¿Sabrías actuar frente a una suplantación de identidad o ‘spoofing’ en la Red?

Nuestros datos personales son valiosos y son codiciados por los ciberdelincuentes para utilizarlos de forma fraudulenta. Debemos ser conscientes de todos los riesgos que corremos al navegar por la red y adoptar las precauciones de seguridad necesarias que eviten que nuestra información personal pueda quedar expuesta.

El spoofing o suplantación de identidad es un delito que se ha vuelto cada vez más común en la era digital. Es un conjunto de técnicas utilizadas por los ciberdelincuentes para hacerse pasar por una persona o entidad de confianza con el objetivo de engañar a la víctima para obtener su información privada, robarle sus datos personales e incluso su dinero. Para ello utilizan todo tipo de estrategias como páginas web falsas, correos electrónicos, SMS u ofertas y anuncios en internet, con los que engañan a los usuarios para que caigan en su trampa.

Técnicas cada vez más sofisticadas para robar datos

Los ciberdelincuentes idean cada día nuevas e ingeniosas fórmulas para hacerse con nuestros datos personales. Y la IA ha venido a facilitarles su delictivo trabajo con sofisticadas herramientas de reciente creación como la clonación de voz para dejar mensajes falsos en un buzón de voz o enviar audios por servicios de mensajería.

La organización de Consumidores y Usuarios (OCU) advierte que hay que tener mucho cuidado especialmente con los correos electrónicos que nos llegan en nombre de los bancos. “Es un ejemplo de spoofing, que está causando grandes estragos últimamente” explica la OCU. El usuario recibe una llamada, supuestamente de su banco, alertándole de que alguien está realizando operaciones en sus cuentas y le insta a transferir rápidamente su dinero a una cuenta segura y para ello le piden los datos necesarios (DNI, datos de acceso, claves…). El engaño suele estar muy bien diseñado, los interlocutores utilizan términos bancarios y hacen alusión a datos concretos que dan verosimilitud al engaño. “Para engañar a la gente los ciberdelincuentes utilizan programas informáticos que permiten cambiar el número de teléfono que aparece en pantalla y colocan el de nuestro banco (con lo que animan a devolver la llamada para comprobar que no es un engaño, pero vuelven a atenderte los mismos). Cuando la persona cae en la trampa transfieren el dinero a una cuenta de una tercera persona que ha cedido su identidad y que recibirá una comisión a cambio del riesgo de ser pillado y, luego, trasladan el dinero a criptomonedas, donde ya se hace muy difícil su rastreo”, cuenta la OCU.

Cómo protegerse del spoofing

Para prevenir la suplantación de identidad, es importante que tomes medidas preventivas, como:

Desconfía de llamadas de alertas: el banco nunca te pedirá claves, ni códigos que se envían por SMS, ni tu número de cuenta.

Comprueba lo que te dicen antes de hacer nada: no llames de vuelta a quien te llama, sino que debes colgar la llamada, entrar en la app y verificar los movimientos de tus cuentas.

Mantén actualizado el software de seguridad de tu dispositivo: las actualizaciones de seguridad suelen incluir parches y correcciones que ayudan a protegernos de posibles vulnerabilidades.

Crea contraseñas fuertes y únicas para cada cuenta: evita utilizar contraseñas obvias o que contengan información personal fácilmente accesible.

Cautela al compartir información personal en línea: no reveles datos sensibles o personales a través de correos electrónicos no seguros o en sitios web no confiables.

Evita hacer clic en enlaces sospechosos o descargar archivos adjuntos de fuentes desconocidas: pueden contener malware o programas maliciosos y comprometer tu seguridad.

Utiliza autenticación de dos factores: esta opción requiere un segundo paso de verificación, como un código enviado a tu teléfono móvil, para acceder a tu cuenta.

Si ya has caído en la trampa de los hackers, es importante actuar rápidamente. Algunas medidas que puedes tomar incluyen:

Cambia todas tus contraseñas: es importante cambiar todas tus contraseñas inmediatamente después de haber sido víctima de un ataque de suplantación de identidad.

Notifica la incidenci a las autoridades: si has sido víctima de un delito cibernético, es importante notificar a las autoridades para que puedan tomar medidas y ayudarte a recuperar tu información personal. La suplantación de identidad puede tener graves consecuencias para la víctima. Los ciberdelincuentes pueden utilizar la información personal obtenida a través de la suplantación de identidad para cometer fraudes, robar dinero, solicitar créditos, entre otros delitos.

Las empresas, también en peligro

El robo de datos sensibles y la suplantación de identidad preocupan al 51% de los directivos y gestores de riesgos en España, el mismo nivel de preocupación que suscitó para las empresas el Covid-19. Son datos del reciente estudio 2023 “Global Directors and Officers Liability Survey Report”, realizado por es Willis Towers Watson en 40 países.

Para mitigar estos riesgos, desde WTW señalan que es esencial tomar medidas proactivas y establecer los controles adecuados. Es necesario contar de antemano con una estrategia cuidadosamente planificada y ejecutada, que incluya la identificación previa de los posibles riesgos y su prevención y, en el caso de que ya se haya producido el daño reputacional, el contar con las herramientas y los recursos necesarios para mitigarlo.

En el caso de la prevención es necesario fortalecer los procesos de verificación de identidad. Implantar soluciones de seguridad basadas en inteligencia artificial y machine learning para mejorar la ciberseguridad puede permitir a las compañías identificar y responder a las amenazas. También son efectivas la autenticación multifactorial (MFA) y las tecnologías biométricas, como las huellas dactilares o los sistemas de reconocimiento facial. De acuerdo con Microsoft, la MFA puede prevenir hasta el 99,9 % de los ataques. Estas soluciones pueden analizar grandes cantidades de datos para detectar anomalías y patrones indicativos de ciberataques, permitiendo así poner rápidamente en marcha acciones de respuesta y mitigación.

Para la consultora y empresa de servicios profesionales EY, otro punto que deben tener muy en cuenta las empresas es la revisión y actualización periódica de las políticas y procedimientos de seguridad para garantizar que están preparadas para las nuevas amenazas. Esto implica llevar a cabo evaluaciones de riesgos, actualizar las medidas de control de acceso y ofrecer formación continua a los empleados sobre las últimas ciber amenazas y las mejores prácticas. Acciones que, lógicamente, deberían ir acompañadas en paralelo de una legislación sólida que contribuya a garantizar un uso ético y responsable de la IA desde las Administraciones.

También te puede interesar: Cómo evitar los ciberataques y qué hacer si somos víctimas de uno