ataque de suplantación de identidad

Un ataque de suplantación es un intento de obtener acceso no autorizado a los sistemas de información haciéndose pasar por usuarios autorizados.

Según Security Magazinese ha producido un asombroso aumento del 131% en las suplantaciones de identidad de ejecutivos entre el primer trimestre de 2020 y el primer trimestre de 2021, y el 55% de los profesionales de la ciberseguridad afirman que un ejecutivo de su empresa ha sido suplantado. Estos ataques costaron a las empresas 1.800 millones de dólares en pérdidas solo el año pasado.

El problema es tan generalizado que 1 de cada 3.226 correos electrónicos recibidos (una vez cada 24 días) por un ejecutivo es un intento de suplantación.

En este artículo, exponemos todo lo que necesita saber sobre un ataque de suplantación de identidad, sus tipos, cómo detectarlos y cómo defender su organización contra ellos.

¿Qué es un ataque de suplantación de identidad?

Un ataque de suplantación es una forma de ingeniería social en la que un atacante se hace pasar por otra persona o se hace pasar por un usuario legítimo (o grupo de usuarios), para obtener acceso a información que no está autorizado a tener.

En este tipo de ataque, el atacante suele utilizar técnicas de ingeniería social para obtener información sobre el sistema y/o el objetivo, como hacerse pasar por un miembro del departamento de TI y pedir las credenciales de acceso.

Los ataques de suplantación de identidad pueden ser en persona, por teléfono o en línea. Y pueden ser catastróficos si no se detectan.

¿Cómo se realiza un ataque de suplantación de identidad?

La suplantación de identidad se produce cuando un actor malicioso se hace pasar por un usuario o servicio legítimo para acceder a información protegida. Los ataques de suplantación son fáciles de realizar y pueden ser muy perjudiciales, dependiendo del tipo de datos que el atacante intente obtener.

Todo lo que necesita un atacante es reunir suficiente información sobre un usuario o servicio legítimo para engañar a otros y hacerles creer que son quienes dicen ser. El atacante intentará entonces que su objetivo (u objetivos) revele información sensible que, de otro modo, estaría protegida por las medidas de seguridad.

En muchos casos, los atacantes utilizan el correo electrónico u otras formas de comunicación para intentar ataques de suplantación de identidad. Enviarán correos electrónicos haciéndose pasar por otra persona (lo que se conoce como spoofing), lo que puede incluir correos electrónicos de phishing que contengan enlaces que descarguen malware en el sistema de un usuario desprevenido.

Otro método utilizado por los atacantes es el conocido como whaling, que consiste en robar la identidad de un gerente o propietario y enviar correos electrónicos en los que se pide a los empleados que transfieran fondos o proporcionen otra información sensible. Como el correo electrónico parece provenir de alguien con autoridad, muchos empleados seguirán las instrucciones sin preguntar.

¿Cómo se planean los ataques de suplantación de identidad?

Para crear un plan para un ataque de suplantación de identidad, los piratas informáticos primero necesitan reunir información sobre su objetivo. A menudo utilizarán la información disponible públicamente, como los perfiles de las redes sociales y la información disponible públicamente en el sitio web de la empresa. Los hackers pueden utilizar esta información para crear una persona realista y comenzar a interactuar con los empleados de la empresa objetivo.

El hacker se pondrá en contacto con los empleados utilizando métodos que se ajusten a lo que se espera de este personaje. El hacker puede enviar correos electrónicos, mensajes de texto o llamar a los empleados utilizando una dirección de correo electrónico o un número de teléfono comerciales falsos que coincidan al máximo con el correo electrónico o el número de teléfono reales de la empresa: la diferencia está ahí, pero es casi invisible a simple vista.

Esto da al empleado la sensación de que está interactuando con una persona conocida en su organización.

Este es un ejemplo de suplantación de identidad por correo electrónico:

[email protected]

[email protected]

Como puede ver arriba, las diferencias entre los dos correos electrónicos son sutiles y fáciles de pasar por alto, especialmente si recibe cientos de correos electrónicos al día.

Una vez que el hacker se ha ganado la confianza del empleado, le enviará un correo electrónico que parece proceder de una fuente auténtica de la empresa. Estos correos electrónicos suelen contener enlaces a sitios web que solicitan información personal o requieren una acción por parte del empleado (por ejemplo, la descarga de archivos). Estos sitios web y archivos están infectados con malware que permite a los hackers acceder a los datos, robar información personal o introducir otros ciberataques en la red de la empresa.

Este tipo de direcciones de remitente falsificadas se rechazan mediante una estricta política DMARCque puede aprovechar para que sus correos electrónicos estén protegidos contra los ataques de suplantación de identidad.

Algunas tácticas comunes de ataque de suplantación de identidad

Hay varias formas en las que los atacantes pueden intentar hacerse pasar por ti o por alguien que conoces. Estas son algunas de las tácticas más comunes:

1. Ataque a la cuenta de correo electrónico gratuita

El atacante utiliza un servicio de correo electrónico gratuito para enviar mensajes desde una dirección de correo electrónico similar a la utilizada por el objetivo. Esta táctica puede utilizarse para convencer a las personas de que visiten un sitio web malicioso o descarguen malware o proporcionen información como contraseñas o números de tarjetas de crédito.

2. Ataque al dominio de los primos

En el ataque al dominio primo, el atacante crea un sitio web que parece casi idéntico al de su banco, pero que termina con .com en lugar de .org o .net, por ejemplo. A continuación, envía mensajes de correo electrónico desde este sitio falso: cuando los usuarios hacen clic en los enlaces de esos correos electrónicos, son conducidos al sitio falso en lugar del sitio real de su banco.

3. Ataque al remitente de sobres falsos

El atacante creará un correo electrónico con una dirección de remitente que parezca provenir de una empresa conocida, como "[email protected]". Como esta dirección parece legítima, evita la mayoría de los filtros de los servidores de correo. A continuación, el atacante se dirige a las víctimas con su mensaje, atrayéndolas para que hagan clic en enlaces o abran archivos adjuntos que permitan que el malware infecte sus ordenadores.

4. Ataque al remitente de cabecera falsificada

Un ataque al remitente del encabezado es un tipo de suplantación de correo electrónico que puede utilizarse para hacer creer que un mensaje fue enviado por alguien que no es su verdadera fuente. En este tipo de ataque, el campo "remitente" de la cabecera de un correo electrónico se modifica para incluir una dirección distinta de la que realmente envió el mensaje. Esto puede hacerse cambiando los campos "From:" o "Return-Path:", o ambos. El objetivo de estos ataques es hacer que parezca que un correo electrónico ha sido enviado por otra persona -como un socio comercial o un amigo- para engañar a los destinatarios y hacer que abran los mensajes de alguien que conocen.

5. Ataque a una cuenta de correo electrónico comprometida

En este ataque, un atacante obtiene acceso a una cuenta de correo electrónico legítima y luego utiliza esa cuenta para enviar correos electrónicos y mensajes a otras personas de la organización. El atacante puede decir que es un empleado con conocimientos o autoridad especiales, o puede hacerse pasar por otra persona que sí tiene conocimientos o autoridad especiales.

6. Ataque de fraude al CEO

En este ataque, los atacantes se hacen pasar por el director general de una empresa e intentan convencer a los empleados o clientes de que necesitan acceder a información sensible. El atacante suele utilizar técnicas de ingeniería social como correos electrónicos de phishing o llamadas telefónicas que hacen parecer que llaman desde el departamento de TI de su empresa. A menudo utilizarán un lenguaje específico de su sector o negocio para parecer más legítimos y fiables mientras piden información sensible como contraseñas o números de tarjetas de crédito.

7. Ataque Man-in-the-Middle (MITM)

Este tipo de ataque consiste en que el atacante intercepta tus comunicaciones con un servicio legítimo y luego las retransmite al servicio legítimo como si provinieran de ti. De este modo, el atacante puede espiar tu comunicación, modificarla o impedirla por completo.

¿Cómo reconocer un ataque de suplantación de identidad?

Una sensación de urgencia:El atacante puede instar al receptor a actuar de inmediato (como iniciar una transferencia inmediata, de lo contrario su cuenta será bloqueada permanentemente) utilizando un tono de urgencia en sus correos electrónicos. Esto presiona a las víctimas para que actúen sin pensar.

Confidencialidad: El atacante puede indicar que la información que solicita debe mantenerse en privado, dando a entender que su divulgación podría acarrear graves consecuencias.

Solicitud de compartir información sensible: El atacante puede pedirte información que sólo tu banco conoce, como tu número de cuenta o tu contraseña. También puede pedirte que compartas tus credenciales corporativas que son información privada a la que sólo tú tienes acceso. Esto, a su vez, les permitiría acceder a las bases de datos de su empresa y filtrar información sensible.

Direcciones de correo electrónico modificadas: Por ejemplo, si recibes un correo electrónico de alguien que se hace pasar por "Amazon" pidiéndote que inicies sesión y actualices la información de tu cuenta, pero la dirección de correo electrónico es en realidad "[email protected]", podría tratarse de un ataque de suplantación de identidad.

Correos electrónicos mal escritos: Los correos electrónicos de phishing están mal escritos, a menudo con errores ortográficos y gramaticales, ya que suelen ser generados en masa.

Presencia de enlaces o archivos adjuntos maliciosos: Los enlaces y archivos adjuntos maliciosos son una forma habitual de realizar un ataque de suplantación de identidad. Este tipo de ataques se pueden identificar por la presencia de:

  • Enlaces que se abren en una nueva pestaña en lugar de en la pestaña actual.
  • Archivos adjuntos con títulos o extensiones de archivo extraños (como "adjunto" o ".zip").
  • Adjuntos que contengan un archivo ejecutable (como .exe).

Cómo protegerse de la suplantación de identidad

1. Las empresas deben ser conscientes de que la formación en ciberseguridad es esencial para protegerse de este tipo de ataques. La formación debe incluir:

  •  Cómo los atacantes pueden suplantar a los usuarios y obtener acceso a los sistemas
  •  Cómo reconocer las señales de que alguien está intentando suplantar su identidad para poder actuar antes de que se produzca el daño
  •  Cómo los controles preventivos, como la autenticación de dos factores, pueden ayudar a evitar los intentos de acceso no autorizado por parte de alguien que intente hacerse pasar por usted

2. El dominio de correo electrónico de la empresa también debe estar protegido contra los ataques de suplantación de identidad. Esto significa contar con políticas estrictas para el registro de nuevos dominios y cuentas dentro de la organización, así como llevar un control de quién tiene acceso a cada uno de ellos para poder eliminarlos si es necesario.

3. Cuando crees una cuenta de correo electrónico para tu empresa, asegúrate de que utiliza un dominio específico para tu negocio. No utilices "@gmail" o "@yahoo" porque esos dominios son demasiado genéricos y podrían ser utilizados por cualquiera que quiera hacerse pasar por ti. En su lugar, utiliza algo como "@tunombredeempresa.com", donde el nombre de tu empresa está en lugar de "tunombredeempresa.com". De este modo, si alguien intenta hacerse pasar por usted enviando un correo electrónico desde otra dirección, nadie le creerá porque sabe qué nombre de dominio va con su empresa.

4. Las empresas deben considerar la implementación de soluciones de seguridad para el correo electrónico, como un analizador DMARC que bloquean los dominios suplantados para que no entreguen correos electrónicos con archivos adjuntos o enlaces sospechosos (como los correos electrónicos de phishing) a través de la autenticación.

¿Desea una protección permanente contra la suplantación de identidad? PowerDMARC es un proveedor de soluciones de autenticación de correo electrónico que ofrece servicios destinados a permitir a las empresas proteger sus comunicaciones por correo electrónico. Le ayudamos a gestionar la reputación de su dominio garantizando que solo los correos electrónicos de remitentes autorizados se entreguen a través de pasarelas seguras, al tiempo que lo protegemos de la suplantación de identidad por parte de ciberdelincuentes y phishers.