El desarrollo acelerado de la tecnología ha transformado la manera en que vivimos, trabajamos y nos relacionamos. Sin embargo, esta evolución también ha traído consigo nuevas formas de delincuencia, entre las cuales el spoofing se destaca como una de las más insidiosas y peligrosas.
Este artículo tiene como objetivo explicar qué es el spoofing, por qué los bancos no asumen la responsabilidad de los importes estafados y ofrecer algunos consejos prácticos para evitar caer en esta trampa.
¿Qué es esto con nombre tan raro?
Es un conjunto de técnicas utilizadas por los atacantes para hacerse pasar por una persona o entidad de confianza, y engañar a las víctimas para obtener información. La palabra viene del término inglés spoof, que significa suplantación. Es uno de los métodos más comunes para engañarte en una ciberestafa.
Esta práctica puede manifestarse de varias formas, (citaremos solo algunas de ellas):
Spoofing de correo electrónico: Los delincuentes envían correos electrónicos que parecen provenir de fuentes confiables, como bancos o empresas legítimas. Estos correos suelen contener enlaces a sitios web falsos o archivos adjuntos maliciosos.
Ejemplo: Ana recibe un correo electrónico que parece provenir de su banco, indicando que su cuenta ha sido comprometida y que debe iniciar sesión en un enlace proporcionado para verificar su información. Al hacer clic en el enlace, es redirigida a un sitio web que parece idéntico al del banco, donde ingresa sus credenciales. Poco después, se da cuenta de que su cuenta ha sido vaciada.
Spoofing de teléfono (Caller ID Spoofing): Mediante esta técnica, los delincuentes manipulan la información de identificación de la llamada, haciendo que parezca que proviene de un número de teléfono legítimo, como el de un banco o una institución gubernamental.
Ejemplo: Carlos recibe una llamada aparentemente de su banco, informándole sobre una transacción sospechosa. El interlocutor le pide que proporcione detalles de su cuenta para verificar su identidad. Confiando en la llamada, Carlos comparte su información y pronto descubre que su cuenta ha sido vaciada.
Spoofing de IP: En este caso, los delincuentes ocultan su dirección IP real y usan una dirección falsa para acceder a redes o sistemas de manera ilícita.
Ejemplo: Los ciberdelincuentes interceptaron comunicaciones entre la empresa ABC S.L. y sus clientes. Redirigieron solicitudes de pago a cuentas bancarias controladas por ellos.
Cuando la empresa reclamó a sus clientes el pago de las facturas, a éstos les figuraban pagadas….a la cuenta de los ciberdelincuentes.
Spoofing de DNS: Es posible falsificar el sistema de nombres de dominio o DNS. Comienza por la creación de sitios web maliciosos que se asemejan a uno confiable. Su objetivo es hacer que las personas accedan a estos sitios en lugar de los reales y extraer información sensible como contraseñas o números de tarjeta.
Spoofing de biométricos: Consiste en la falsificación de los datos biométricos de una persona para acceder a sus cuentas bancarias, dispositivos móviles o aplicaciones web. Los atacantes crean, mediante inteligencia artificial, simulaciones de voz, faciales y oculares de la víctima para que el sistema valide las operaciones que requieren la autentificación de la persona en cuestión.
También hay números de teléfono falsos desde los que te llaman y te aparece en el móvil que son de un banco o una empresa real.
¿Por qué los bancos no asumen los importes estafados?
Una de las preguntas más comunes entre las víctimas de spoofing es por qué los bancos no asumen los importes estafados. Hay varias razones para esto:
Responsabilidad del usuario: Los términos y condiciones de la mayoría de los bancos incluyen cláusulas que especifican que los clientes son responsables de proteger su información personal y sus credenciales de acceso. Si una transacción fraudulenta ocurre debido a que el usuario compartió inadvertidamente esta información, el banco puede argumentar que no es responsable.
Dificultad para probar el fraude: En muchos casos, es difícil demostrar que una transacción fue realmente fraudulenta. Los delincuentes utilizan técnicas sofisticadas para hacer que las transacciones parezcan legítimas, lo que complica la labor de los bancos para identificar y verificar el fraude.
Políticas de seguridad: Los bancos implementan diversas medidas de seguridad para proteger las cuentas de sus clientes, pero también esperan que los usuarios sigan buenas prácticas de seguridad. Si un cliente no sigue estas prácticas, el banco puede considerar que no tiene la obligación de asumir las pérdidas.
Consejos para no caer en el Spoofing
Mantén protegidos tus datos: puedes encriptar tu información de tal forma que solo sea legible a través de las herramientas que hayas validado. Mantén actualizados tus antivirus y firewalls: implica un mayor nivel de seguridad contra las amenazas más recientes, y proteger las redes privadas y los dispositivos de punto de conexión que se encuentran en ellas.
Verifica la fuente: Nunca confíes en correos electrónicos o llamadas que soliciten información personal o financiera. Siempre verifica directamente con la entidad legítima utilizando números de contacto oficiales. Los bancos no te solicitan claves de acceso ni contraseñas ni por teléfono, ni por email ni por sms. Si te las piden, desconfía.
No compartas información sensible: Nunca reveles tus contraseñas, números de cuenta o cualquier otra información sensible a través de correos electrónicos, llamadas telefónicas o mensajes de texto.
Utiliza la autenticación multifactor (MFA): Implementar medidas de seguridad adicionales, como la autenticación multifactor, puede ayudar a proteger tus cuentas incluso si tus credenciales se ven comprometidas.
Actualiza software y contraseñas: Mantén tu software y sistemas operativos actualizados, y cambia tus contraseñas regularmente para minimizar el riesgo de ser víctima de ataques.
Infórmate y mantente vigilante: El conocimeinto es una de las mejores defensas contra el spoofing. Mantente informado sobre las últimas técnicas de fraude y aprende a reconocer las señales de advertencia.
Desconfía si te meten prisa para que hagas algo que te están indicando, de mensajes escritos con errores ortográficos, de direcciones web parecidas a la real pero que les falta algo (una letra, un guión….). No accedas a una web a través del enlace que te envían, teclea tú la web en tu teléfono u ordenador. Asegúrate de que los sitios web que visita sean HTTPS.
El spoofing es una amenaza real y creciente en el mundo digital. Comprender cómo funciona y por qué los bancos no siempre asumen la responsabilidad de las pérdidas puede ayudarte a tomar medidas preventivas para proteger tu información y tus finanzas.
Siguiendo prácticas de seguridad sólidas y manteniéndote alerta, puedes reducir significativamente el riesgo de ser víctima de esta sofisticada forma de fraude.
