Qué es el spoofing y cómo evitarlo

La traducción del término spoofing a español sería “manipulación o suplantación”.

Esta técnica se utiliza en diversos contextos y el objetivo principal es manipular la percepción o autenticación de la identidad. El spoofing puede tener diversas finalidades, desde el robo de información confidencial hasta la realización de ataques más sofisticados.

Existen diferentes tipos de spoofing, como los que podemos ver a continuación:

• Caller ID Spoofing: Manipular el identificador de llamadas para que la persona que recibe la llamada piense que es la entidad real quien está realizando la llamada.
• IP Spoofing: Modificar la dirección IP de origen en paquetes de datos para ocultar la identidad del remitente, y hacer que el receptor piense que el paquete proviene de una fuente confiable para no bloquear la inyección del mismo en su sistema, siendo paquetes que con posterioridad pueden realizar ataques maliciosos a su sistema.
• DNS Spoofing:  Manipular las respuestas del Sistema de Nombres de Dominio (DNS) para dirigir a los usuarios a sitios web falsos o maliciosos.
• Email Spoofing: Falsificar la dirección de correo electrónico para simular que el mensaje proviene de una fuente confiable.
• GPS Spoofing: Implica la emisión de señales falsas a un receptor de GPS para engañarlo y hacer que calcule incorrectamente la ubicación.

Llama la atención que en los últimos meses haya sido el Caller ID Spoofing la técnica más utilizada por los ciberdelincuentes. Este tipo de técnica consiste en llamar a la persona desde el supuesto mismo número telefónico que la empresa a la que suplanta la identidad, y así de esta manera engañar al usuario para que les facilite datos personales o datos bancarios, o incluso solicitar una transferencia de fondos.

Por ejemplo, si OrangeBank ha contactado telefónicamente en alguna ocasión contigo, puede que hayas guardado ese número de teléfono o lo tengas identificado. Los delincuentes pueden llamarte y hacer que en tu pantalla veas su número de teléfono como si perteneciese a OrangeBank, aunque ellos realmente están llamando desde otro.  Con las técnicas de “spoofing” consiguen poner una máscara para que tu veas una numeración de confianza. Por ello, aunque creas que te está llamando OrangeBank, por favor, antes de facilitar ninguna información o realizar ninguna acción, entra en la app y confirma con nosotros a través del CHAT.

¡Recuerda! Los bancos no necesitan tus claves para acceder a tu cuenta, acceden a diario para prestarte el servicio.

La principal diferencia entre ambos es que el spoofing se centraría básicamente en la acción de suplantar la identidad de otra persona o entidad/organismo, y, por el contrario, el phishing supondría el robo por parte del atacante de las credenciales de acceso, tarjetas de crédito, etc.

Para evitar un ataque de spoofing es importante seguir buenas prácticas de seguridad y ser consciente de las posibles amenazas. Aquí tienes algunas recomendaciones para protegerte contra el spoofing:

1. Conciencia del Usuario: Es importante estar informado sobre las tácticas de spoofing y que conozcas las técnicas comúnmente utilizadas por los ciberdelincuentes. De ser así, sabrás, por ejemplo, que no debes hacer clic en enlaces sospechosos, descargar archivos de correos electrónicos sin verificar la veracidad de la información y del remitente, ni proporcionar información confidencial en respuestas a correos electrónicos inesperados, sms o llamadas telefónicas.

2. Verificación de Identidad: Dirígete a la oficina, llama a la entidad o contacta con la entidad a través de tu app, para comprobar si quién te llama es realmente la entidad y no facilites datos o realices operaciones de ningún tipo antes de comprobarlo. Utiliza, siempre que sea posible, autenticación de dos factores (2FA – biometría, tenencia o conocimiento) para agregar una capa adicional de seguridad antes de acceder a tus cuentas. Asimismo, utiliza contraseñas robustas

3. Filtrado de Correo Electrónico: Configura filtros de correo electrónico para detectar posibles intentos de phishing, activa el filtro antispam y marca o bloquea automáticamente mensajes sospechosos. En caso de duda, corrobora con la fuente oficial.

4. Actualizaciones de Seguridad: Mantén actualizados todos los sistemas y software para corregir vulnerabilidades conocidas que podrían ser explotadas por los atacantes.

5. Firewalls y Antivirus: Utiliza firewalls y programas antivirus actualizados para protegerte contra ataques y amenazas maliciosas.

6. Validación de DNS: Implementa tecnologías DNSSEC (DNS Security Extensions) para ayudar a asegurar las respuestas del sistema de nombres de dominio y prevenir ataques de envenenamiento de caché.

7. Configuración de Caller ID: Si es posible, configura servicios telefónicos para bloquear llamadas de números desconocidos o activa opciones de filtrado para minimizar el riesgo de caller ID spoofing.

La prevención del spoofing requiere una combinación de conciencia, educación y medidas técnicas. Al seguir estas recomendaciones puedes reducir significativamente el riesgo de ser víctima de ataques de spoofing.

Y recuerda que en Orange Bank nunca te llamaremos para que realices una transferencia desde tu cuenta a otra cuenta (fuera o dentro del entorno Orange Bank).

Si es así estarías ante un fraude. Es muy importante que ante cualquier sospecha contactes y consultes siempre a través de los canales oficiales.