Suplantación de identidad

¿Qué es la suplantación de identidad?

El spoofing es un ciberataque que disfraza una comunicación maliciosa como si fuera un mensaje procedente de una fuente legítima. Los actores de amenazas ejecutan esta técnica haciéndose pasar por un usuario real para asumir autoridad y obtener acceso privilegiado a datos empresariales críticos. La suplantación se basa en dos elementos importantes: la suplantación en sí y la ingeniería social

Una suplantación puede ser un correo electrónico o un mensaje de texto que parece proceder de una fuente de confianza con autoridad, como un ejecutivo de una empresa. Del mismo modo, la ingeniería social engaña a las víctimas para que interactúen con un artefacto malicioso, como una URL de phishing o una descarga envenenada.    

Cómo funciona la suplantación de identidad

Las amenazas utilizan principalmente la suplantación de identidad por correo electrónico para acceder a la información de los objetivos. Por lo general, el contenido de los correos electrónicos falsos transmite una sensación de urgencia o un mensaje que incita a la codicia o al miedo del objetivo.

Ejemplos de suplantación de identidad

Ejemplo 1

Imagina que recibes un correo electrónico urgente del director general de tu empresa pidiéndote que elimines una publicación en las redes sociales porque está dañando la reputación de la empresa. Su instinto inicial es hacer clic en el enlace y ver la publicación. Pero, por desgracia, el clic le lleva a un sitio web fraudulento que roba su información.

Ejemplo 2

Los atacantes falsifican un dominio registrando un nombre de dominio similar al de su empresa, como 1earn.g5.com, un dominio parecido al legítimo learn.g5.com pero con la letra l sustituida por el número 1.

Ejemplo 3

La suplantación de identidad telefónica también es una forma de spoofing: Una persona que llama al otro lado se presenta fraudulentamente como representante de un banco y solicita información sobre su cuenta o tarjeta de crédito. Los suplantadores pueden utilizar programas informáticos para imitar los identificadores de llamadas y hacer que sus llamadas falsas parezcan más creíbles, una práctica conocida como suplantación del número de teléfono.

Tipos de ataques de suplantación de identidad

Correo electrónico

El correo electrónico es uno de los principales vectores de ataque para los ciberdelincuentes. En la suplantación de identidad del correo electrónico, los agresores falsifican las cabeceras para cambiar el origen de un mensaje. La falsificación de un encabezado de correo electrónico engaña al objetivo haciéndole creer que un mensaje de correo electrónico procede de proveedores o clientes de confianza. Algunos de los ataques de suplantación de identidad por correo electrónico más exitosos incorporan tácticas y técnicas de ataque procedentes de ataques contra el correo electrónico empresarial y ataques man-in-the-middle para ganar persistencia y eludir la detección.

IP

En la suplantación de IP, el atacante envía paquetes IP con una dirección de origen falsa. De esta forma, el hacker oculta su identidad real y se hace pasar por otro ordenador. El IP spoofing se utiliza con frecuencia para lanzar ataques DDoS.

DNS

La suplantación de DNS, también conocida como "envenenamiento de caché", es un ataque en el que se cambian los registros DNS para redirigir el tráfico a un sitio web falso que parece ser el destino previsto.

ARP

También conocido como envenenamiento ARP, el spoofing del Protocolo de Resolución de Direcciones (ARP) intercepta el tráfico de datos. Un ataque de suplantación de ARP engaña a un dispositivo para que envíe señales al actor de la amenaza en lugar de a un usuario legítimo.

Cómo evitar los ataques de suplantación de identidad

Los ataques mediante software de suplantación de identidad pueden tener efectos devastadores en la continuidad de la actividad empresarial. Las siguientes técnicas y buenas prácticas son eficaces para proteger las infraestructuras corporativas de los incidentes de spoofing.

Crear una cultura de ciberseguridad sana

Fomentar una cultura de ciberseguridad saludable dentro de un entorno corporativo es una de las formas más eficaces de abordar los retos de la ciberseguridad. Los equipos de seguridad informática pueden desarrollar sólidos programas de concienciación sobre seguridad para educar a los usuarios sobre las contramedidas detectivescas, preventivas y correctivas que deben desplegar contra las tácticas de los actores de amenazas, incluida la suplantación de identidad. Para lograr una eficacia constante, la formación sobre concienciación en materia de seguridad debe ser continua y estar en consonancia con la evolución del panorama de las ciberamenazas. 

Utilizar la inspección profunda de paquetes y el filtrado de paquetes

Los paquetes IP se analizan mediante filtrado de paquetes y se bloquean aquellos con conflictos de información de origen. Se trata de un enfoque inteligente para eliminar los paquetes IP falsos, ya que los paquetes hostiles (a pesar de lo que digan sus cabeceras) llegarán fuera de la red. Además, la mayoría de los sistemas de filtrado de paquetes incluyen una función DPI (inspección profunda de paquetes), ya que los atacantes tienen estrategias para sortear los filtros de paquetes básicos. Con la ayuda de la DPI, puede crear reglas que tengan en cuenta tanto la cabecera como el contenido de los paquetes de red, lo que le permite bloquear muchos tipos diferentes de ataques de suplantación de IP.

Identificar y verificar usuarios y sistemas

La suplantación de IP es una técnica que puede eludir los controles de autenticación si las máquinas de una red utilizan únicamente direcciones IP para identificarse. En su lugar, los equipos informáticos deben aprovechar los mecanismos de seguridad automatizados para desplegar procesos de autenticación como la autenticación mutua de certificados, IPSec y la autenticación de dominios para autenticar las conexiones entre usuarios y sistemas. 

Utilizar protocolos autenticados y cifrados

Los especialistas en seguridad han creado varios protocolos de comunicación segura, como Secure Shell, Internet Protocol Security y Transport Layer Security (TLS), que utilizan HTTPS y FTPS (SSH). Cuando se aplican correctamente, estos protocolos verifican la aplicación o el dispositivo al que se está conectado y cifran los datos en tránsito, disminuyendo la probabilidad de que un ataque de suplantación de identidad tenga éxito.

CylanceGATEWAY evita los ataques de suplantación de identidad

Zero Trust Network Access (ZTNA) puede prevenir la suplantación de identidad y los ataques de ingeniería social. CylanceGATEWAY™ protege su red antes de que un actor de amenazas pueda acceder a ella y empezar a moverse lateralmente por ella.
SABER MÁS

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos