Header Navigation - ES
Background image for ¿Qué es el spoofing en ciberseguridad? Explicación
Cybersecurity 101/Inteligencia sobre amenazas/Suplantación de identidad

¿Qué es el spoofing en ciberseguridad? Explicación

Descubra qué es el spoofing, por qué supone un riesgo importante y cómo detectar y prevenir los ataques de spoofing. Obtenga información sobre la historia, los tipos, los ejemplos reales y las medidas de defensa eficaces.

Autor: SentinelOne

El spoofing es una de las tácticas más comunes utilizadas por los ciberdelincuentes, que incluye la suplantación de marcas y la falsificación de credenciales con el fin de obtener información de los usuarios. Un estudio reciente muestra que el 61 % de los ataques de phishing emplearon páginas de inicio de sesión falsas de Microsoft para capturar las credenciales de las empresas. Es fundamental que las organizaciones comprendan qué es el spoofing para garantizar la seguridad de su información vital y mantener la confianza de los usuarios. Para evitar el acceso no autorizado, las pérdidas económicas y el daño a la reputación, es esencial identificar los posibles puntos de entrada y desarrollar políticas adecuadas.

En esta guía, definimos el spoofing en la ciberseguridad e identificamos sus raíces, categorías e implicaciones. Además, analizaremos la historia del spoofing, sus puntos débiles más comunes y las diferencias entre el spoofing y otros tipos de ataques, como el phishing. También recibirá recomendaciones sobre estrategias de detección y prevención del spoofing, incluyendo ejemplos de cómo los delincuentes llevan a cabo estas estafas. Por último, pero no menos importante, demostraremos cómo la sofisticada solución de SentinelOne puede proteger a los usuarios y la infraestructura de ataques sigilosos.lt;/p> Spoofing en ciberseguridad - Imágenes destacadas | SentinelOne

¿Qué es el spoofing?

La definición de suplantación implica un acto deliberado en el que un atacante se hace pasar por otro usuario, dispositivo o servicio con el objetivo de obtener acceso no autorizado o adquirir información confidencial. Algunas de las ilusiones utilizadas por los atacantes incluyen encabezados de correo electrónico falsos, sitios web falsos y paquetes IP falsos, que se utilizan para que el objetivo confíe en el atacante. En pocas palabras, "¿Qué es un ataque de spoofing?" puede explicarse mejor como el acto de suplantación de identidad en el que los delincuentes cambian los identificadores para ocultar su identidad real.

Aunque algunas personas pueden tener una idea general del significado de spoofing como un tipo de robo de identidad, los expertos definen el spoofing como un tipo específico de ataque que implica obtener acceso no autorizado a la información objetivo. Dada la naturaleza de las redes y aplicaciones actuales, los ataques de spoofing pueden producirse a través de el phishing por correo electrónico, el spoofing de DNS o suplantación de ARP, por lo que es esencial identificar cualquier actividad anómala antes de que ponga en peligro la seguridad de una organización.

Historia de la suplantación

Aunque las técnicas contemporáneas de infiltración pueden implicar el uso de herramientas técnicas, la suplantación en la ciberseguridad tiene su origen en ingeniería social. Con el paso del tiempo, aparecieron nuevos protocolos más sofisticados que permitían al atacante falsificar las direcciones IP, el identificador de llamadas o los certificados SSL. En la siguiente sección, ofrecemos una cronología de los principales acontecimientos en la historia del spoofing para mostrar cómo este tipo de actividad ha pasado de ser una simple broma telefónica a convertirse en piratería informática.

  1. Primeros casos de suplantación de IP y correo electrónico: A principios de la década de 1990, el uso de Internet ya estaba aumentando, pero las medidas de seguridad no estaban tan desarrolladas. Algunas de las herramientas básicas utilizadas en la creación de paquetes IP ayudan al atacante a probar el spoofing en redes simples falsificando direcciones de origen para evadir las medidas de seguridad implementadas. También fue durante esta época cuando el correo electrónico se convirtió en una herramienta para la ingeniería social, a pesar de que los filtros de spam aún no estaban bien desarrollados. Estos avances iniciales allanaron el camino para tácticas de espionaje más complejas, cambiando la definición de suplantación de identidad en los años siguientes.
  2. Aparición de la identificación de llamadas y la suplantación de identidad ARP: Cuando los módems de marcación telefónica eran populares en el período 1996-2000, los estafadores se dieron cuenta de que, al utilizar identificadores de llamadas falsos, podían engañar al destinatario sobre la identidad de la persona que llamaba. Al mismo tiempo, las redes locales estaban expuestas a infecciones de suplantación de identidad basadas en ARP, lo que permitía a los atacantes interceptar el tráfico de la LAN bajo la apariencia de puertas de enlace. Esta tendencia de la informática en las oficinas hizo que el personal no estuviera preparado para hacer frente a la manipulación de la identidad, lo que ofrecía a los delincuentes muchas oportunidades para entrar.
  3. Aumento de la suplantación de sitios web y el phishing: Debido al aumento del comercio electrónico y la banca en línea en el período (2001-2010), los delincuentes centraron su atención en los clones de sitios web y los certificados SSL. Aprovecharon la familiaridad de las marcas para crear nombres de dominio o utilizar plantillas de correo electrónico que se asemejaban a las de empresas legítimas. Este periodo marcó el comienzo de las técnicas de ingeniería social más avanzadas, que combinaban el engaño con exploits recién descubiertos. La amenaza de infiltración aumentó aún más cuando las empresas pasaron al comercio digital y las transacciones financieras se convirtieron en objetivo de los delincuentes.
  4. Spoofing avanzado de DNS y BGP: La siguiente década (2011-2020) fue testigo del avance de ángulos de infiltración más complicados. Los ciberdelincuentes utilizan el envenenamiento del sistema de nombres de dominio (DNS) o el secuestro de rutas del protocolo de puerta de enlace fronteriza (BGP) para redirigir el tráfico a destinos erróneos. Del mismo modo, las violaciones de datos a gran escala que afectaron a grandes empresas demostraron que diversos tipos de suplantación podían atacar routers internos o redes de área amplia. Las empresas comenzaron a implementar arquitecturas de confianza cero y entornos temporales para minimizar el tiempo de exposición, pero seguían sin poder gestionar bien el engaño multivectorial.
  5. Spoofing impulsado por IA y herramientas de deepfake: En los últimos años, los delincuentes han estado utilizando la IA para crear mensajes bastante realistas o incluso llamadas de voz suplantando la identidad de empleados o personalidades de marcas. Esta ola de infiltración combina el robo de identidad tradicional con el truco moderno de crear ilusiones, lo que permite a los delincuentes avanzar al siguiente nivel de manipulación de la confianza. El significado de la suplantación de identidad se ha ampliado y abarca la voz, vídeo o plataformas de colaboración en tiempo real que necesitan inteligencia sobre amenazas para identificar anomalías. De cara al futuro, es necesario seguir desarrollando los sistemas de escaneo y las políticas para contrarrestar las herramientas de suplantación de identidad en constante evolución de los delincuentes.

Riesgos e impacto de la suplantación de identidad

Aunque el ataque inicial puede ser tan simple como un paquete falso o un correo electrónico, los resultados pueden afectar a toda la cadena de suministro o la imagen de una empresa. Statista muestra que 322 marcas fueron objeto de phishing en septiembre del año pasado, aunque se redujo de 508 en febrero, lo que demuestra que la suplantación de identidad sigue siendo un problema importante. En la siguiente parte, describimos cuatro riesgos principales que los ataques de suplantación de identidad suponen para los datos, las finanzas y los usuarios en diversos sectores.

  1. Acceso no autorizado y robo de datos: Dado que el atacante asume la identidad de un usuario válido, las medidas de seguridad establecidas suelen resultar ineficaces y el atacante obtiene acceso no autorizado al sistema. Por ejemplo, los delincuentes pueden hacerse pasar por un director financiero que necesita datos de transferencias bancarias o una cuenta de administrador de la base de datos y, de este modo, obtener acceso a fugas de datos de gran alcance. Una vez dentro, pueden obtener privilegios adicionales o colocar más malware para tener acceso para futuras operaciones. Cualquier error en el proceso de confirmación de la identidad de los clientes puede provocar la pérdida de información crucial y perturbar las actividades comerciales.
  2. Fraude financiero y estafas por transferencia bancaria: La mayoría de los casos de infiltración implican la suplantación de identidad de proveedores y la modificación de algunos detalles de las facturas con el fin de que el personal transfiera dinero a una cuenta falsa. Esta táctica de infiltración se dirige al departamento financiero, donde los empleados pueden trabajar bajo presión y no se molestan en mirar el encabezado o el dominio del correo electrónico. Si los delincuentes son capaces de imitar a uno de los socios conocidos, pueden robar grandes cantidades en poco tiempo. Cuando se trata de transacciones financieras diarias, la falta de una verificación de identidad adecuada o de un filtro de correo electrónico sofisticado significa que la infiltración es posible.
  3. Daño a la marca y desconfianza de los clientes: Algunos ejemplos de suplantación de identidad incluyen el envío de correos electrónicos utilizando el nombre y el logotipo de una empresa de renombre, lo que puede hacer que los consumidores duden de la seguridad de una determinada empresa una vez que descubren que los delincuentes están imitando a su empresa. Esto es muy perjudicial para la marca, ya que pone en riesgo sus futuras ventas o asociaciones. Incluso si no se ha producido una intrusión directa en los propios sistemas de la empresa, las ilusiones que crean los delincuentes erosionan la confianza de los usuarios. Restaurar la imagen de una marca tras un escándalo por falsificación o suplantación de identidad es un proceso largo y costoso.
  4. Vulnerabilidades de la cadena de suministro: Los atacantes pueden atacar no solo a una organización, sino también a sus socios o proveedores ascendentes suplantando su identidad para enviar mensajes que contienen malware en actualizaciones de software. Esto puede extenderse en última instancia a toda la cadena de distribución, lo que permite a los delincuentes comprometer software ampliamente distribuido. El alcance de la infiltración puede ir más allá de una sola empresa y afectar a miles de usuarios finales o dispositivos. A medida que las amenazas a la cadena de suministro siguen evolucionando, el uso de la suplantación de identidad como medio de infiltración sigue siendo uno de los favoritos entre los delincuentes.

Diferencia entre suplantación de identidad y phishing

Aunque la suplantación de identidad y el phishing son similares, se trata de dos tipos diferentes de estrategias de infiltración. El phishing consiste más bien en engañar a las personas para que proporcionen cierta información, como nombres de usuario, contraseñas, números de tarjetas de crédito o información personal a través de enlaces. Por otro lado, el spoofing se centra en el engaño de identidad o canal, en el que se falsifican los encabezados de los correos electrónicos, las direcciones IP o los nombres de dominio para hacer creer a los destinatarios o a los puntos finales que los mensajes recibidos son legítimos. En otras palabras, el phishing es un intento de infiltración más amplio, mientras que la respuesta a la pregunta "¿Qué es un ataque de spoofing?" es más específica y se refiere a la falsificación de credenciales, dominios o identidades de usuario con el fin de infiltrarse. Estas dos técnicas se combinan a menudo, y el atacante crea una marca falsa para engañar a las personas y que proporcionen sus datos personales.

En determinados escenarios de infiltración, los actores maliciosos pueden tener como único objetivo engañar falsificando direcciones IP o registros DNS para desviar el tráfico o capturar datos, incluso si no están robando activamente credenciales de inicio de sesión mediante técnicas de phishing convencionales. Sin embargo, algunos intentos de phishing podrían depender menos de los detalles técnicos que se falsifican y basarse más bien en la ingeniería social o el miedo para manipular a los usuarios. En un contexto práctico, el spoofing puede ser el "motor" que impulsa el phishing, ya que garantiza que el mensaje de infiltración sea fidedigno. Ambos tipos de infiltración prosperan cuando no existen contramedidas sólidas, como DMARC para el correo electrónico o DNSSEC para la resolución de nombres de dominio. En conjunto, estas amenazas de infiltración deben combatirse de forma conjunta, ya que los delincuentes pueden pasar del robo de identidad al robo de datos a gran escala o al sabotaje en poco tiempo.

Leer en detalle : Diferencia entre suplantación de identidad y phishing

¿Cómo se propaga la suplantación de identidad?

El phishing sigue siendo uno de los vectores de ataque más frecuentes y comunes a nivel mundial, ya que el 36 % de los ciberataques están relacionados con él. Más preocupante aún es que el 85 % de los intentos de infiltración se produjeron en las primeras 24 horas tras el envío del correo electrónico falsificado, lo que pone de manifiesto la rápida progresión de estas amenazas. En la siguiente sección, analizamos los cinco canales principales por los que el spoofing se infiltra en las organizaciones, los usuarios finales y los proveedores.

  1. Spoofing de encabezados de correo electrónico y nombres de dominio: Los atacantes se dedican a falsificar protocolos de correo electrónico con el fin de mostrar direcciones de remitente o registros de dominio falsos. Cuando los servidores de correo o los destinatarios no cuentan con SPF, DKIM o DMARC estrictos, la infiltración se produce en forma de suplantación de identidad de marcas o personal conocidos. Una vez ganada la confianza de la víctima, los delincuentes proceden a pedirle que descargue malware o que les facilite sus credenciales. Mientras la verificación de identidad no sea lo suficientemente sólida, esta vía seguirá siendo una de las más peligrosas.
  2. Sitios web falsos y certificados SSL: Los usuarios pueden ser redirigidos a sitios falsos que parecen casi idénticos a los reales, como una página de inicio de sesión, ya sea de correo electrónico o de pago de una tienda online. A veces, los atacantes van un paso más allá y adquieren un nombre de dominio que suena como un sitio legítimo o incluso utilizan certificados gratuitos para que el sitio parezca legítimo. Los usuarios introducen sus credenciales sin saberlo, lo que ayuda a los hackers en sus intentos de infiltrarse en el sistema. Este ángulo de infiltración puede abordarse mediante la práctica de un filtrado estricto de dominios, listas negras en tiempo real o la educación de los usuarios.lt;/li>
  3. Ataques de suplantación de DNS y ARP: En las redes locales o los resolutores de DNS, los delincuentes interfieren y añaden registros falsos o redirigen las solicitudes a las direcciones IP delictivas. Este ángulo de infiltración genera dudas en las consultas de dominio o en el mapeo ARP, lo que permite a los atacantes espiar o alterar la transferencia de datos. Las redes Wi-Fi públicas y los enrutadores sin la configuración de seguridad adecuada siguen siendo los puntos de entrada más vulnerables. A largo plazo, los procedimientos DNSSEC o ARP seguros se vuelven contraproducentes para infiltrarse con éxito en estas técnicas avanzadas.
  4. Archivos adjuntos infectados y entregas de carga útil: Aunque la infiltración puede comenzar con la falsificación de marcas, el objetivo suele ser difundir archivos adjuntos maliciosos camuflados como documentos normales. Los ciberdelincuentes utilizan la suplantación de dominios o direcciones de correo electrónico falsas para que el destinatario piense que el archivo adjunto es seguro. Cuando se abre, libera malware, que roba credenciales o transfiere datos fuera del sistema. Al bloquear la infiltración tanto en el escaneo del correo entrante como en el antivirus de los terminales, las organizaciones interrumpen esta vía de infiltración.
  5. Suplantación de identidad en llamadas y SMS para ataques móviles: Además, los delincuentes utilizan llamadas telefónicas, falsificando la identidad de la llamada o enviando un SMS desde números de teléfono verificados. El destinatario puede hacer clic en el enlace recibido del remitente, seguir instrucciones falsas recibidas de una fuente desconocida o realizar un pago porque ha recibido una llamada urgente de su supuesto jefe. Dado que no existe una autenticación sólida ni concienciación por parte del usuario, la infiltración asciende rápidamente en la escala de amenazas. Algunas de las soluciones, como el uso de filtros telefónicos especiales o la formación del personal para responder a llamadas sospechosas, también cierran eficazmente la brecha en la prevención de infiltraciones a través de los canales de voz.

Tipos de suplantación

En el contexto de la ciberseguridad, la suplantación de identidad utiliza diversas técnicas para falsificar la identidad de un usuario y obtener acceso a un sistema, engañar al destinatario o robar datos. Dado que existen diferentes tipos de suplantación de identidad, las organizaciones pueden combatir la infiltración a través del correo electrónico, la IP, ARP y otros medios. En este artículo, examinamos siete tipos comunes, todos los cuales presentan diferentes problemas de infiltración y requieren contramedidas específicas.

  1. Spoofing de IP: Los atacantes modifican los encabezados de los paquetes IP para que el tráfico parezca provenir de hosts o direcciones IP de confianza. Esta estrategia de invasión elude las medidas de seguridad basadas en la red, como los filtros o los equilibradores de carga, y permite a los delincuentes obtener acceso. Algunas de las técnicas de infiltración avanzadas también incluyen la fragmentación parcial de IP para eludir los sistemas de detección de intrusiones. Estas suplantaciones pueden prevenirse aplicando una inspección con estado, utilizando tokens efímeros o realizando comprobaciones de enrutamiento avanzadas.
  2. Suplantación de correo electrónico: Los delincuentes pueden utilizar direcciones de correo electrónico o datos de servidor falsos y poner direcciones de remitente que se parezcan a las de remitentes conocidos. Este tipo de infiltración suele servir de base para los ataques de phishing, en los que se engaña a los destinatarios para que confíen en los archivos adjuntos o enlaces. Una buena implementación de DMARC, SPF y DKIM es eficaz para prevenir la infiltración mediante la autenticación del dominio. Sin embargo, la formación del personal sigue siendo importante: si los empleados son cuidadosos, la probabilidad de infiltración es baja.
  3. Suplantación de identidad en el identificador de llamadas: La penetración telefónica consiste en disfrazar el identificador de llamadas para que parezca que la llamada proviene de un número conocido o incluso de un número local. Los hackers se aprovechan de la confianza: los empleados reconocen el nombre del jefe o el número local en el teléfono y siguen las instrucciones. Este tipo de infiltración se basa en la presión en tiempo real; las llamadas de voz o las políticas de devolución de llamada pueden prevenirla. La concienciación del personal y el uso de sistemas telefónicos sofisticados minimizan la tasa de éxito de la infiltración.
  4. Suplantación de sitios web: El phishing se produce cuando el atacante imita el aspecto y el funcionamiento de un sitio web auténtico o registra dominios muy similares al sitio original con ligeras diferencias ortográficas o una extensión de dominio alternativa. Los usuarios llegan a estas páginas, reconocen los logotipos de las marcas e introducen sus credenciales, quedando así comprometidos. Los certificados SSL también pueden falsificarse u obtenerse a bajo precio, lo que refuerza la falsa sensación de credibilidad. Estos ataques pueden prevenirse supervisando el dominio de forma continua, utilizando filtros de navegación sofisticados o formando a los usuarios.
  5. Spoofing de GPS: Además de infiltrarse en la red, los delincuentes pueden modificar las señales de satélite o las emisiones locales para cambiar la información de ubicación. Este ángulo de infiltración puede afectar a los servicios basados en la navegación, las rutas de envío o los activadores de seguridad basados en geovallas. Los sistemas que dependen del GPS deben comprobar la precisión de las señales o utilizar dispositivos antisuplantación para mejorar la autenticidad de la posición. A medida que se desarrolla el IoT, la cuestión de la infiltración a través de la suplantación de GPS es aún más crítica para las cadenas de suministro y los UAV.lt;/li>
  6. Spoofing de ARP: En las redes locales, el ARP se utiliza para asignar direcciones IP a direcciones MAC y, si los atacantes introducen entradas falsas en la caché del ARP, pueden redirigir el flujo de datos. Este método de infiltración se utiliza normalmente en redes LAN compartidas, lo que puede permitir a los delincuentes interceptar o alterar el tráfico. La aplicación de la inspección dinámica del ARP, el aislamiento estricto de la VLAN o la utilización temporal de dispositivos pueden ser un obstáculo para la infiltración. Cabe destacar que los ciberatacantes utilizan la falsificación de ARP como parte de otros vectores de ataque para proporcionar una exfiltración de datos más profunda.
  7. Spoofing de DNS: La suplantación de DNS se consigue alterando los registros del resolutor DNS o envenenando las cachés para redirigir las consultas de dominio a la dirección IP del atacante. En este caso, las víctimas ven los nombres de dominio auténticos, pero acaban en los sitios de infiltración y proporcionan sus credenciales u otra información. La adopción de DNSSEC, el uso de DNS para contenido temporal y la mejora de la detección afectan al éxito de la infiltración en la capa de resolución de dominios. Esto sigue siendo un potente vector de ataque si las organizaciones no utilizan comprobaciones adicionales para garantizar que están realizando consultas DNS legítimas.

¿Cómo funciona la suplantación?

Aunque cada tipo de suplantación tiene sus propias estrategias, que van desde la falsificación de paquetes IP hasta la imitación de nombres de dominio, la esencia de la infiltración es la misma: los delincuentes engañan a los sistemas o a los usuarios imitando indicaciones de identidad. A continuación, desglosamos cuatro aspectos clave que unen estos intentos de infiltración, explicando cómo eluden las medidas de seguridad convencionales.

  1. Creación de identidades falsas: Los atacantes recopilan información falsa sobre las marcas, el personal o los registros de dominio, y luego crean direcciones, números de teléfono o URL falsos. Algunos intentos de infiltración también incorporan certificados SSL robados o tokens de usuario comprometidos. Si los destinatarios o los dispositivos aceptan estas señales falsas, los delincuentes pueden continuar con sus ataques, incluso superando los filtros o las puertas de autenticación. Mantener los procedimientos de verificación de dominios o identidades ayuda a prevenir estas ilusiones.
  2. Aprovechamiento de protocolos y brechas de confianza: Algunos de los protocolos más antiguos, como ARP o SMTP, no incorporan mecanismos de autenticación sólidos. Los actores maliciosos insertan encabezados o solicitudes falsificados en estos canales, lo que permite que la infiltración pase desapercibida a menos que se implementen medidas adicionales. Del mismo modo, el uso de DNS o certificados falsos también aprovecha la dependencia de los sistemas automatizados. En sucesivas expansiones, las organizaciones emplean tokens transitorios y cifrado avanzado para frustrar las incursiones desde estas vulnerabilidades estructurales.
  3. Aprovechamiento de la ingeniería social y la urgencia: Incluso los ordenadores configurados de forma óptima pueden verse comprometidos si un empleado acepta una solicitud del "director general" o de un "proveedor". Las ilusiones de suplantación de identidad se utilizan junto con trucos psicológicos, como solicitudes urgentes de transferencias bancarias y advertencias dramáticas, para obligar a actuar. Esta táctica de infiltración funciona cuando los usuarios no son cuidadosos o tienen prisa, por lo que ignoran las comprobaciones metódicas de las políticas. Mediante la formación frecuente del personal y la aplicación de políticas y controles sólidos, se pueden minimizar en gran medida las posibilidades de infiltración.
  4. Pivotar una vez dentro: Una vez que los ciberdelincuentes obtienen acceso inicial a una red o a una cuenta de usuario específica, es probable que eleven sus privilegios o establezcan una puerta trasera que les permita penetrar fácilmente en la red de nuevo. Este ciclo de infiltración puede implicar la creación de nuevas credenciales o entradas DNS de subdominios para ampliar el control. Al sincronizar las ilusiones de infiltración con manipulaciones de código más profundas, los atacantes camuflan el tráfico malicioso o extraen datos de forma encubierta. Estos patrones de infiltración continuos se detectan fácilmente mediante la supervisión de registros, el uso de datos efímeros y la correlación a un nivel avanzado.

Mejore su inteligencia sobre amenazas

Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.

Más información

Etapas de un ataque de suplantación de identidad

La suplantación de identidad, como tipo común de infiltración, también sigue un ciclo de etapas, que van desde el reconocimiento hasta la explotación. Al comprender cada etapa, los defensores pueden identificar los signos de infiltración y localizar el comportamiento malicioso antes de que se propague. En las siguientes secciones, identificamos cinco etapas clave que normalmente implementan los delincuentes en los ataques de suplantación de identidad.

  1. Reconocimiento y recopilación de datos: Los ciberdelincuentes recopilan información sobre lo que quieren robar, por ejemplo, datos de dominios, cuentas de LinkedIn del personal o logotipos de marcas. Esto también puede incluir una exploración de los puertos abiertos o, en cualquier caso, de las credenciales potencialmente comprometidas. Cuando se han recopilado suficientes datos, los delincuentes deciden qué área de suplantación es la más adecuada para la infiltración, ya sea el correo electrónico, IP o la falsificación de dominios. Impedir los intentos de reconocimiento o limitar los datos disponibles al público ayuda a reducir las tasas de éxito de la primera fase de infiltración.
  2. Técnicas de suplantación y canal de entrega: Aprovechando el conocimiento de la marca, los atacantes crean sus mensajes en forma de correo electrónico, registro DNS o llamada telefónica. Incluso pueden crear nombres de dominio que parezcan auténticos o imitar las firmas del personal. Esta etapa de infiltración implica elegir un vector de distribución, que puede ser cualquiera de los siguientes: envío masivo de correos electrónicos, puertas SMS infectadas o suplantación de DNS. En esta fase de elaboración, las organizaciones pueden retrasar la infiltración confirmando la propiedad del dominio y buscando clones del mismo.
  3. Lanzamiento del ataque: Los delincuentes envían mensajes falsos, correos electrónicos, llamadas telefónicas o manipulan el DNS con la intención de que el personal o los sistemas de la empresa objetivo acepten los mensajes tal cual. Algunos de ellos también envían cargas útiles o exigen una transferencia inmediata de dinero tan pronto como la víctima es infiltrada. El efecto de la infiltración se magnifica si muchos de los destinatarios responden o no comprueban la autenticidad de los mensajes. El uso de filtros en tiempo real para el correo electrónico o de comprobaciones avanzadas para la identificación de llamadas puede reducir significativamente las posibilidades de infiltración en esta fase.
  4. Explotación y extracción de datos: Después de obtener acceso no autorizado al sistema, mediante métodos como el robo de credenciales de usuario o la explotación de la confianza de la red, los atacantes pueden elevar privilegios, interceptar comunicaciones o extraer datos. También podrían dejar malware que proporcione puerta trasera para una penetración continua o cambiar a otras máquinas. La presencia de registros internos puede pasar desapercibida durante meses o el personal puede no estar capacitado, y la infiltración durará mucho tiempo. La detección rápida y el bloqueo de cuentas ayudan a evitar que la infiltración se agrave o se extienda a otras redes aliadas.
  5. Cubrir huellas y repetir ataques: Por último, los delincuentes pueden intentar eliminar los registros, restaurar la configuración del DNS a un estado anterior o transferir la información robada a otros canales para no ser rastreados fácilmente. Algunos ciclos de infiltración también pueden depender del entorno comprometido para llevar a cabo nuevas suplantaciones de identidad. Si las organizaciones no cuentan con un uso efímero o una correlación avanzada, la infiltración puede ocultarse en parte y producirse un sabotaje continuo. La prevención de tales exposiciones requiere un buen sistema de registro, análisis forense y concienciación del personal para garantizar que las vulnerabilidades se cierren definitivamente.

Ejemplos reales de ataques de suplantación de identidad

La infiltración criminal a través del spoofing puede afectar a minoristas globales, instituciones financieras y otras personas que no tienen ni idea de las actividades criminales que se están llevando a cabo. Estos incidentes de la vida real demuestran que incluso la confianza falsa, como las marcas falsas, significa robos a gran escala, fugas de datos o daños a la marca. En la siguiente sección, se destacan algunos incidentes para demostrar la importancia de la detección de infiltraciones y la sensibilización del personal.

  1. Estafa de notificaciones de pago bancario falsas (2024): El año anterior se enviaron varios correos electrónicos de phishing en forma de notificaciones de pago de bancos importantes. Los atacantes utilizaron un archivo comprimido que, al abrirse, cargaba Agent Tesla, un troyano muy sofisticado diseñado para registrar teclas y robar datos. Se modificó la interfaz de análisis antimalware de Windows (AMSI) para permitir que el ocultamiento malicioso eludiera los programas antivirus estándar. Esta infiltración demuestra la eficacia con la que la suplantación de identidad por correo electrónico puede llevar el malware hasta los usuarios desprevenidos.
  2. Campaña StrelaStealer (2024): La campaña StrelaStealer se llevó a cabo entre junio y agosto del año pasado y tuvo como objetivo a más de cien organizaciones de diferentes ámbitos, entre ellos las finanzas, administración pública y manufactura. Los delincuentes utilizaron archivos ZIP con un archivo JavaScript que se encargaba de desplegar StrelaStealer, diseñado para robar credenciales de correo electrónico de los clientes de Microsoft Outlook y Mozilla Thunderbird. Mediante el uso de direcciones de correo electrónico falsas y trucos de marca, la infiltración aumentó entre el personal que abrió los correos electrónicos camuflados. Esto pone de relieve el hecho de que la infiltración sigue siendo un problema importante, especialmente cuando los desarrolladores no integran el escaneo con los filtros de correo electrónico diarios o la concienciación del personal.
  3. Campaña de correos electrónicos de phishing de Starbucks (2024): El año pasado, en octubre, varias personas fueron engañadas por mensajes de correo electrónico que anunciaban la caja gratuita Starbucks Coffee Lovers. En dos semanas se presentaron más de 900 denuncias ante Action Fraud en el Reino Unido. Este ataque se hizo pasar por Starbucks y trató de obtener de las víctimas sus datos personales y financieros. Aunque no se produjo una penetración directa en los sistemas de Starbucks, los delincuentes aprovecharon la familiaridad de la marca para cometer robos de identidad y probables fugas de datos.

Detección y eliminación de suplantaciones

¿Cómo deshacerse de las suplantaciones? Bueno, puede que no sea un proceso sencillo, pero es posible. Tanto si un atacante falsifica un nombre de dominio, un encabezado de paquete IP o el identificador de llamada telefónica, es fundamental detectar el spoofing a tiempo. Cuando se detecta una infiltración, es fundamental actuar con rapidez, comprobar si hay ransomware u otras acciones y limpiarlo para que quienes buscan aprovecharse de la situación no puedan utilizar los mismos trucos una y otra vez. En la siguiente sección, describimos cuatro pasos clave que vinculan la detección de infiltraciones con la reparación sostenible.

  1. Seguridad avanzada del correo electrónico y los dominios: Asegúrese de que se implementan SPF, DKIM y DMARC para garantizar que solo se acepten direcciones de dominio autorizadas y evitar así los intentos de suplantación de identidad. Esto garantiza que los dominios recién registrados similares a la marca también se detecten en tiempo real. Para las transacciones confidenciales, el personal también utiliza referencias de dominio efímeras o fijadas. Esta sinergia detiene rápidamente la invasión en las puertas de enlace del correo electrónico, evitando que pasen los mensajes falsificados.
  2. Análisis del comportamiento e integración SIEM: Recopile datos de auditoría de servidores de correo, consultas DNS o inicios de sesión de usuarios e introdúzcalos en un SIEM o un motor de correlación. Si se detectan anomalías de infiltración, por ejemplo, múltiples intentos de inicio de sesión no válidos desde rangos de IP sospechosos, se activa una alerta y se avisa al personal. Mediante el cruce de patrones, los intentos de infiltración que no pasan por el escaneo normal no pueden mantenerse ocultos. A través de múltiples iteraciones, el personal integra la detección de infiltraciones con una correlación avanzada para lograr una fortificación inquebrantable.
  3. Análisis forense de la causa raíz e implementación de parches: En caso de que se logre la infiltración, es esencial realizar un análisis detallado de la suplantación de identidad para determinar la forma en que las ilusiones violaron las medidas de seguridad actuales. Es posible que algunos delincuentes se hayan aprovechado de software obsoleto o de personal que carecía de la formación adecuada. Mediante la aplicación de parches o políticas dirigidas a vectores de infiltración específicos, una organización mitiga el sabotaje continuo. El personal también utiliza un uso efímero para los sistemas de desarrollo o prueba con el fin de limitar los ángulos de exposición desde entornos menos protegidos.
  4. Formación del personal y análisis de incidentes: Por último, pero no menos importante, cualquier evento de infiltración o cuasi accidente indica que los usuarios no son conscientes de los riesgos o que el sistema no está lo suficientemente bien diseñado. En las operaciones diarias, la formación del personal sobre cómo verificar los remitentes de los correos electrónicos o cómo bloquear las llamadas sospechosas también ayuda a prevenir la infiltración. Los informes sobre incidentes identifican cualquier engaño que los delincuentes hayan utilizado durante el proceso, modificando el escaneo futuro o la verificación del usuario. Este enfoque combina los conceptos de detección de infiltraciones y mejora continua para que sea casi imposible que un engaño se utilice más de una vez.

¿Cómo prevenir los ataques de suplantación de identidad?

Como tipo de suplantación de identidad, el spoofing ha seguido evolucionando y sigue siendo una amenaza activa en el ámbito de la infiltración. En esencia, prevenir la infiltración requiere tanto medidas técnicas como la concienciación del personal, así como una vigilancia constante. A continuación se presentan cinco medidas preventivas clave que, tal y como se indica en tres breves puntos, ayudarán a minimizar las posibilidades de éxito de la infiltración:

  1. Implementar medidas antispam (SPF, DKIM, DMARC): Estos marcos autentican al remitente para alertar a los administradores del sistema sobre el dominio falso o no verificado que imitan los delincuentes. Esto reduce significativamente los intentos de infiltración cuando se habilita en todos los dominios de correo. Las revisiones periódicas de los registros evitan cualquier configuración incorrecta de los dominios que permita la infiltración.
  2. Aplicar Zero-Trust & IAM sólido: Limite el uso de acciones privilegiadas solo a aquellas que estén protegidas por autenticación multifactorial o credenciales temporales. De esa manera, incluso cuando los atacantes tengan identificaciones de usuario falsas, no podrán llegar a la etapa de escalada si cada sesión está autenticada. Ciertos factores, que incluyen asignaciones de roles bien documentadas y tokens efímeros, restringen la infiltración pivotante.
  3. Adopte el endurecimiento de la red y el DNS: DNSSEC, la inspección dinámica de ARP y las validaciones avanzadas de rutas evitan la infiltración desde el DNS o la falsificación de ARP. En lo que respecta a los registros de dominio y las direcciones MAC, existen comprobaciones en tiempo real para contrarrestar las acciones de los atacantes. Este enfoque lleva la prevención de infiltraciones más allá de los puntos finales de los clientes hasta las redes internas.
  4. Formar al personal sobre tácticas de suplantación de identidad: La defensa final contra las amenazas cibernéticas puede recaer en los empleados, como los trabajadores financieros que autorizan transferencias bancarias o los desarrolladores que detectan nuevos dominios dentro de las aplicaciones. Por lo tanto, los simulacros de phishing y el uso de escenarios en la formación reducen en gran medida la probabilidad de infiltración. Anime al personal a cuestionar cualquier llamada telefónica, carta o SMS que les inste a tomar medidas inmediatas.
  5. Monitorización de alertas y fuentes de amenazas en tiempo real: La infiltración mediante suplantación de identidad puede ser rápida, especialmente si los delincuentes aprovechan agujeros recién descubiertos o ilusiones de dominio. Mediante la integración de soluciones SIEM y observadores avanzados, el personal puede identificar patrones anormales en el tráfico de correo o en las consultas de dominios. Esto significa que un tiempo de respuesta rápido evita que la infiltración se convierta en un sabotaje a gran escala.

Obtenga más información sobre amenazas

Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.

Más información

Prevenga los ataques de suplantación de identidad con SentinelOne

SentinelOne puede combatir los ataques de suplantación de identidad mediante su detección de amenazas en tiempo real, su respuesta automatizada y sus capacidades de búsqueda de amenazas. Puede proporcionar una visibilidad profunda de su infraestructura, identificar y neutralizar actividades maliciosas.

El análisis de comportamiento de SentinelOne y protección de endpoints pueden detectar intentos de suplantación de identidad.

Su Offensive Security Engine™ con Verified Exploit Paths™ puede predecir y prevenir ataques antes de que se produzcan. SentinelOne puede proporcionar protección contra ransomware, phishing, zero-days y otros tipos de amenazas de ciberseguridad que las soluciones tradicionales basadas en firmas pueden pasar por alto.

Los usuarios pueden protegerse contra los ataques de suplantación de identidad desconectándose automáticamente de los sistemas cada vez que se produce una amenaza. SentinelOne también puede iniciar modos de recuperación y bloquear los procesos maliciosos relacionados con los ataques de suplantación de identidad. Puede identificar amenazas y abordar rápidamente los problemas de seguridad, minimizando así los posibles daños. SentinelOne puede investigar estas amenazas, incluirlas en una lista negra y evitar que se repitan en el futuro. Puede centralizar sus datos de seguridad y flujos de trabajo empresariales, y ampliar la protección de los puntos finales con Singularity™ XDR.

También puede encontrar y identificar todos los dispositivos con IP de su red.

Reserve una demostración en vivo gratuita.

Conclusión

Independientemente de si hablamos de los encabezados de los correos electrónicos, los nombres de dominio o los números del identificador de llamadas, la suplantación de identidad siempre ha sido una importante amenaza cibernética. Este tipo de ataque se aprovecha de la confianza humana y de las suposiciones del sistema que permiten a los delincuentes engañar al personal, interceptar datos o incluso controlar la cadena de suministro.

En última instancia, al comprender qué es la suplantación de identidad en cada capa, desde ARP hasta DNS y llamadas telefónicas, las organizaciones pueden abordar mejor el problema e implementar estrategias por capas para la detección, la formación y las políticas. La combinación del escaneo diario con la atención de los usuarios garantiza que no se puedan engañar a los usuarios finales y que los ángulos de infiltración sean mínimos gracias a una autenticación estricta. En combinación con ejemplos reales de ataques y recomendaciones sobre cómo prevenirlos, su empresa estará preparada para resistir las infiltraciones y proteger la imagen de marca y la información crítica.

De cara al futuro, las comprobaciones periódicas del código, la infraestructura y la preparación del personal interrumpen las infiltraciones originadas por nuevas técnicas desarrolladas por los delincuentes. Al combinar una buena detección con una respuesta rápida, se previenen las infiltraciones o los intentos de suplantación de identidad de la marca. Una opción ideal sería integrar la detección de suplantación de identidad con una seguridad automatizada impenetrable, como SentinelOne. Así que dé el siguiente paso y pruebe la plataforma SentinelOne para la interceptación de amenazas y operaciones de seguridad eficientes. Obtenga ahora una demostración de SentinelOne Singularity™ para la prevención de amenazas mediante inteligencia artificial.

"

Preguntas frecuentes sobre la suplantación de identidad

Sí, el spoofing es ilegal en la mayoría de las jurisdicciones, especialmente cuando se lleva a cabo para cometer fraude o modificar datos. Existen prohibiciones contra los actos fraudulentos destinados a engañar a las víctimas y obtener acceso no autorizado a los sistemas. Si desea saber si el spoofing es legal o ilegal en su lugar de residencia, puede consultar a un especialista en ciberseguridad o a un abogado.

Los atacantes utilizan el spoofing para engañar a las víctimas falsificando encabezados de correo electrónico, direcciones IP o identificadores de llamada. Quieren parecer dignos de confianza mientras envían enlaces maliciosos o cargas útiles. En muchos casos, combinan el spoofing con campañas de phishing, para que las víctimas hagan clic o descarguen archivos dañinos. Esto se puede observar en descargas troyanizadas o en esquemas de ingeniería social. Si no se confirma la autenticidad del remitente, se corre el riesgo de caer en estas amenazas.

En primer lugar, implemente mecanismos de autenticación de correo electrónico como SPF, DKIM y DMARC. De esta manera, se asegurará de que los correos electrónicos provienen de servidores auténticos. En segundo lugar, utilice puertas de enlace de correo electrónico seguras y filtros de spam para identificar el tráfico malicioso. Actualice sus sistemas y analice los correos electrónicos antes de abrir los archivos adjuntos. Si tiene que manejar información confidencial, debe autenticar la identidad del remitente y nunca abrir archivos o enlaces sospechosos.

Una estafa de suplantación de identidad es una práctica ilegal que utiliza datos falsos para hacerse pasar por una fuente legítima. Los remitentes pueden suplantar otras direcciones, números o sitios web para obtener credenciales de inicio de sesión o información financiera. Una vez que han engañado a las víctimas, pueden piratear sistemas o robar fondos. Puede detectar este tipo de estafas por mensajes extraños o solicitudes no deseadas. Si no comprueba la autenticidad, corre el riesgo de exponer su información personal a desconocidos.

Puede protegerse estando atento y investigando las comunicaciones sospechosas. Utilice software de seguridad que bloquee o marque los mensajes sospechosos, como puertas de enlace de correo electrónico seguras y software antivirus actualizado. Actualice sus ordenadores y analice su red en busca de patrones inusuales. Si debe intercambiar información confidencial, asegúrese de verificar la fuente. Eduque a sus empleados sobre las técnicas de phishing y los intentos de ingeniería social.

Puede detectar los ataques de suplantación de identidad analizando los encabezados de los correos electrónicos, comprobando cuidadosamente los dominios de los remitentes y buscando direcciones IP extrañas. Si hay detalles que no coinciden o enlaces sospechosos, es una señal de alarma. Es posible que observe una gramática inusual o peticiones que le incitan a actuar con precipitación. Además, vigile los registros de su red para detectar intentos de acceso no autorizados. Si necesita confirmar la autenticidad, llame directamente al remitente o utilice datos de contacto verificados.

Prevenir los ataques de suplantación de identidad significa implementar la autenticación del correo electrónico, parchear los sistemas y enseñar a todo el mundo sobre ingeniería social. Puede utilizar herramientas que filtran el spam y bloquean los archivos adjuntos maliciosos. Configure la segmentación de la red, de modo que ningún intruso pueda moverse libremente dentro de su entorno. Si no sigue las mejores prácticas de seguridad, los suplantadores de identidad pueden aprovecharse de ello. Revise su plan de respuesta ante incidentes, realice simulacros periódicos y asegúrese de que las copias de seguridad se almacenan en lugares seguros.

La suplantación de identidad por correo electrónico consiste en que los hackers se hacen pasar por los encabezados de los correos electrónicos o los datos del remitente para que los mensajes parezcan reales. Lo hacen para engañar a los destinatarios y que abran enlaces maliciosos, descarguen archivos maliciosos o revelen información confidencial. Es una táctica muy utilizada en las campañas de phishing y tiende a engañar a los filtros de spam si no se gestiona correctamente. Si necesita compartir información confidencial, compruebe primero la autenticidad del remitente. Así protegerá su información de los atacantes.

La suplantación de ARP es una técnica mediante la cual los atacantes envían mensajes ARP (Protocolo de resolución de direcciones) falsos a través de una red local. Lo hacen para vincular su dirección MAC con una dirección IP legítima, de modo que los datos destinados a esa IP les lleguen a ellos. Esto les permite interceptar o modificar información confidencial que pasa por la red. Si no proteges tu entorno interno, corres el riesgo de perder datos a manos de estos atacantes.

Puede protegerse contra ellos implementando mecanismos de autenticación, buscando patrones de tráfico sospechosos y actualizando sus sistemas. Instale cortafuegos que rastreen direcciones IP sospechosas o intentos de inicio de sesión repetidos. Si tiene que manejar datos confidenciales, autentique la fuente a través de otro medio. Forme a los empleados para que informen de los mensajes y no abran enlaces sin discreción. También es necesario disponer de copias de seguridad y de un plan de respuesta ante ataques.

Descubre más sobre Inteligencia sobre amenazas

¿Qué es el modelo Cyber Kill Chain y cómo funciona?Inteligencia sobre amenazas

¿Qué es el modelo Cyber Kill Chain y cómo funciona?

Comprenda los diferentes procesos de la cadena de destrucción cibernética. Aprenda qué es una cadena de destrucción cibernética, cómo funciona y cómo se compara con el marco MITRE ATT&CK.

Seguir leyendo
¿Qué son los ataques de día cero?Inteligencia sobre amenazas

¿Qué son los ataques de día cero?

Los ataques de día cero explotan vulnerabilidades desconocidas del software antes de que se publiquen los parches. Descubra los vectores de ataque, las técnicas de respuesta y las técnicas de defensa para proteger a su organización contra estos ciberataques silenciosos pero destructivos.

Seguir leyendo
¿Cómo prevenir los ataques RDP (Protocolo de escritorio remoto)?Inteligencia sobre amenazas

¿Cómo prevenir los ataques RDP (Protocolo de escritorio remoto)?

Los ciberdelincuentes están aprovechando las vulnerabilidades de los protocolos de escritorio remoto (RDP). Recopilan información y comprometen los dispositivos. Comprenda cómo prevenir los ataques RDP de forma eficaz.

Seguir leyendo
¿Cómo prevenir los ataques de botnets?Inteligencia sobre amenazas

¿Cómo prevenir los ataques de botnets?

Comprenda cómo prevenir los ataques de botnets y los pasos que siguen para originarse. Proteja a sus usuarios, terminales y redes. Consiga una seguridad sólida y acelere la respuesta a incidentes ante invasiones de botnets.

Seguir leyendo
¿Está listo para revolucionar sus operaciones de seguridad?

¿Está listo para revolucionar sus operaciones de seguridad?

Descubra cómo SentinelOne AI SIEM puede transformar su SOC en una central autónoma. Póngase en contacto con nosotros hoy mismo para obtener una demostración personalizada y ver el futuro de la seguridad en acción.

Solicitar una demostración