Suplantación

¿Qué es la suplantación de identidad?

La suplantación de identidad, también conocida como spoofing, es una forma de ciberataque en la que un atacante se hace pasar por una fuente confiable para engañar a los usuarios, sistemas o aplicaciones para que revelen información, concedan acceso o realicen acciones no deseadas. Al manipular la información de identificación, como direcciones de correo electrónico, dominios, direcciones IP, números de teléfono o páginas de inicio de sesión, los atacantes se disfrazan para parecer creíbles y confiables.

La suplantación de identidad se suele utilizar en las primeras etapas de ataques más complejos, como la suplantación de identidad, la entrega de malware, el robo de credenciales o el compromiso del correo electrónico empresarial (BEC). Como los mensajes e interfaces falsificados parecen familiares o legítimos, es más probable que los usuarios interactúen sin dudarlo, lo que convierte a la suplantación de identidad en una de las tácticas de ingeniería social más eficaces.

Por qué la suplantación de identidad es una amenaza

La suplantación de identidad socava la confianza. Ya sea que se trate de un correo electrónico falso que parece provenir de un ejecutivo o de una página de inicio de sesión clonada diseñada para recopilar credenciales, los ataques de suplantación de identidad explotan la familiaridad con la marca, las relaciones personales y el comportamiento humano para tener éxito.

Las consecuencias para la empresa pueden incluir:

• Robo de credenciales: Los empleados que caen en la trampa de páginas de inicio de sesión falsificadas pueden, sin saberlo, regalar credenciales a los atacantes. ‍
• Fraude financiero: Los correos electrónicos ejecutivos falsificados pueden indicar a los empleados que transfieran fondos o redirijan los pagos. ‍
• Exposición de datos: Los documentos confidenciales pueden enviarse a impostores que se hacen pasar por clientes, socios o proveedores. ‍
• Infiltración de malware: Los correos electrónicos o sitios web falsificados son vehículos comunes de entrega de ransomware, spyware o troyanos. ‍
• Daño a la reputación: Los atacantes pueden hacerse pasar por la empresa ante los clientes, los socios o el público, lo que erosiona la confianza y la integridad de la marca.

La suplantación de identidad no se basa en fallos técnicos, sino en la confianza de los usuarios. Esto hace que sea más peligroso y difícil de detener que los ataques que requieren vulnerabilidades en el sistema.

Cómo funciona la suplantación

La suplantación de identidad puede tener como objetivo múltiples capas digitales y de comunicación. El denominador común es el engaño: los atacantes falsifican los identificadores para que parezcan legítimos. Los tipos más comunes incluyen:

• Falsificación de correo electrónico: Los atacantes falsifican la dirección «De» para hacer que los correos electrónicos parezcan provenir de un contacto conocido o una cuenta interna. Estos mensajes suelen incluir solicitudes urgentes, archivos adjuntos con malware o enlaces malintencionados. ‍
• Suplantación de dominio: Los dominios similares se registran para parecerse mucho a las marcas reales (por ejemplo, «google.com» pasa a ser «googly.com»). Los atacantes pueden utilizarlos para alojar sitios de suplantación de identidad o enviar correos electrónicos falsos. ‍
• Falsificación de sitios web: Se clonan páginas o portales de inicio de sesión completos para recopilar nombres de usuario, contraseñas o datos de tarjetas de crédito. Estas páginas pueden enviarse a través de correos electrónicos de suplantación de identidad o vincularse desde anuncios falsos. ‍
• Falsificación de IP: El atacante falsifica la información del encabezado del paquete para que parezca que el tráfico proviene de una fuente confiable. Esta técnica se usa en ataques de denegación de servicio (DoS) y en escenarios de intermediación (MITM). ‍
• Suplantación de DNS (o envenenamiento de la memoria caché): Un atacante corrompe los registros o cachés de DNS para redirigir el tráfico a sitios malintencionados, incluso si el usuario escribe la URL correcta. ‍
• Identificador de llamadas y suplantación de SMS: Los números de teléfono y los orígenes de los mensajes de texto se falsifican para hacerse pasar por mesas de soporte, ejecutivos o proveedores, engañando a los usuarios para que proporcionen códigos de acceso o datos confidenciales. ‍
• Falsificación de aplicaciones: Los atacantes clonan interfaces de software o aplicaciones móviles legítimas, engañando a los usuarios para que inicien sesión o compartan permisos.

La suplantación de identidad suele combinarse con la suplantación de identidad, el malware o el movimiento lateral.

Ejemplos de ataques de suplantación

1. Compromiso de correo electrónico empresarial (BEC): Un atacante falsifica la dirección de correo electrónico del director financiero para indicarle a un empleado de finanzas que transfiera fondos urgentemente a una cuenta bancaria externa. ‍
2. Suplantación de identidad de dominios similares: El dominio «googly.com» está registrado y se usa para enviar enlaces de incorporación falsos a los nuevos empleados, capturando sus credenciales. ‍
3. Portal de clientes falso: Un atacante clona la página de inicio de sesión del sistema de facturación de un proveedor y la usa para recopilar los nombres de usuario y contraseñas del personal de contabilidad. ‍
4. Ataque de envenenamiento por DNS: Los usuarios que intentan visitar el portal de beneficios de la empresa son redirigidos a un sitio malicioso que imita al original. ‍
5. Suplantación de voz sobre IP: Un identificador de llamadas falso muestra el número interno del servicio de asistencia de la empresa. El atacante pide a los empleados que compartan sus credenciales de VPN para una «actualización de seguridad».

Estos ejemplos muestran cómo la suplantación de identidad puede permitir una amplia variedad de resultados, desde el robo y la vigilancia hasta el sabotaje y el fraude.

Uso de herramientas de seguridad para detectar la suplantación

La detección de suplantación de identidad a menudo se basa en el conocimiento del comportamiento y el contexto, más que en reglas estáticas. Los sistemas de administración de eventos e información de seguridad (SIEM) agregan registros del tráfico de correo electrónico, DNS, terminales y web, y destacan patrones como dominios que no coinciden o cadenas de respuesta inusuales. Las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) pueden poner en cuarentena los mensajes falsificados, bloquear dominios similares o desencadenar escalaciones. Las plataformas de inteligencia contra amenazas (TIP) proporcionan indicadores de riesgo (IOC) relacionados con la infraestructura de suplantación de identidad, como los kits de suplantación de identidad, las direcciones IP o los datos de los registrantes. Los análisis del comportamiento de los usuarios y las entidades (UEBA) ayudan a detectar los efectos secundarios de la suplantación de identidad exitosa, incluidos los inicios de sesión fuera del horario laboral o la reutilización anormal de credenciales.

Anomali reúne todas estas capacidades para exponer las campañas de suplantación de identidad de manera temprana, enriquecer las alertas con inteligencia global y coordinar una respuesta rápida.

Conclusiones clave

La suplantación de identidad es una táctica fundamental para los actores de amenazas, no porque sea compleja, sino porque funciona. Al imitar fuentes confiables, los atacantes eluden los controles técnicos y llegan directamente a los usuarios, iniciando una amplia gama de ataques a través de un único engaño bien elaborado.

Para detectar la suplantación de identidad, las organizaciones necesitan defensas en capas que vayan más allá de los filtros y las listas de bloqueo. Las protecciones más eficaces combinan la inteligencia de amenazas, el análisis del comportamiento y la automatización para identificar los intentos de suplantación de identidad en los canales de comunicación y responder antes de que un ataque gane terreno.

Anomali ayuda a descubrir las campañas de suplantación de identidad al correlacionar la suplantación de identidad de marca, la infraestructura de suplantación de identidad y el comportamiento de los usuarios en todas las plataformas, lo que permite a los equipos de seguridad detectar e interrumpir los ataques antes de que se intensifiquen.

¿Quieres ver cómo Anomali expone y detiene la suplantación de identidad antes de que llegue a tus usuarios? Programe una demostración.

‍