¿Qué es Spoofing?

La palabra spoofing proviene del inglés y significa algo así como burla o parodia. En este contexto, hace más bien re­fe­re­n­cia a una fa­l­si­fi­ca­ción. El término también se utiliza como verbo (to spoof) con el mismo si­g­ni­fi­ca­do, es decir, falsear un rasgo de identidad con el objetivo de engañar al otro ocultando su identidad.

En general, los ataques de spoofing tienen como objetivo convencer a la víctima para que lleve a cabo una acción, asuma la au­te­n­ti­ci­dad de cierta in­fo­r­ma­ción o reconozca la autoridad de una fuente. Si te suena un poco abstracto, aquí tienes dos ejemplos populares fuera de Internet:

1. La pareja es­ta­fa­do­ra: para obtener dinero de la víctima, el estafador finge ser un cónyuge enamorado.
2. El truco del nieto: alguien llama por teléfono a una persona mayor fingiendo que es su nieto y que tiene una eme­r­ge­n­cia con el fin de que la víctima le haga una tra­n­s­fe­re­n­cia.

En ambos casos, la estafa se basa en la in­fo­r­ma­ción. Ob­via­me­n­te, los sistemas digitales ofrecen muchas más opo­r­tu­ni­da­des para cometer fraudes de este tipo. Por Internet es posible enviar un gran volumen de mensajes con muy poco esfuerzo. Al mismo tiempo, suele ser re­la­ti­va­me­n­te fácil fa­l­si­fi­car las ca­ra­c­te­rí­s­ti­cas de ide­n­ti­fi­ca­ción de los mensajes. Muchos ataques de spoofing pueden pe­r­pe­trar­se porque Internet fue concebido como un sistema abierto, uno de los motivos por los que siguen de­di­cá­n­do­se tantos esfuerzos a aumentar la seguridad de la red.

Dado que los ataques de spoofing abarcan una gran variedad de si­tua­cio­nes posibles, no existe un único pro­ce­di­mie­n­to para pro­te­ge­r­se de ellos. Por suerte, sí que hay varios co­m­po­r­ta­mie­n­tos generales que, si se adoptan en conjunto, minimizan el riesgo de acabar siendo víctima de un ataque de spoofing.

Solo puedes evitar un ataque si eres capaz de de­te­c­tar­lo. Si el blanco del ataque de spoofing son los paquetes de datos más pequeños que se in­te­r­ca­m­bian a través de la red, lo más probable es que no te des cuenta. Por esta razón, pro­ba­ble­me­n­te no podrás tomar ninguna medida a nivel personal para impedir los ataques de red, en los que las brechas de seguridad se cierran mediante las ac­tua­li­za­cio­nes de seguridad de los fa­bri­ca­n­tes del software.

En cualquier caso, los ataques de spoofing más comunes están dirigidos a las personas por el hecho de ser más rentables: el atacante contacta a la víctima di­re­c­ta­me­n­te, por ejemplo, por teléfono o correo ele­c­tró­ni­co. Casi siempre, la intención es lograr que la otra parte lleve a cabo una acción. Si el ataque de spoofing tiene como objetivo obtener in­fo­r­ma­ción del usuario (como co­n­tra­se­ñas o datos bancarios), ha­bla­re­mos de un ataque de phishing.

El llamado spear phishing resulta es­pe­cia­l­me­n­te peligroso, porque se dirige co­n­cre­ta­me­n­te a una persona o entidad. La palabra spear significa arpón e ilustra bien este tipo de ataque: la víctima recibe un mensaje que contiene in­fo­r­ma­ción concreta y apa­re­n­te­me­n­te creíble. Co­n­ve­n­ci­da de la au­te­n­ti­ci­dad del contenido, el ataque alcanza de pleno a la víctima, to­ta­l­me­n­te de­s­pre­ve­ni­da.

Para fa­ci­li­tar­se el trabajo lo máximo posible, los atacantes suelen apuntar al blanco más fácil. Por lo tanto, conviene minimizar nuestra propia su­pe­r­fi­cie de ataque tomando unas medidas sencillas y generales que nos hacen perder atractivo como presa. Además, muchos ataques solo tienen éxito si se combina in­fo­r­ma­ción de di­fe­re­n­tes fuentes. Por lo tanto, si hay poca in­fo­r­ma­ción di­s­po­ni­ble sobre ti, los ci­be­r­de­li­n­cue­n­tes lo tendrán más difícil.

Para pro­te­ge­r­te, te re­co­me­n­da­mos in­te­rio­ri­zar los si­guie­n­tes co­m­po­r­ta­mie­n­tos.

Cuanta más in­fo­r­ma­ción tenga el atacante y más detallada sea, más creíbles parecerán los ataques de phishing. Por lo tanto, conviene que publiques la menor cantidad de datos pe­r­so­na­les posible. Por ejemplo, nunca debes publicar tu fecha de na­ci­mie­n­to. A menudo, el personal de atención al cliente utiliza datos privados de este tipo para verificar la identidad de la persona que llama. Aunque este pro­ce­di­mie­n­to no es muy seguro, se utiliza con fre­cue­n­cia.

También es im­po­r­ta­n­te ser precavido a la hora de pro­po­r­cio­nar datos pro­fe­sio­na­les, como tu puesto en la empresa. Si te lo puedes permitir, actualiza los perfiles de páginas como LinkedIn, Xing o Facebook con un retraso de seis meses.

Si el atacante no encuentra mucha in­fo­r­ma­ción sobre la víctima, suele recurrir a otro truco: crear una cuenta en redes sociales, como Facebook, y enviarle una solicitud de amistad. Al aceptarla, la persona abre la puerta al atacante para obtener in­fo­r­ma­ción que solo comparte con sus conocidos. Los datos suelen uti­li­zar­se po­s­te­rio­r­me­n­te para el fraude.

Los de­li­n­cue­n­tes que utilizan esta forma de ataque suelen recurrir a un método popular: abrir una cuenta bajo el nombre de un conocido de la víctima. Si no es posible, a menudo ponen la imagen de una persona atractiva con actitud seductora como foto de perfil, logrando que muchos caigan en la trampa y sean víctimas del engaño.

Para pro­te­ge­r­te contra los ataques, debes seguir las re­co­me­n­da­cio­nes ha­bi­tua­les para la seguridad in­fo­r­má­ti­ca: mantener ac­tua­li­za­do el sistema operativo y el software, utilizar co­r­ta­fue­gos y filtros de spam y realizar copias de seguridad pe­rió­di­cas de los datos.

Ten en cuenta que estas medidas no te protegen co­m­ple­ta­me­n­te. No obstante, tomarlas en conjunto ayudan a que no te perciban como una presa fácil.

Con la co­n­fi­gu­ra­ción pre­de­te­r­mi­na­da nos referimos a la co­n­fi­gu­ra­ción de serie de un di­s­po­si­ti­vo, software o servicio en línea. Si la co­n­fi­gu­ra­ción es la misma para todos los di­s­po­si­ti­vos o usuarios, los atacantes pueden apro­ve­char­se. Por lo tanto, es re­co­me­n­da­ble mo­di­fi­car­la para evitar entrar en el radar de los ci­be­r­de­li­n­cue­n­tes.

Antes, por ejemplo, siempre se en­tre­ga­ban los rúters con accesos de ad­mi­ni­s­tra­dor abiertos. Incluso, durante un tiempo, cada ordenador de Windows tenía los puertos abiertos de serie y, por lo tanto, estaba co­m­ple­ta­me­n­te abierto en Internet. En ambos casos, se podía reducir el riesgo cambiando los valores por defecto, pero la mayoría de los usuarios no lo sabía.

Los valores pre­de­te­r­mi­na­dos suponen un peligro no solo en términos técnicos: también la co­n­fi­gu­ra­ción de pri­va­ci­dad de las redes sociales puede ser demasiado laxa en su versión pre­de­te­r­mi­na­da. Por desgracia, muchas empresas se apro­ve­chan de esto, ya que el usuario es co­m­ple­ta­me­n­te “tra­n­s­pa­re­n­te”. Modificar la co­n­fi­gu­ra­ción solo depende de ti, así que sigue el principio de la economía de datos: restringe la co­n­fi­gu­ra­ción de pri­va­ci­dad de todas tus cuentas al máximo y aumenta los permisos gra­dua­l­me­n­te y solo con razón.

Para las apli­ca­cio­nes en las que la seguridad resulta es­pe­cia­l­me­n­te im­po­r­ta­n­te, como las de banca en línea o co­mu­ni­ca­ción cifrada, conviene utilizar un di­s­po­si­ti­vo que esté lo más blindado posible, como puede ser un pequeño ordenador portátil con un sistema operativo es­pe­cia­l­me­n­te diseñado para ga­ra­n­ti­zar la seguridad. Un buen ejemplo son las di­s­tri­bu­cio­nes de Linux Subgraph y Tails, di­s­po­ni­bles de forma gratuita.

Al usar oca­sio­na­l­me­n­te un di­s­po­si­ti­vo seguro, te sales de la norma del atacante, que espera que utilices un ordenador normal. Si el intento de ataque se basa en esta su­po­si­ción, emplear otro di­s­po­si­ti­vo puede evitarlo.

¿Qué debes hacer cuando crees que estás siendo víctima de un ataque de spoofing? Imagina que recibes un correo ele­c­tró­ni­co que te comunica algo su­pue­s­ta­me­n­te im­po­r­ta­n­te, como que no se ha podido efectuar una tra­n­s­fe­re­n­cia, que te han pirateado la cuenta o que tu registro de dominio está a punto de caducar. Te piden que actúes rá­pi­da­me­n­te para evitar males mayores.

Aunque el mensaje parece auténtico a primera vista, te suena un poco raro. Quizás el contenido no concuerda del todo con la realidad o te hace sentirte demasiado pre­sio­na­do, pero no tienes claro que se trate de un ataque. ¿Qué deberías hacer?

Antes que nada, mantén la calma y no te pre­ci­pi­tes. Si el mensaje es un correo ele­c­tró­ni­co, no hagas clic en ningún enlace que contenga. Utiliza un segundo canal de co­mu­ni­ca­ción para comprobar si el mensaje es auténtico. En este momento, es fu­n­da­me­n­tal que reduzcas el riesgo de ataque: si es posible, utiliza otro di­s­po­si­ti­vo y una apli­ca­ción segura que no uses ha­bi­tua­l­me­n­te.

Considera estos ejemplos:

Su­po­n­ga­mos que has recibido un correo ele­c­tró­ni­co su­pue­s­ta­me­n­te falso en el ordenador del trabajo. Como segundo canal de co­mu­ni­ca­ción, puedes utilizar una apli­ca­ción de me­n­sa­je­ría con cifrado de extremo a extremo en el teléfono móvil.

Has recibido una llamada o mensaje de texto so­s­pe­cho­so en el móvil. Debes usar ese teléfono con pre­cau­ción y, en su lugar, utilizar el del compañero de al lado para contactar con alguien de confianza.

Estos ataques de spoofing tienen como objetivo engañar al usuario. En el caso del phishing, se suele utilizar una réplica en­ga­ño­sa­me­n­te real de una página web para usurpar datos co­n­fi­de­n­cia­les.

Los ataques de spoofing de URL tienen como objetivo dirigir al usuario a un URL frau­du­le­n­to. El truco se basa en fingir que se trata de un URL re­co­no­ci­do y con una buena repu­tación. Si un usuario de­s­pre­ve­ni­do lo abre, se le redirige a una página maliciosa. Para que un ataque de spoofing de URL funcione, el atacante debe controlar el dominio co­rre­s­po­n­die­n­te.

a. Esquema de un enlace HTML en lenguaje de marcado Markdown sencillo.

b. Ejemplo de enlace real: el título del enlace refleja la página a la que realmente dirige el enlace.

c. Ejemplo de enlace frau­du­le­n­to: el título del enlace sugiere una página ino­fe­n­si­va y, por lo tanto, oculta el enlace real.

d. Re­pre­se­n­ta­ción del ejemplo de enlace frau­du­le­n­to en HTML.

Para pro­te­ge­r­te, puedes comprobar el URL de destino del enlace. Si pones el cursor sobre el enlace, se muestra el URL de destino real. En cualquier caso, es mejor no hacer clic en los enlaces de los correos ele­c­tró­ni­cos: en su lugar, copia la dirección del enlace haciendo clic derecho y examina el enlace en una ventana de incógnito en el navegador. Este truco es muy útil y también funciona en di­s­po­si­ti­vos móviles. También puedes copiar la dirección del enlace, pegarla y exa­mi­nar­la en un cuadro de texto.

Para llevar a cabo ataques de spoofing, también se utilizan URL que no están re­la­cio­na­dos con ningún enlace. Los atacantes suelen apro­ve­char la similitud entre di­fe­re­n­tes letras para engañar a la víctima. Estos ataques, llamados ataques ho­mo­grá­fi­cos, pueden ser muy difíciles de detectar.

En el caso más simple, el atacante introduce letras que, juntas, se parecen a otra letra en el URL o dominio. Ahí van algunos ejemplos:

• Correo ele­c­tró­ni­co de “support@lacebook.com”: en lugar de una “f” minúscula, se utiliza una “l” minúscula.
• Enlace con la página de destino “https://secure.arnazon.com/”: la co­m­bi­na­ción de las letras “rn” se parece a la letra “m”. El su­b­do­mi­nio “secure” y el “https” llaman la atención del usuario y lo distraen del dominio falso.

El éxito del engaño puede depender mucho de la fuente que se utilice para el texto. Sin embargo, si el contenido del correo crea muchas ex­pe­c­ta­ti­vas, es muy posible que la víctima pase por alto este detalle.

Otra versión del ataque ho­mo­grá­fi­co es más difícil de detectar: se trata del nombre de dominio in­te­r­na­cio­na­li­za­do (IDN, del inglés In­te­r­na­tio­na­li­zed Domain Name). El atacante envía un URL que contiene letras de otro alfabeto. Si estas se parecen vi­sua­l­me­n­te a las del alfabeto latino, la ilusión puede parecer en­ga­ño­sa­me­n­te real. En este caso, los atacantes hacen uso de di­re­c­cio­nes con punycode. Por ejemplo, el URL original no contiene la “a” latina, sino su variante en cirílico. Las dos letras pueden co­n­fu­n­di­r­se, porque se parecen mucho. Algunos na­ve­ga­do­res no muestran URL con alfabeto no latino como punycode. De esta manera, el usuario no se da cuenta de que ha acabado en una página falsa.

Para evitar los ataques ho­mo­grá­fi­cos, debes ase­gu­rar­te de que el navegador siempre muestre los dominios con letras no latinas como punycode. También debes tener en cuenta la seguridad al navegar por ciertos URL, como la página de inicio de tu banco: nunca debes hacer clic en ningún enlace, sino guardar la página como marcador.

Si has abierto un sitio web po­te­n­cia­l­me­n­te frau­du­le­n­to, procede de la siguiente manera:

• Comprueba si la página se ha cargado mediante cifrado HTTPS. La mayoría de las páginas web modernas admiten el cifrado mediante HTTPS. Ac­tua­l­me­n­te, cualquier página con la que compartas datos pe­r­so­na­les, como co­n­tra­se­ñas o fo­r­mu­la­rios, debe cargarse ex­clu­si­va­me­n­te mediante HTTPS. De lo contrario, existe un mayor riesgo de que la página sea falsa.
• Comprueba el ce­r­ti­fi­ca­do SSL: si la página se ha cargado mediante cifrado HTTPS, puedes ver el ce­r­ti­fi­ca­do SSL del servidor. Asegúrate de que el ce­r­ti­fi­ca­do tenga relación con la entidad que su­pue­s­ta­me­n­te hay detrás. En caso contrario, es posible que te en­cue­n­tres en un sitio web frau­du­le­n­to.
• Si sigues teniendo dudas, cierra la ventana del navegador.

Los ataques digitales no son ningún juego: una vez se han robado datos co­n­fi­de­n­cia­les, evitar los daños puede ser muy difícil. Más vale prevenir que curar.

Además del texto del mensaje real, los correos ele­c­tró­ni­cos contienen me­tai­n­fo­r­ma­ción en el llamado en­ca­be­za­do del correo. Este consta de varios campos, como “De”, “Para”, “Responder a”, etc. Con un software adecuado, el contenido de estos campos puede so­bre­s­cri­bi­r­se fá­ci­l­me­n­te con cualquier valor. De esta manera, si la dirección de nuestro jefe aparece en el campo “De” del correo ele­c­tró­ni­co, esto no significa que el mensaje provenga realmente de esta persona. El atacante también puede escribir su propia dirección en el campo “Responder a”. Así, la víctima creerá que responde a la dirección escrita en “De” de forma su­pue­s­ta­me­n­te legítima, cuando de hecho estará es­cri­bie­n­do a la dirección del campo “Responder a”, es decir, la del atacante.

Para evitar los ataques de spoofing, existen varios me­ca­ni­s­mos de pro­te­c­ción que pueden utilizar tanto el usuario como el software de correo. Todos ellos están de­s­ti­na­dos a detectar, marcar y excluir los correos ele­c­tró­ni­cos frau­du­le­n­tos:

• Utilizar filtros de correo no deseado: el filtro de spam de los programas o se­r­vi­do­res de correo ele­c­tró­ni­co utilizan la heu­rí­s­ti­ca para ide­n­ti­fi­car posibles correos falsos. Este proceso está to­ta­l­me­n­te au­to­ma­ti­za­do y ofrece un nivel básico de pro­te­c­ción.
• Cifrar el contenido: el cifrado de contenido garantiza que el correo proviene del remitente indicado y que el mensaje no se ha mo­di­fi­ca­do. Por desgracia, im­ple­me­n­tar los pro­ce­di­mie­n­tos estándar PGP y S/MIME requiere un cierto esfuerzo. A pesar de su eficacia, el cifrado de contenido aún se usa re­la­ti­va­me­n­te poco fuera de algunos sectores pro­fe­sio­na­les. Si lo prefieres, puedes utilizar apli­ca­cio­nes de me­n­sa­je­ría con cifrado de extremo a extremo, que ofrecen las mismas ventajas de seguridad y no requieren ninguna co­n­fi­gu­ra­ción.
• Mostrar y analizar los en­ca­be­za­dos del correo: la mejor opción para los usuarios avanzados es mostrar los en­ca­be­za­dos del correo ele­c­tró­ni­co al completo. Este pro­ce­di­mie­n­to permite ana­li­zar­los en pro­fu­n­di­dad y, con los co­no­ci­mie­n­tos adecuados, de­te­r­mi­nar el origen real del correo.

También hay una serie de te­c­no­lo­gías del lado del servidor que tienen como objetivo evitar el envío de correos ele­c­tró­ni­cos frau­du­le­n­tos. Entre los me­ca­ni­s­mos de pro­te­c­ción del lado del servidor más comunes se incluyen SPF, DKIM y DMARC.

Si gestionas tus propias di­re­c­cio­nes de correo ele­c­tró­ni­co mediante tu servidor, debes ase­gu­rar­te de que al menos los registros SPF y DKIM estén co­n­fi­gu­ra­dos co­rre­c­ta­me­n­te. De lo contrario, corres el riesgo de que tus correos ele­c­tró­ni­cos legítimos queden atrapados en el filtro de correo no deseado del de­s­ti­na­ta­rio.

Estos ataques de spoofing tienen como objetivo manipular la co­mu­ni­ca­ción en las redes. En este caso, la “víctima” no es un ser humano, sino una red de hardware o software. Como estos ataques afectan a los paquetes de datos, el usuario normal apenas los nota.

El sistema de nombres de dominio, abreviado como DNS (Domain Name System), es un sistema utilizado en todo el mundo para traducir los dominios de Internet a di­re­c­cio­nes IP. El DNS devuelve una dirección IP para cada nombre de dominio. Las consultas al DNS que ya han sido re­s­po­n­di­das se guardan en la caché de DNS del servidor. Mediante el spoofing de DNS, se introduce una entrada maliciosa en la caché de DNS, por lo que las consultas po­s­te­rio­res devuelven una dirección IP in­co­rre­c­ta para la entrada ma­ni­pu­la­da, di­ri­gie­n­do el tráfico a otro servidor. Los ci­be­r­de­li­n­cue­n­tes utilizan el spoofing de DNS para llevar a cabo ataques de phishing y ataques man-in-the-middle.

Como usuario, puedes pro­te­ge­r­te contra el spoofing de DNS mediante el uso de técnicas de cifrado. Asegúrate de que las páginas web que visites estén cifradas mediante HTTPS. El uso de una red privada virtual también puede pro­te­ge­r­te contra el spoofing de DNS.

Si gestionas tu propio dominio, deberías co­n­si­de­rar utilizar las ex­te­n­sio­nes de seguridad del sistema de nombres de dominio (DNSSEC, por sus siglas en inglés). Esta te­c­no­lo­gía de pro­te­c­ción utiliza la au­te­n­ti­ca­ción cri­p­to­grá­fi­ca para ga­ra­n­ti­zar la in­te­gri­dad de las consultas de DNS, lo que evita el spoofing de DNS de los dominios pro­te­gi­dos por DNSSEC.

Aunque lo parezca, el spoofing de MAC no tiene nada que ver con la famosa empresa ca­li­fo­r­nia­na. El término de dirección MAC designa la dirección física de un di­s­po­si­ti­vo de red. La dirección MAC consiste en un número único que se asigna a cada di­s­po­si­ti­vo de red en todo el mundo. Aunque cada di­s­po­si­ti­vo tiene una dirección fija, esta puede su­pla­n­tar­se fá­ci­l­me­n­te a nivel de software. Los atacantes suelen recurrir a la opción de hacer spoofing en la propia dirección MAC para evitar ciertas re­s­tri­c­cio­nes.

En las redes locales (LAN), el protocolo de re­so­lu­ción de di­re­c­cio­nes (ARP, siglas de Address Re­so­lu­tion Protocol) se utiliza para localizar en una tabla las di­re­c­cio­nes IP co­rre­s­po­n­die­n­tes a las di­re­c­cio­nes MAC. Los ataques de spoofing de ARP pretenden manipular los registros de la tabla para dirigir el tráfico IP a una dirección MAC maliciosa. De esta manera, el atacante es capaz de espiar o fa­l­si­fi­car el tráfico de datos, algo que puede tener graves co­n­se­cue­n­cias.

En el spoofing de IP, los paquetes de datos TCP/IP o UDP/IP se envían con una dirección de remitente fa­l­si­fi­ca­da. En la mayoría de los casos, este tipo de ataque se utiliza como parte de los  ataques DoS y DDoS.