan para un ataque de suplantación de identidad, los piratas informáticos primero necesitan reunir información sobre su objetivo. A menudo utilizarán la información disponible públicamente, como los perfiles de las redes sociales y la información disponible públicamente en el sitio web de la empresa. Los hackers pueden utilizar esta información para crear una persona realista y comenzar a interactuar con los empleados de la empresa objetivo.
El hacker se pondrá en contacto con los empleados utilizando métodos que se ajusten a lo que se espera de este personaje. El hacker puede enviar correos electrónicos, mensajes de texto o llamar a los empleados utilizando una dirección de correo electrónico o un número de teléfono comerciales falsos que coincidan al máximo con el correo electrónico o el número de teléfono reales de la empresa: la diferencia está ahí, pero es casi invisible a simple vista.
Esto da al empleado la sensación de que está interactuando con una persona conocida en su organización.
Este es un ejemplo de suplantación de identidad por correo electrónico: Como puede ver arriba, las diferencias entre los dos correos electrónicos son sutiles y fáciles de pasar por alto, especialmente si recibe cientos de correos electrónicos al día. |
Una vez que el hacker se ha ganado la confianza del empleado, le envía un correo electrónico que parece proceder de una fuente auténtica de la empresa. Estos correos suelen contener enlaces a sitios web que solicitan información personal o exigen una acción por parte del empleado (por ejemplo, la descarga de archivos). Estos sitios web y archivos están infectados con malware que permite a los hackers acceder a los datos, robar información personal o introducir otros ciberataques en la red de la empresa.
Las direcciones de remitente falsificadas como éstas se rechazan mediante una estricta política DMARCque puede aprovechar para proteger sus correos electrónicos contra los ataques de suplantación de identidad.
Algunas tácticas comunes de ataque de suplantación de identidad
Hay varias formas en las que los atacantes pueden intentar hacerse pasar por ti o por alguien que conoces. Estas son algunas de las tácticas más comunes:
1. Ataque a la cuenta de correo electrónico gratuita
El atacante utiliza un servicio de correo electrónico gratuito para enviar mensajes desde una dirección de correo electrónico similar a la utilizada por el objetivo. Esta táctica puede utilizarse para convencer a las personas de que visiten un sitio web malicioso o descarguen malware o proporcionen información como contraseñas o números de tarjetas de crédito.
2. Ataque al dominio de los primos
En el ataque al dominio primo, el atacante crea un sitio web que parece casi idéntico al de su banco, pero que termina con .com en lugar de .org o .net, por ejemplo. A continuación, envía mensajes de correo electrónico desde este sitio falso: cuando los usuarios hacen clic en los enlaces de esos correos electrónicos, son conducidos al sitio falso en lugar del sitio real de su banco.
3. Ataque al remitente de sobres falsos
El atacante creará un correo electrónico con una dirección de remitente que parezca provenir de una empresa conocida, como "[email protected]". Como esta dirección parece legítima, evita la mayoría de los filtros de los servidores de correo. A continuación, el atacante se dirige a las víctimas con su mensaje, atrayéndolas para que hagan clic en enlaces o abran archivos adjuntos que permitan que el malware infecte sus ordenadores.
4. Ataque al remitente de cabecera falsificada
Un ataque al remitente del encabezado es un tipo de suplantación de correo electrónico que puede utilizarse para hacer creer que un mensaje fue enviado por alguien que no es su verdadera fuente. En este tipo de ataque, el campo "remitente" de la cabecera de un correo electrónico se modifica para incluir una dirección distinta de la que realmente envió el mensaje. Esto puede hacerse cambiando los campos "From:" o "Return-Path:", o ambos. El objetivo de estos ataques es hacer que parezca que un correo electrónico ha sido enviado por otra persona -como un socio comercial o un amigo- para engañar a los destinatarios y hacer que abran los mensajes de alguien que conocen.
5. Ataque a una cuenta de correo electrónico comprometida
En este ataque, un atacante obtiene acceso a una cuenta de correo electrónico legítima y luego utiliza esa cuenta para enviar correos electrónicos y mensajes a otras personas de la organización. El atacante puede decir que es un empleado con conocimientos o autoridad especiales, o puede hacerse pasar por otra persona que sí tiene conocimientos o autoridad especiales.
6. Ataque de fraude al CEO
En este ataque, los atacantes se hacen pasar por el director general de una empresa e intentan convencer a los empleados o clientes de que necesitan acceder a información sensible. El atacante suele utilizar técnicas de ingeniería social como correos electrónicos de phishing o llamadas telefónicas que hacen parecer que llaman desde el departamento de TI de su empresa. A menudo utilizarán un lenguaje específico de su sector o negocio para parecer más legítimos y fiables mientras piden información sensible como contraseñas o números de tarjetas de crédito.
7. Ataque Man-in-the-Middle (MITM)
Este tipo de ataque consiste en que el atacante intercepta tus comunicaciones con un servicio legítimo y luego las retransmite al servicio legítimo como si provinieran de ti. De este modo, el atacante puede espiar tu comunicación, modificarla o impedirla por completo.
8. Relleno de credenciales
Este ataque se aprovecha de la práctica común de reutilizar contraseñas en varios servicios en línea. Los atacantes obtienen listas de nombres de usuario y contraseñas robados en anteriores violaciones de datos (a menudo disponibles en la dark web) y prueban sistemáticamente estas credenciales en otros sitios web o sistemas. Si un usuario ha reutilizado su contraseña, el atacante obtiene acceso no autorizado. La filtración de datos de Target en 2013, que comprometió los datos de más de 41 millones de consumidores y dio lugar a un acuerdo de 18,5 millones de dólares, fue facilitada por atacantes que utilizaron credenciales robadas para acceder a un sistema de un proveedor conectado.
¿Cómo reconocer un ataque de suplantación de identidad?
Sentido de urgencia: El atacante puede instar al receptor a actuar de inmediato (como iniciar una transferencia inmediata, de lo contrario su cuenta se bloqueará permanentemente) utilizando un tono urgente en sus correos electrónicos. Esto presiona a las víctimas para que actúen sin pensar.
Confidencialidad: El atacante puede indicar que la información que solicita debe mantenerse en privado, dando a entender que su divulgación podría acarrear graves consecuencias.
Solicitud de compartir información sensible: El atacante puede pedirte información que sólo tu banco conocería, como tu número de cuenta o contraseña. También puede pedirle que comparta sus credenciales corporativas, que son información privada a la que sólo usted tiene acceso. Esto, a su vez, les permitiría acceder a las bases de datos de su empresa y filtrar información sensible.
Direcciones de correo electrónico modificadas: Por ejemplo, si recibes un correo electrónico de alguien que se hace pasar por "Amazon" pidiéndote que inicies sesión y actualices la información de tu cuenta, pero la dirección de correo electrónico es en realidad "[email protected]", podría tratarse de un ataque de suplantación de identidad.
Correos electrónicos mal escritos: Los correos electrónicos de phishing están mal escritos, a menudo con errores ortográficos y gramaticales, ya que suelen ser generados en masa.
Presencia de enlaces o archivos adjuntos maliciosos: Los enlaces y archivos adjuntos maliciosos son una forma habitual de realizar un ataque de suplantación de identidad. Este tipo de ataques se pueden identificar por la presencia de:
- Enlaces que se abren en una nueva pestaña en lugar de en la pestaña actual.
- Archivos adjuntos con títulos o extensiones de archivo extraños (como "adjunto" o ".zip").
- Archivos adjuntos que contengan un archivo ejecutable (como .exe).
Cómo protegerse de la suplantación de identidad
La prevención de los ataques basados en la identidad, como la suplantación de identidad, requiere un enfoque multicapa que combine la concienciación de los usuarios y los controles técnicos.
1. Formación en ciberseguridad: Las empresas deben ser conscientes de que la formación en ciberseguridad es esencial. La formación debe incluir:
- Cómo los atacantes pueden suplantar a los usuarios y obtener acceso a los sistemas
- Cómo reconocer las señales de que alguien está intentando suplantar su identidad para poder actuar antes de que se produzca el daño
- Comprender la importancia de los controles preventivos
2. Autenticación robusta: Implantar métodos de autenticación robustos.
- Autenticación multifactor (AMF): Activa la autenticación multifactor siempre que sea posible. Esto requiere que los usuarios proporcionen dos o más factores de verificación (por ejemplo, contraseña más OTP, respuesta biométrica o pregunta de seguridad), lo que dificulta significativamente el acceso no autorizado, incluso si las credenciales son robadas.
- Prácticas de contraseñas seguras: Anime a los usuarios a crear contraseñas complejas y únicas para las distintas cuentas. Promueva el uso de gestores de contraseñas fiables para generar y almacenar contraseñas seguras. Evite patrones fáciles de adivinar.
3. Seguridad del correo electrónico: Proteja su principal canal de comunicación.
- Protección del dominio: El dominio de correo electrónico de la empresa debe estar protegido contra la suplantación de identidad. Utilice un dominio específico de su empresa (por ejemplo, "@suempresa.com") en lugar de proveedores genéricos como "@gmail.com".
- Implementación de DMARC: Implantar protocolos de autenticación de correo electrónico como DMARC (Domain-based Message Authentication, Reporting & Conformance). DMARC permite a los propietarios de dominios especificar cómo deben tratar los servidores de correo receptores los mensajes que no superan las comprobaciones SPF (Sender Policy Framework) o DKIM (DomainKeys Identified Mail), lo que ayuda a bloquear los mensajes falsos. La aplicación de una política DMARC estricta (p=reject o p=quarantine) evita el uso no autorizado de su dominio en ataques de suplantación de identidad y phishing.
- Filtrado de correo electrónico: Utilice soluciones avanzadas de seguridad del correo electrónico capaces de detectar enlaces, archivos adjuntos y anomalías del remitente sospechosos.
4. Seguridad de sistemas y programas informáticos: Mantener un entorno informático seguro.
- Actualizaciones periódicas y gestión de parches: Mantenga actualizados los sistemas operativos, las aplicaciones y el software de seguridad con los últimos parches de seguridad para corregir vulnerabilidades conocidas explotadas por atacantes.
- Soluciones de seguridad: Instale y mantenga un software antivirus/antimalware de confianza y considere la posibilidad de implantar sistemas de detección de intrusiones (IDS) para vigilar la actividad sospechosa en la red.
- Elimine gradualmente los sistemas heredados: Sustituya los sistemas obsoletos que puedan tener vulnerabilidades sin parchear o controles de seguridad débiles, ya que suelen ser el objetivo de los atacantes.
5. 5. Protección de datos: Salvaguardar la información sensible.
- Cifrado de datos: Cifra los datos sensibles tanto cuando se almacenan (en reposo) como cuando se transmiten (en tránsito) para protegerlos incluso si son interceptados.
6. Adoptar un modelo de confianza cero: Implantar un modelo de seguridad de confianza cero que asume que ningún usuario o dispositivo es intrínsecamente fiable. El acceso se concede sobre la base de la verificación continua y el principio del menor privilegio, minimizando el impacto potencial de una identidad comprometida.
Aplicando estas medidas preventivas y fomentando una cultura consciente de la ciberseguridad, las organizaciones pueden reducir significativamente su vulnerabilidad a la suplantación de identidad y otros ataques basados en la identidad. Mantenerse alerta, adaptarse a las amenazas emergentes y educar continuamente a los empleados son componentes cruciales de una estrategia de defensa sólida.
¿Desea una protección permanente contra la suplantación de identidad? PowerDMARC es un proveedor de soluciones de autenticación de correo electrónico que ofrece servicios destinados a permitir a las empresas proteger sus comunicaciones por correo electrónico. Le ayudamos a gestionar la reputación de su dominio garantizando que solo los correos electrónicos de remitentes autorizados se entreguen a través de pasarelas seguras, al tiempo que lo protegemos de la suplantación de identidad por parte de ciberdelincuentes y phishers.
- ¿Sigue siendo eficaz el correo electrónico frío en 2025? Buenas prácticas para la difusión y la seguridad - 20 de junio de 2025
- Caso práctico de DMARC MSP: Cómo PrimaryTech simplificó la seguridad del dominio del cliente con PowerDMARC - 18 de junio de 2025
- Falsos positivos DMARC: Causas, soluciones y guía de prevención - 13 de junio de 2025