La suplantación es un término que se refiere a cualquier tipo de ciberdelito que se produce cuando un hacker se hace pasar por un contacto u origen conocido. Se puede decir que engloba una variedad de tácticas cuyo denominador común es que dependen de la capacidad del hacker para hacerse pasar por otra persona.
La suplantación de identidad, de manera específica, es un delito que se refiere al uso indebido de datos personales, entre los que se encuentran datos de contacto, direcciones de correo electrónico, contraseñas y datos bancarios. Es común que datos sensibles terminen en manos de personas inescrupulosas y, en la mayoría de los casos, suele pasar más rápido de lo que se cree.
Los peligros de la suplantación
Sea cual sea el tipo de suplantación empleado, la idea básica siempre es la misma: El hacker engaña a sus víctimas haciéndose pasar por quien no es.
Los suplantadores telefónicos o por correo electrónico manipulan a sus víctimas para que revelen información personal confidencial, lo que puede resultar en fraudes financieros o robo de identidad. Los hackers utilizan a menudo la suplantación de correo electrónico para enredar a sus víctimas en campañas de phishing.
Otros tipos de suplantación suelen dirigirse contra redes, no contra usuarios concretos, con el objetivo de propagar malware, robar datos, superar sistemas de seguridad o preparar el camino a ataques posteriores.
Como la suplantación puede utilizarse de tantas maneras distintas, detectar todos los ataques supone todo un reto.
¿Cómo protegerse de la suplantación en sitios web?
Para evitar ser víctima de esta modalidad es importante revisar con detalle cada una de las comunicaciones digitales recibidas:
- Mire quién es el remitente del mensaje. Si se trata de una organización o empresa con la que usted no ha tenido contacto, sospeche y lea con atención cuál es el contenido de la comunicación.
- Tenga cuidado con los archivos adjuntos extraños: No abra nunca archivos adjuntos que no esperara recibir, especialmente si tienen extensiones anormales.
- Ignore aquellos correos en los que el destinatario es genérico, es decir que no incluya su nombre ni lo identifique personalmente. Por ejemplo, los correos que tienen dentro de su saludo el mensaje de ‘estimado usuario’, ‘visitante’ o ‘señor y señora’.
- Llame para confirmar: Si le piden que envíe información personal, como una contraseña o un número de tarjeta de crédito, llame al remitente para confirmarlo, empleando para ello el número de contacto indicado en el sitio web real. Introduzca manualmente la URL en el navegador, compruebe la página por si ve señales de suplantación de sitio web y no haga clic en ningún enlace del correo electrónico sospechoso que ha recibido.
- En el caso de que haya abierto el enlace, verifique que sean direcciones de https, esa S al final indica que la página cuenta con un protocolo de transferencia seguro. Si en el mensaje le notifican una situación irregular en determinada cuenta, lo mejor es dirigirse a la página del presunto remitente directamente y no a través del enlace compartido en el correo.
- Cambie con regularidad sus contraseñas: Si un suplantador se hace con sus credenciales de inicio de sesión, no podrá causar mucho daño si usted ya tiene una nueva contraseña. Cree contraseñas seguras que no sean fáciles de adivinar y utilice un administrador de contraseñas para almacenarlas de forma segura.
- Denuncie los intentos de suplantación: Si recibe un correo electrónico u otra comunicación suplantada, informe de ello al remitente suplantado. Podría ayudar a evitar ataques de suplantación futuros. La mayoría de las empresas tendrá en su sitio web una página donde denunciar las suplantaciones y otros problemas de seguridad.
Consejos para evitar violación de datos personales
1. Tenga en cuenta que nadie va a solicitarle datos personales ni credenciales para portales financieros a través de comunicaciones electrónicas.
2. Aplique controles de navegación que incluyan tráfico cifrado. Esto permite autentificar con quién se está comunicando cuando está en una página web. Por ejemplo, Chrome tienen extensiones que se pueden activar rápidamente.
3. Ignore mensajes o cadenas que promuevan promociones y beneficios desproporcionados. Estas comunicaciones suelen redirigir a una página desconocida que simula ser oficial y solicita llenar cuestionarios. Le roban sus datos.
4. En el caso de que identifique que un atacante tuvo acceso a sus datos, debe inmediatamente dirigirse a canales oficiales de su entidad bancaria.
5. Active los mecanismos de doble autenticación en sus cuentas. En el caso de que un atacante acceda a las claves, necesitará un código adicional que es enviado al correo electrónico o a su celular.
6. Identifique cuáles son los activos que pueden tener mayor riesgo y use controles de seguridad como firewall, IPS y antivirus de red.
