En ese denso bosque urdido de yottabytes de datos binarios, entre los pastos y viento en contra, acecha el huidizo partenaire de un clásico antihéroe marplatense, mientras que cotidianamente lo transitan millones de Caperucitas distraídas, vociferando con la voz arrugada de desconocimiento: ¿Lobo estás?

El lobo de esta cuarta o quinta revolución industrial se esconde detrás de una espesa cortina de bits, recurriendo al spoofing que es una técnica delictiva que pretende suplantar la identidad de otra persona, una empresa o entidad pública con fines delictivos y proviene de la traducción literal al español del término que sería "suplantación" o "engaño"; aunque debe tenerse en cuenta que spoof también significa "burlarse de algo" o "simularlo".

Tras bambalinas y sobre las tablas de cualquier teatro, se utiliza el término spoofing para significar el supuesto en el cual un actor finge ser otro personaje. En ecosistemas digitales, impregnados de componentes binarios, el spoofing o suplantación de identidad es un tipo de ciberataque en el que un ciberdelincuente simula ser una fuente confiable -por lo general, una institución pública, alguna entidad bancaria, una compañía telefónica, un proveedor o cliente, alguna aplicación, entre tantos otros supuestos-, para de ese modo hacerse de los datos privados y credenciales de la circunstancial víctima sin que esta lo sepa y posteriormente poder filtrarlos, extorsionarla, propagarle malware a través de archivos adjuntos o enlaces infectados, robar dinero y todo tipo de tropelías cibernéticas.

Cualquier incrédulo Citizenet podría preguntarse, pero ¿por qué quieren hacer esto? ¿Que buscan estos tipos? Fácil. Recolectar información confidencial de los clientes, usuarios y desprevenidos cibernautas errantes entre la dimensión on line y off line de la vida cotidiana, para que una vez obtenidos los datos deseados, cometer los más diversos delitos en la campiña de la red. Realmente es una práctica muy peligrosa y que puede afectar a cualquiera que se conecte a La Matrix. En definitiva, el spoofing es una técnica, estrategia o recurso más que puede ser utilizado de forma lícita o ilícita en la Narnia digital por la que vagamos desconcertados.

¿Cómo funciona el Spoofing?

La eficacia del ataque radica en que el ciberdelincuente consiga aparentar ser otra persona y que nadie sospeche. De modo tal, que se necesita un buen disfraz digital. Ocultará su número de teléfono, el mail, su IP y cualquier otro dato que pudiera revelar el engaño y a partir de allí construirá su nueva identidad, por lo general recurriendo a la reluciente indumentaria surcida con bytes de un particular, de alguna pequeña o mediana empresa pujante, de alguna compañía que sea lo suficientemente reconocida y respetada en su sector o -bien- de algún organismo público estatal.

Esto sería un ejemplo de ataque spoofing convencional, pero las técnicas han avanzado mucho en los últimos años a punto tal, que es probable que cualquier cibernauta distraído termine siendo víctima de este delito porque el delincuente ha suplantado su dirección IP o DNS -Domain Name System o Sistema de Nombres de Dominio- por lo que no solo engañara a usuarios y clientes, sino también a los propios dispositivos de la víctima.

El trayecto que recorre un ciberdelincuente que planea un ataque spoofing, se va pergeñando de acuerdo a los siguientes pasos. Se pondrá en contacto con la víctima pretendiendo ser otra persona; por caso, el empleado de una sucursal bancaria. Una vez dado este paso y contando con que el usuario ya confía en la palabra del malhechor, procederá falsificando correos electrónicos, teléfonos, SMS y empleará todos los medios necesarios para conseguir la cantidad de datos personales necesarios para que su suplantación de identidad sea exitosa.

En una primera impresión podría creerse que el spoofing funciona de manera muy parecida a los ataques mediante phishing. Sin embargo, en el phishing la ingenieria social desplegada es empleada con el objeto recolectar información confidencial y usarla para perpetrar diferentes delitos digitales; mientras que el spoofing nació con el claro objetivo de suplantar la identidad de particulares, empresas y organismos, para de ese modo engañar al rebaño de clientes digitales cautivos o fieles de la organización cuya identidad ha sido suplantada.

Estos ataques, cada día más comunes, pueden ser muy dañinos para las empresas si no están preparadas para afrontarlos. El desapoderamiento de datos confidenciales, la apropiación de información financiera, significativos daños reputacionales y consecuencias legales de diferente tipo son algunos de los principales riesgos que derivan de esta modalidad para cualquier empresa que habita ese ecosistema digital denominado mercado.

El spoofing en todas sus variantes

Son diversas las estrategias y recursos utilizados para pergeñar este tipo de ataque cibernético, por lo que existen varias alternativas diferentes: spoofing de correo electrónico, el DNS spoofing, el spoofing de IP, el spoofing web, Caller ID spoofing y el temible ARP spoofing o man-in-the-middle (MitM).

Conocer e identificar cada uno de los tipos, su objeto y características propias es lo que permitirá adoptar las medidas de prevención, respuesta, mitigación y resiliencia digital necesarias para afrontarlos minimizando los daños causados.

Spoofing o suplantación de correo electrónico

Esta modalidad, consiste en suplantar la identidad de una persona, empresa o entidad de confianza para enviar correos electrónicos, engañar al usuario y de ese modo acceder a sus datos personales. Para llevarlo a cabo el ciberdelincuente se crea una cuenta de correo electrónico muy similar a la cuenta de la persona, empresa u organismo que aparenta ser o bien -aprovechando alguna vulnerabilidad- se apodera de las claves y credenciales, utilizando la cuenta de correo electrónico original. Este tipo de spoofing busca engañar a los destinatarios del correo para que faciliten datos privados, contraseñas, o incluso para que realicen pagos con sus tarjetas de crédito o débito.

Por ese motivo, para conjurar este tipo de amenaza digital se debe comprobar el email desde el que llega el mensaje. Verificar la dirección desde donde ha sido remitido, chequeando que no haya caracteres especiales o palabras vulgares. Si el correo dice ser de Amazon, pero el dominio no coincide, claramente es una amenaza cibernética.

Se debe prestar atención al mensaje. Ninguna empresa o banco lanzaría una oferta que le hiciera perder dinero, como tampoco existen las soluciones mágicas. Es imposible aprender inglés en tres días. Ante la sospecha, cambiar las contraseñas de inmediato. La filtración de datos puede develar la clave secreta, todavía más probable si la contraseña es débil -por caso, 1234-; preferentemente utilizar un gestor de contraseñas para almacenarlas con seguridad.

Spoofing o suplantación web

El spoofing web es también una variante de phishing, mediante la cual un atacante replica una web legítima para hacerse pasar por ella y tratar de obtener beneficios mediante su suplantación. Los ciberdelincuentes pueden llevar a cabo la réplica de una página web legitima mediante el uso de elementos muy similares a los de la fuente original: logos, tipografías, slogans. Para hacer el engaño más creíble aún, suelen utilizar una URL parecida a la que pretenden suplantar -por ejemplo, www.diarioe1tiempo.com.ar en vez de www.diarioeltiempo.com.ar- todo ello con la finalidad de cometer actos delictivos en perjuicio de los usuarios que visitan la pagina web clonada. Las webs falsas pueden replicar portales legítimos de entidades bancarias, tiendas online, hoteles o agencias de viajes. Los usuarios engañados pueden facilitarles sus datos de acceso o datos bancarios, lo que permite al ciberdelincuente consumar su maniobra.

Es clave para evitar introducir tu tarjeta de crédito o correo electrónico en una web fraudulenta revisar que se trate de un sitio cuya URL comience con HTTPS -por ejemplo, https://diarioeltiempo.com.ar- puesto que está indicando que el intercambio del paquete de datos se está efectuando en el marco del Protocolo Seguro de Transferencia de Hipertexto (HTTPS) que es una versión mejorada del antiguo protocolo HTTP. Debería aparecer al principio del link, en la barra de búsquedas y junto a la URL un candado que indicar que la información está cifrada. Este es el primer filtro para saber si se esta ante una página segura.

Una buena práctica, consiste en instalar un bloqueador de anuncios. A veces es inevitable abrir un anuncio con un slogan llamativo o, simplemente, cliclear por error un hipervínculo malicioso. Ello se evita con un bloqueador de anuncios invasivos, tales como Adblock, Adguard, Adaway, TrustGo, Ghostery entre otros. Finalmente, se debe desconfiar de las súper ofertas.

El ARP spoofing o Man in the Middle

El ARP spoofing es una forma bastante sofisticada, mediante la cual los ciberdelincuentes acceden a una red LAN -es decir, una Red de Área Local- e interceptan los paquetes de datos que pasan a través de ella. Se trata de un tipo de ataque muy peligroso porque permite al malhechor digital recibir y enviar mensajes dirigidos a una IP específica, lo que le permite realizar ataques de intermediario dentro de la red. Un ataque de man in the middle (MitM) significa que un hombre en el medio está interceptando las comunicaciones entre dos dispositivos conectados a una misma red, sin autorización previa. En otras palabras, le permite manipular el tráfico y obtener información confidencial de los propietarios de los dispositivos. Es como tener un invitado en la empresa, aunque ningún miembro se haya dado cuenta de su presencia y, por supuesto, nadie lo ha invitado a pasar unos días dentro de la organización.

Para evitarlo, es recomendable utilizar herramientas para monitorizar y buscar posibles vulnerabilidades en los dispositivos, mediante software compatible con Windows, Linux y macOS; aunque una medida de asepsia crucial consiste en enrutar el tráfico de internet a través de una VPN (Virtual Private Network).

EL DNS spoofing o suplantación de DNS

Para entender cómo se perpetra este tipo de ciberataque, debe repararse en que a cada dispositivo conectado a la Red y a cada sitio web se le asigna una dirección IP única. El DNS spoofing permite al atacante hacerse pasar por el servidor DNS que utiliza el router doméstico para obtener las direcciones IP a las que quiere acceder el usuario, de forma que el atacante queda en una posición perfecta para recibir las peticiones del usuario, modificar las respuestas y realizar un ataque de intermediario. Como se puede avizorar, el DNS spoofing es similar al ARP spoofing, solo que acostumbra a darse en torno al router en lugar de afectar las redes LAN. Mediante esta estrategia, los ciberdelincuentes consiguen infectar y acceder al router -es decir, el dispositivo conectado a un módem que envía información de Internet al resto de los dispositivos domésticos- de su víctima, recibiendo las peticiones del usuario, modificando las respuestas y realizando un ataque de intermediario.

Algunos consejos útiles para prevenir y mitigar este tipo de ataques consisten en: utilizar un firewall o cortafuegos; esto es, un software que bloqueara conexiones entrantes que no se hayan autorizado previamente. Se debe navegar con protocolos de seguridad de última generación. Además de usar una VPN -Virtual Private Network-, mejorando los niveles de privacidad y seguridad online. Se debería mantener actualizado el sistema operativo, apps y cualquier software que forme parte del sistema operativo de tu equipo, ya que cada actualización es una versión mejorada que intenta suplir las vulnerabilidades detectadas.

El IP spoofing o la suplantación de la dirección IP

La dirección IP es un número de identificación único que se asigna a cada dispositivo que se conecta a la Red. Mediante esta técnica un ciberdelincuente falsifica su dirección IP de origen para ocultar su verdadera dirección o para hacerla pasar por otra. A diferencia de los tipos anteriores, el IP spoofing puede utilizarse como forma de protección frente a ciberataques y, de hecho, es la herramienta idónea para prevenir uno de los trágicos ataques de denegación de servicio o DDos. En efecto, si se recurre a la configuración de una VPN -Virtual Private Network- podremos conectarnos a internet a través de una IP diferente a nuestra IP real, lo que impide a posibles atacantes dirigir ataques DDoS contra nuestra IP y, además, nos permite navegar de forma anónima por internet.

De allí que esta estrategia -el IP spoofing- sea especialmente popular entre los Streamers, Twitchers y los Gamers. Si se procura evitar ser cazado por un IP spoofing, es necesario estar familiarizado con los métodos de verificación. Los certificados SSL ayudarán a revisar cuáles son los sitios web que intentan conectarse a tu red. Por otra parte, debería recurrirse a los protocolos de internet más nuevos, teniendo en cuentas las diferencias entre IPv6 vs IPv4.

ID spoofing o suplantación de identidad en llamadas telefónicas

Esta variante, consiste en la suplantación de identidad en llamadas telefónicas. Es una práctica delictiva muy frecuente, motivo por el cual no es recomendable aportar datos confidenciales por teléfono, menos todavía si al otro lado de la línea, no se han identificado correctamente.

Sin embargo, existe otro peligro prácticamente indetectable, puesto que la IA hace posible simular la voz de una persona, aunque quien nos esté llamando sea un robot programado para captar víctimas. Pueden emplear las llamadas telefónicas convencionales, pero también se han detectado casos en apps de mensajería instantánea y videollamadas, por ejemplo, Skype.

Una de las maneras de prevenir este peligro consiste en intenta identificar la llamada. Busca en internet si más personas han denunciado el mismo número de teléfono. Asimismo, comprueba si tu número se ha publicado en páginas diseñadas para conseguir listas con contactos.

Suplantación de SMS

En esta modalidad, los ciberdelincuentes alteran el número de teléfono de una fuente legitima para enviar mensaies de texto haciéndose pasar por ella y engañar a la víctima para obtener información confidencial o realizar otras acciones maliciosas. Entre estos ataques, denominados smishing, suelen ser comunes los mensajes en los que suplantan a entidades bancarias, redes sociales, entre otros.

¿Cómo proteger a nuestras empresas de un ataque de spoofing?

Dado que el spoofing es un término tan amplio que abarca técnicas muy diversas, no hay una sola forma de protegerse frente a este tipo de ataques y la mejor manera de navegar con seguridad es combinarlas todas. Las principales herramientas con las que cuenta un particular u organización para protegerse frente al spoofing son las siguientes:

Utilizar una VPN -Virtual Private Network- permite recurrir al spoofing en nuestro propio beneficio, puesto que oculta nuestra IP para impedir ataques DDoS y encriptan nuestros datos para impedir que puedan ser leídos por terceros. Una VPN puede ayudarnos a neutralizar ataques como el DNS spoofing y el ARP spoofing, ya que, incluso si un el ciberdelincuente logra intervenir con éxito nuestra red, no podrá desencriptar los datos que enviemos a través de nuestra conexión VPN.

El software antivirus es otra gran herramienta para protegernos de los ataques de spoofing. Por una parte, los mejores antivirus cuentan con una extensa base de datos de sitios web de phishing y maliciosos y nos impedirá su acceso en caso de que caigamos en alguno de sus enlaces por accidente, así como también la instalación de diversas formas de malware diseñadas por los atacantes para realizar ataques de spoofing DNS y ARP.

Jamás pulsar enlaces con apariencia extraña ni archivos adjuntos en correos que provienen de direcciones que se desconocen. Para evitar que tu correo electrónico termine en una lista de contactos que actúa de agenda para los delincuentes, reduce al mínimo la información personal que publicas en redes.

Es clave prestar atención a redacciones deficientes, con fallos ortográficos y que incitan a tomar acciones en tono de urgencia. Nunca proporcionar datos personales, confidenciales, de acceso, o bancarios a través de estas vías.

Evitar pulsar en enlaces o descargar archivos de correos electrónicos y mensajes sin verificar la veracidad de la información y del remitente; utilizando -simultáneamente- un filtro antispam. Utilizar la firma digital o cifrado en los correos electrónicos para autenticar nuestras comunicaciones, ayudando a prevenir posibles suplantaciones de la empresa u organización.

Detenerse a comprobar un instante que se trata de una conexión segura con un certificado SSL -ello ocurre cuando aparece el candado al lado de la dirección web- y siempre con una conexión https. Reparar en las URL para evitar casos de cybersquatting y estar alertas a faltas de ortografía o cambios en el contenido de la web.

Es muy importante blindar el router de la empresa u organización, restringiendo las conexiones remotas, cambiando las contraseñas por defecto, además de seguir las pautas para identificar webs fraudulentas. Sin perjuicio de ello, es de vital importancia mantener los equipos actualizados a la última versión, tanto del sistema operativo, como del navegador y las aplicaciones.

Siempre es recomendable utilizar contraseñas robustas y diferentes para cada servicio, modificarlas regularmente y, cuando sea posible, activar un doble factor de autenticación. Desde luego que se deben realizar exámenes y chequeos de seguridad periódicos para luchar contra accesos maliciosos que puedan modificar los ajustes de los DNS en nuestros equipos y routers. Finalmente, recordar la trascendencia de descargar aplicaciones o software de mercados oficiales.

Requiem para unos pocos peligros sensatos

Mientras anochece, pasan los coches ligeros y conductores mudos amenazan con flipar, se escapa un presuroso y desvaído requiem para las demasiadas pocas cosas labradas en las deshilvanadas lineas que ya fueron, susurrando al costado del camino un cabizbajo mantra que expresa un rosario de dudas flotando en derredor de una altiva sola certeza: Lobo está.

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.