el término «suplantación de identidad» puede tener una implicación cómica en algunos contextos, pero no es una broma cuando se trata de seguridad de la información. De hecho, este es un tema de todo un capítulo separado en el manual de un ciberdelincuente experimentado. Comprende una multitud de técnicas destinadas a camuflar a un actor o dispositivo malicioso como alguien o algo más., El objetivo es fingir confianza, ganar un punto de apoyo en un sistema, obtener datos, robar dinero o distribuir software depredador.
¿Qué pueden tratar de forjar los sombreros negros para que sus ataques tengan éxito? Un montón de cosas: una dirección IP, un número de teléfono, una página web, un formulario de inicio de sesión, una dirección de correo electrónico, un mensaje de texto, ubicación GPS, la cara de uno, lo que sea. Algunos de estos engaños se basan en la credulidad humana, mientras que otros aprovechan las fallas de hardware o software., De todos los escenarios nefastos que se ajustan al molde de un ataque de suplantación, los siguientes 11 tipos son cada vez más impactantes para la empresa en estos días.
-
ARP Spoofing
Esta es una fuente común de tipo man-in-the-middle ataques. Para ejecutarlo, un cibercriminal inunda una red de área local con paquetes de protocolo de resolución de direcciones (ARP) falsificados para alterar el proceso normal de enrutamiento de tráfico. La lógica de esta interferencia se reduce a vincular la dirección MAC del adversario con la dirección IP de la puerta de enlace LAN predeterminada del objetivo., Después de esta manipulación, todo el tráfico es redirigido a la computadora del malhechor antes de llegar a su destino previsto. Para colmo, el atacante puede distorsionar los datos antes de enviarlos al destinatario real o detener toda la comunicación de red. Como si estos efectos adversos no fueran suficientes, ARP spoofing también puede servir como un launchpad para ataques DDoS.
-
Mac Spoofing
en teoría, cada adaptador de red integrado en un dispositivo conectado debe tener una dirección única de control de acceso a medios (MAC) que no se encuentre en ningún otro lugar., En la práctica, sin embargo, un truco inteligente puede cambiar este estado de cosas al revés. Un atacante puede aprovechar las imperfecciones de algunos controladores de hardware para modificar o falsificar la dirección MAC. De esta manera, el criminal disfraza su dispositivo como uno inscrito en una red objetivo para eludir los mecanismos tradicionales de restricción de acceso. A partir de ahí, puede hacerse pasar por un usuario de confianza y orquestar fraudes como el compromiso de correo electrónico empresarial (BEC), robar datos o depositar malware en el entorno digital.,
-
IP Spoofing
para realizar este ataque, el adversario envía paquetes de Protocolo de Internet que tienen una dirección de origen falsificada. Esta es una forma de ofuscar la identidad real en línea del remitente del paquete y, por lo tanto, hacerse pasar por otra computadora. La suplantación de IP se utiliza a menudo para poner en marcha ataques DDoS. La razón es que es difícil para la infraestructura digital filtrar tales paquetes falsos, dado que cada uno parece provenir de una dirección diferente y, por lo tanto, los delincuentes fingen tráfico legítimo de manera bastante persuasiva., Además, esta técnica se puede aprovechar para sortear los sistemas de autenticación que utilizan la dirección IP de un dispositivo como identificador crítico.
-
DNS Cache Poisoning (DNS Spoofing)
Cada usuario experto en tecnología conoce la wiki del servidor de nombres de dominio (DNS): asigna nombres de dominio a direcciones IP específicas para que las personas escriban URL fáciles de recordar en el navegador en lugar de ingresar las cadenas de IP subyacentes. Los actores de la amenaza pueden ser capaces de torcer esta lógica de asignación por piggybacking en errores conocidos de almacenamiento en caché del servidor DNS., Como resultado de esta interferencia, la víctima corre el riesgo de ir a una réplica maliciosa del dominio deseado. Desde la perspectiva de un ciberdelincuente, esa es una base perfecta para fraudes de phishing que se ven realmente reales.
-
Spoofing de correo electrónico
los protocolos principales de correo electrónico no son inmaculados y podrían dar bastantes opciones para que un atacante tergiverse ciertos atributos de mensaje. Uno de los vectores comunes de este abuso se reduce a modificar el encabezado del correo electrónico., El resultado es que la dirección del remitente (que se muestra en el campo «de») parece coincidir con una legítima mientras que en realidad proviene de una fuente completamente diferente. El atacante puede sacar provecho de esta inconsistencia para hacerse pasar por una persona de confianza, como un compañero de trabajo, un alto ejecutivo o un contratista. Las estafas BEC mencionadas anteriormente dependen en gran medida de esta explotación, lo que hace que los esfuerzos de ingeniería social Jalen los hilos correctos para que la víctima dé luz verde a una transferencia bancaria fraudulenta sin pensarlo dos veces.,
-
Spoofing de sitios web
un estafador puede intentar engañar a los empleados de una organización objetivo para que visiten una «copia de carbón» de un sitio web que utilizan habitualmente para su trabajo. Desafortunadamente, los sombreros negros se están volviendo cada vez más expertos en imitar el diseño, la marca y las formas de inicio de sesión de las páginas web legítimas. Combínalo con el truco de suplantación de DNS mencionado anteriormente, y el combo incompleto se vuelve extremadamente difícil de identificar. Sin embargo, falsificar un sitio web es una táctica a medias a menos que esté respaldada por un correo electrónico de phishing que atraiga al destinatario a hacer clic en un enlace malicioso., Los delincuentes suelen aprovechar esta estratagema múltiple para robar detalles de autenticación o distribuir malware que les proporciona acceso de puerta trasera a una red empresarial. URL \ spoofing sitio web también puede conducir al robo de identidad.
-
suplantación de identificador de llamadas
aunque este es un esquema de la vieja escuela, todavía está vivo y coleando en estos días. Para lograrlo, las personas malintencionadas aprovechan las lagunas en el funcionamiento del equipo de telecomunicaciones para fabricar los detalles de las llamadas que se ven en la pantalla de su teléfono. Obviamente, los casos de uso no están aislados de las llamadas de broma., El atacante puede falsificar un identificador de llamadas para hacerse pasar por una persona que conoces o como representante de una empresa con la que haces negocios. En algunos casos, los detalles de la llamada entrante que se muestran en la pantalla de un teléfono inteligente incluirán el logotipo de una marca de buena reputación y la dirección física para aumentar las probabilidades de que conteste el teléfono. El objetivo de este tipo de ataque de suplantación es engañarlo para que divulgue información personal o pague facturas inexistentes.
-
suplantación de mensajes de texto
a diferencia de la suplantación de identificador de llamadas, esta técnica no se utiliza necesariamente con fines dudosos., Una de las formas en que las empresas modernas interactúan con sus clientes es a través de mensajes de texto donde la entidad de origen se refleja como una cadena alfanumérica (como el nombre de la empresa) en lugar de un número de teléfono. Desafortunadamente, los ladrones pueden convertir esta tecnología en un arma en un instante. Un escenario típico de un ataque de suplantación de mensajes de texto es cuando un estafador sustituye la identificación del remitente de SMS con un nombre de marca en el que confía el destinatario. Esta artimaña de suplantación de identidad puede convertirse en un trampolín para el spear phishing, el robo de datos y las estafas de tarjetas de regalo cada vez más prolíficas que se centran en las organizaciones.,
-
suplantación de extensión
Cada usuario de Windows es consciente del hecho de que el sistema operativo mantiene las extensiones de archivo fuera de la vista de forma predeterminada. Mientras que esto se hace en aras de una mejor experiencia de usuario, también puede alimentar la actividad fraudulenta y la distribución de malware. Para disfrazar un binario dañino como un objeto benigno, todo lo que se necesita es usar una extensión doble. Por ejemplo, un elemento llamado Reunión.docx.exe se verá como un documento de Word Normal e incluso tendrá el icono correcto. Sin embargo, en realidad es un ejecutable., La buena noticia es que cualquier solución de seguridad convencional alertará al usuario cada vez que intente abrir un archivo como ese.
-
Spoofing de GPS
con los usuarios que confían cada vez más en los servicios de geolocalización para llegar a un destino o evitar atascos de tráfico, los ciberdelincuentes pueden intentar manipular el receptor GPS de un dispositivo objetivo para señalar ¿Cuál es la razón detrás de hacer esto? Bueno, los Estados nacionales pueden emplear la suplantación de GPS para frustrar la recopilación de inteligencia e incluso sabotear las instalaciones militares de otros países., Dicho esto, el enterprise no está realmente al margen de este fenómeno. Aquí hay un ejemplo hipotético: un perpetrador puede interferir con el sistema de navegación integrado en el vehículo de un CEO que tiene prisa por una reunión importante con un socio comercial potencial. Como resultado, la víctima tomará un giro equivocado, solo para quedarse atascada en el tráfico y llegar tarde a la reunión. Esto podría socavar el futuro acuerdo.
-
Spoofing Facial
El reconocimiento Facial está en el núcleo de numerosos sistemas de autenticación hoy en día y está extendiendo rápidamente su alcance., Aparte del uso de esta tecnología para desbloquear dispositivos electrónicos como teléfonos inteligentes y computadoras portátiles, la cara de uno podría convertirse en un factor de autenticación crítico para firmar documentos y aprobar transferencias bancarias en el futuro. Los ciberdelincuentes nunca se pierden trenes de bombo como ese, por lo que definitivamente buscarán y explotarán los eslabones débiles en la cadena de implementación de face ID. Desafortunadamente, esto puede ser bastante fácil de hacer. Por ejemplo, los analistas de seguridad han demostrado una manera de engañar a la función de reconocimiento facial de Windows 10 Hello mediante una foto impresa modificada del usuario., Los estafadores con suficientes recursos y tiempo en sus manos sin duda pueden desenterrar y usar imperfecciones similares.
¿cómo defenderse de los ataques de suplantación?
Los siguientes consejos ayudarán a su organización a minimizar el riesgo de ser víctima de un ataque de suplantación de identidad:
- piense en reconstruir su organigrama. Es bueno cuando las operaciones de TI informan a CISO. La arquitectura, las aplicaciones, la gestión y la estrategia permanecen con el Departamento de TI, pero hacer que informen al CISO ayuda a garantizar que sus prioridades sigan centradas en la seguridad.
- benefíciese de las pruebas de penetración y el equipo rojo., Es difícil pensar en una forma más efectiva para que una organización evalúe su postura de seguridad desde cero. Un pentester profesional que piensa y actúa como un atacante puede ayudar a descubrir las vulnerabilidades de la red y proporcionar al personal de TI información útil sobre lo que necesita mejorar y cómo priorizar su trabajo. Al mismo tiempo, los ejercicios de red teaming garantizarán una preparación continua del equipo de seguridad para detectar y resistir nuevos ataques.
- obtenga visibilidad en todas las plataformas. Hoy en día, hay una amplia difusión de datos procedentes de aplicaciones, servicios en la nube, etc., El creciente número de fuentes puede afectar la visibilidad del CISO. Para abordar cualquier problema de seguridad, debe poder monitorear los servidores en la nube, móviles y locales y tener acceso instantáneo a todos ellos para estar siempre atento a posibles incidentes y correlacionar todas las actividades.
- diga » No » a las relaciones de confianza. Muchas organizaciones reducen su autenticación de dispositivos solo a direcciones IP. Este enfoque se conoce como relaciones de confianza y, obviamente, puede ser parasitado por los estafadores a través de un ataque de suplantación de IP.
- aproveche el filtrado de paquetes., Este mecanismo se utiliza para analizar exhaustivamente los paquetes de tráfico a medida que vagan a través de una red. Es una gran contramedida para los ataques de suplantación de IP porque identifica y bloquea paquetes con detalles de dirección de origen no válidos. En otras palabras, si un paquete se envía desde fuera de la red pero tiene una dirección de origen interna, se filtra automáticamente.
- usar software anti-spoofing. Afortunadamente, hay diferentes soluciones que detectan los tipos comunes de ataques de suplantación, incluyendo ARP e IP spoofing., Además de identificar tales intentos, el software anti-spoofing los detendrá en sus pistas.
precauciones adicionales para el personal
tenga en cuenta que la seguridad de una red es tan fuerte como su eslabón más débil. No dejes que el factor humano sea ese vínculo. Invertir en un programa de capacitación en conciencia de seguridad definitivamente vale la pena gastar los recursos. Ayudará a cada empleado a comprender su papel en el bienestar digital de la organización., Asegúrese de que sus empleados conozcan los signos reveladores de un ataque de suplantación y cumpla con las siguientes recomendaciones:
- Examine los correos electrónicos en busca de errores tipográficos y gramaticales. Estas inexactitudes en el asunto y el cuerpo de un correo electrónico pueden ser un regalo en un escenario de phishing.
- Busca un icono de candado junto a una URL. Cada sitio web confiable tiene un certificado SSL válido, lo que significa que la identidad del propietario ha sido verificada por una Autoridad de certificación de terceros. Si falta el símbolo del candado, lo más probable es que indique que el sitio está falsificado y que debe navegar de inmediato., La otra cara de la cuestión es que hay soluciones que permiten a los malhechores obtener certificados de seguridad falsos, por lo que es mejor realizar algunas comprobaciones adicionales en caso de duda.
- abstenerse de hacer clic en enlaces en correos electrónicos y redes sociales. Un correo electrónico que le indica que haga clic en un enlace incrustado es potencialmente malicioso. Si recibe uno, asegúrese de examinar el resto de los contenidos y vuelva a verificar el nombre y la dirección del remitente., Además, busque algunas frases del mensaje en un motor de búsqueda; lo más probable es que sea parte de una campaña de phishing en curso que ha sido reportada por otros usuarios.
- confirmar solicitudes sospechosas en persona. Si ha recibido un correo electrónico, supuestamente de su jefe o colega, pidiéndole que complete urgentemente una transacción de pago, no dude en llamar a esa persona y confirmar que la solicitud es real.
- hacer visibles las extensiones de archivo. Windows ofusca las extensiones a menos que se configure de otra manera., Para evitar el truco de la doble extensión, haga clic en la pestaña» Ver «en el Explorador de archivos y marque la casilla» extensiones de nombre de archivo».