¡Ojo con el Spoofing!: cuando un ciberdelincuente se hace pasar por la víctima

Imaginate que recibir un email en el celular o en la computadora, o un mensaje a través de una aplicación de mensajería instantánea, cuyo remitente sos vos mismo. Captará tu atención de inmediato y te resultará muy difícil resistir la tentación de abrirlo y cliquear en los enlaces, para ver el contenido y develar su origen.

Este tipo de envíos, que pueden estar encabezados por títulos o referencias a asuntos llamativos o urgentes, y cuyo remitente es el propio destinatario, son una novedosa modalidad de ‘spoofing’, un ciberataque mediante suplantación de la identidad, que está cobrando un auge en internet.

En este tipo de ciberataque el estafador se hace pasar por un remitente de confianza para acceder a datos o información importantes, a través de sitios web, correos electrónicos, llamadas telefónicas, textos, direcciones IP y servidores, explican desde la firma de seguridad informática Panda Security (PS).

El objetivo de la suplantación de identidad suele consistir en acceder a información personal, robar dinero, saltarse los controles de acceso a una red o propagar ‘malware’ (programas maliciosos) a través de archivos adjuntos o enlaces infectados.

“A través de las diferentes posibilidades de comunicación en línea, los estafadores tratarán de utilizar el ‘spoofing’ para intentar robar tu identidad y tus bienes”, explica Hervé Lambert, gerente de operaciones de consumo global de PS.

Señala que los delincuentes cibernéticos habitualmente suplantan la identidad de una persona u organización en la que el usuario confía, para que de esa manera “baje la guardia”.

LE PUEDE INTERESAR

La década de Francisco: logros y asuntos pendientes

LE PUEDE INTERESAR

El escritor Paul Auster padece cáncer

En el ‘spoofing’ de correo electrónico, el estafador envía emails con direcciones de remitente falsas, que “parecen provenir de alguien que el usuario conoce, como un compañero de trabajo o un amigo”.

AUTOENVÍOS SOSPECHOSOS

En la nueva modalidad de “spoofing” de email, los ciberdelincuentes suplantan al propio usuario, generalmente con el objetivo de extorsionarlo para conseguir dinero a cambio.

Esto “puede parecer rocambolesco, pero sin duda el solo hecho de recibir un correo electrónico cuyo remitente sos vos mismo logra en casi el 100 por ciento de los casos su principal objetivo: captar tu atención y hacer que lo abras”, explica Lambert.

Esto “no es algo tan raro si consideramos que muchas personas utilizan su correo electrónico o su propia conversación de WhatsApp para dirigirse mensajes o recordatorios a ellos mismos”, señala.

“En cualquier caso, tanto si la persona piensa que pudo ser quien se autoenvió el mensaje como recordatorio de algo puntual, o si no piensa eso, acabara por verlo para cerciorarse, pero nunca pensará que está siendo víctima de algún tipo de chantaje o extorsión”, puntualiza.

CÓMO SE CONCRETA LA ESTAFA

Los cibercriminales pueden suplantar la dirección de correo electrónico de un dominio privado del remitente para engañar a la víctima y hacerle creer que ha instalado en su dispositivo un ‘virus troyano’ (programa aparentemente legítimo e inofensivo, pero que en realidad es malicioso).

Esto es posible cuando un ciberdelincuente tiene acceso a la dirección de correo electrónico del usuario y a la información de su cuenta.

Por ello es importante proteger nuestras cuentas a través de contraseñas seguras y de la autenticación de dos factores (sistema de doble comprobación de la identidad).

Además, se debe comprobar periódicamente nuestra carpeta de mensajes “enviados” para verificar que no se haya enviado nada sospechoso desde nuestra propia cuenta.

En la mayoría de los casos, los mensajes de “spoofing” traen consigo amenazas vinculadas a la “sextorsión”, ciberdelito consistente en amenazar a la víctima con difundir y hacer público contenidos íntimos, como sus fotos o videos de tipo sexual.

CONTENIDO SEXUAL

Por ejemplo, una “sextorsión” de este tipo puede plantear al receptor del email, la obligación de que abone una cantidad de dinero a través de un enlace o monedero de criptomonedas en un tiempo estipulado de entre 48 a 72 horas.

De lo contrario, se lo amenaza con publicar datos e imágenes íntimas que dicen haber obtenido de la cámara de su teléfono móvil u ordenador, al “hackearlos” (introducirse de forma no autorizada en su sistema informático).

Se recomienda no ceder ante estos chantajes porque en el 99 por ciento de los casos son cortinas de humo para ganar tiempo y conseguir que la víctima se ponga en contacto con ellos y ceda en alguna de sus peticiones.

En algunos casos, incluso es posible que el cibercriminal le mande al usuario fotografías o videos editados con programas de edición gráfica, en los que aparece la víctima en situaciones que no son reales pero pueden resultar comprometedoras.

Ciberexpertos explican que este truco funciona porque las personas, lógicamente, no queremos que nos expongan en Internet y muchas piensan que es mejor no correr riesgos.

“Eso no significa que haya que ceder a los chantajes” y hay que recordar que “en casos de sextorsión el pago no garantizará que no se publique algún contenido íntimo y explícito del usuario, aunque ni siquiera sea verdadero”, según Lambert.

“Si se recibe un correo electrónico de este tipo, lo mejor es no facilitar información privada como contraseñas, datos bancarios o números de tarjetas de crédito”, apunta.

Frente a esta problemática, los expertos describen dos maneras de detectar que están suplantando nuestra identidad por correo electrónico:

1.- Prestar atención a la dirección de correo electrónico desde la que se envió el mensaje, ya que, si no coincide con la dirección asociada a su cuenta, es probable que se trate de un impostor.

2. Fijarse en el lenguaje del correo electrónico. ¿Es algo que vos escribirías o tiene un tono que no solés usar? Si es sospechoso, es clave ponerse en contacto con el proveedor de correo electrónico y las autoridades competentes, como el área de cibercrimen o la justicia.