La ciberdelincuencia parece no tener fin y, a medida que pasa el tiempo, vamos conociendo nuevas técnicas de estafa a través de la web o del móvil. El ‘phising’ es una de ellas y consiste en suplantar la identidad de un banco, entidad pública o perfil en una red social para engañar y conseguir información confidencial de las personas.
Antilavadodedinero / Ddenavarra
El ‘spoofing‘, técnica no tan conocida, consiste, según la Oficina de Seguridad del Internauta (OSI), en «falsificar la dirección de correo electrónico o la URL de una organización para hacerse pasar por ella, de modo que el usuario crea que la comunicación que le envían es legítima y caiga en el engaño».
¿EN QUÉ CONSISTE EL ‘SPOOFING’?
Este método manipula a los usuarios y les hace creer que están navegando o interactuando en una página web segura. Los ciberdelincuentes suplantan la identidad de un sitio web, entidad o de una persona particular con el objetivo de conseguir información privada. «Principalmente suelen hacerse con nuestras credenciales para luego tener acceso ilimitado a nuestros datos».
¿Cómo podemos detectar esta estafa? La OSI trata de explicarlo con un ejemplo de ‘spoofing’ que suelen utilizar los delincuentes. Al navegar por la red recibimos un correo electrónico de una red social que nos informa de una actividad sospechosa en nuestra cuenta. «El mensaje nos recomienda actualizar la contraseña cuanto antes, y para facilitarnos las cosas nos comparten un enlace que nos llevaría directo a nuestro perfil». Sin embargo, al acceder e ingresar nuestros datos, la página se redirige a la principal de la red social. En ese momento nuestros datos personales de acceso han sido robados.
El ciberdelincuente ha compartido un enlace a una web que suplantaba a la de la red social, pero que «no nos hizo sospechar que estuviésemos ante un fraude y por eso accedimos a las peticiones».
¿CUÁLES SON LAS TÉCNICAS MÁS COMUNES DE ‘SPOOFING’? ¿CÓMO PODEMOS PROTEGERNOS?
Uno de los métodos es suplantar la página web real por una falsa que copia todo el diseño para parecer idéntica. Incluso utiliza una URL parecida. Para evitar ser víctimas de esta estafa debemos revisar la URL e identificar posibles diferencias con la original. Por otra parte, hay que desconfiar de webs que no contengan https o certificado digital.
A través del correo electrónico, los ciberdelincuentes aprovechan para engañar a los usuarios suplantando la dirección. «También suele ser usado para enviar de forma masiva correos de spam o cadenas de bulos u otros fraudes», indican en la OSI.
Una de las recomendaciones para evitar este ataque es utilizar firma digital o cifrado en nuestros emails ya que «nos permitirá autenticar nuestros mensajes para prevenir suplantaciones». Si la entidad, organización o dirección de correo que envía este tipo de mensajes no dispone de certificado deberás revisar todo el contenido por si fuera malicioso.
Otra de las técnicas es mediante la suplantación de la dirección IP. ¿En qué consiste? «Las comunicaciones en Internet se hacen mediante el envío y recepción de paquetes. Cada paquete lleva una dirección IP del remitente y el destinatario. En este tipo de ataques, el ciberdelincuente es capaz de falsear su dirección IP y hacerla pasar por una dirección distinta». De esta manera, el ciberdelincuente podría enviarnos un ‘malware’.
¿Cómo podemos protegernos? Mediante un filtrado de las direcciones IP para tener un mayor control de las comunicaciones. «Deberemos acceder a la configuración de nuestro ‘router’ y en el apartado Seguridad, encontraremos el ‘firewall’. Desde aquí, podremos filtrar las direcciones IP aplicando normas y reglas de filtrado a los paquetes que entren a nuestro ‘router'».
Por último, los ciberdelincuentes pueden atacar los DNS del equipo para acceder al ‘router’ del usuario y cuando intente acceder a una página web desde el navegador, «este le lleve a otra web elegida por el atacante» para robar sus datos personales. Por ello, es importante restringir las conexiones remotas del ‘router’, cambiar las contraseñas que vienen por defecto y seguir las pautas para identificar webs fraudulentas.