¿Qué es el Spoofing?

Manuel Guillermo Portoles Morales

Ingeniero Informático

Sobre mi

Graduado en Ingeniería Informática, intensificación en Ingeniería del software. Posee las certificaciones en seguridad de la información ISO27001 LI y Cobit 5 Fundation. Actualmente trabajando en el área de ciberseguridad en el sector financiero.

Tenemos que estar vigilantes de los mensajes y llamadas que recibimos, intentar identificar el contexto, sospechar de la premura, evitar el descuido a la hora de dar nuestros datos y, ante la menor duda, emplear mecanismos de doble confirmación

11 Jul 2022

5 Min de lectura

¿Sabes qué es el Spoofing? Te lo explicamos con un ejemplo: octubre de 2023, a un mes de las elecciones generales, recibes un correo postal en tu casa. Ya casi nunca recibes cartas en tu buzón, además de aquella que, cada cuatro años, aparece con el mensaje “Tarjeta Censal, Elecciones Generales comicios XXXX”. Un año más elecciones, pero en esta ocasión algo parece diferente: el sobre viene rotulado como Ministerio del Interior y aparecen los típicos códigos de barras, logos y tu dirección. Abres la carta con naturalidad y observas “Nuevo sistema de voto a distancia”.

El Estado parece haber implantado un sistema para que votes desde tu móvil y no tengas que desplazarte al colegio electoral. Tú, que eres muy tecnológico, estás entusiasmado con la idea y, además, te apremia indicándote que puedes votar desde esta misma semana. El mensaje viene con un código QR, ese código de cuadraditos que aprendiste a usar en la pandemia para ver las cartas de los bares. Escaneas el código, te aparece una web del “ministerio” y te pide que descargues el aplicativo de tele voto. Ya tenemos el lío armado y el malware instalado con acceso a tu teléfono. ¿Habrías sospechado? Nos encontramos ante un caso de Spoofing analógico.

Las nuevas tecnologías, como su nombre indican, implican innovación, y tienen un carácter de explosión tecnológica, entendida esta como la evolución apresurada y orientada a dar resultados, pero no, por ende, a cumplir las mejores condiciones de seguridad.

Igual que ahora hablamos de la inteligencia artificial como innovación, en su día, el correo postal supuso innovación, así como otros claros ejemplos como la telefonía, los SMS, el correo digital e Internet.

Aunque hoy en día la cultura de la seguridad está cambiando, y cuando se produce una “explosión tecnológica“ suele ir en consonancia con la denominada “seguridad desde el diseño y por defecto”, ya son muchos años que estamos acostumbrados a que cuando el humo de estas explosiones tecnológicas se disipa, se puedan apreciar las consecuencias, que en términos de seguridad son las llamadas vulnerabilidades o fallos de seguridad.

Spoofing o suplantación de identidad

Una vez abordada la introducción, centrémonos ahora en el spoofing. Este término inglés viene a traducirse por “suplantación de identidad” y hace referencia a aquella situación en la que un tercero utiliza una “máscara” para ocultar su identidad y reemplazar una identidad legítima. ¿Os acordáis del caso del correo del censo electoral? ¿Conocéis un mecanismo que impida dejar en el buzón de la calle una carta rotulada con el logo de alguna empresa? ¿Conocéis un mecanismo que obligue a poner datos reales en el remitente? Seguramente no, porque no existen y, en caso de existir, entrarían en conflicto con la legislación nacional relativa a la lectura del correo por personas de fuera del canal emisor y receptor.

Este símil del correo ordinario es el mismo que podemos emplear para el caso de los SMS y las llamadas telefónicas, para los que la propia legislación establece que el operador de telefonía, al no poder leer el contenido de los mensajes de texto y las llamadas, debe entregarlos como le son “dejados en el buzón”, con el agravante de que luego nuestro teléfono móvil, que sí puede leer el mensaje, puede anidar el mensaje fraudulento en el hilo de mensajes legítimo o historial de llamadas.

En definitiva, dado que estos protocolos de comunicación son anteriores al despunte de la ciberseguridad, su seguridad debe pasar por una revisión profunda de estos mecanismos “ochenteros”, ya que el sistema ahora mismo es el equivalente a tener un guardia de seguridad revisando DNIs en una fiesta de disfraces donde todos son maquilladores profesionales y las luces están apagadas.

¿Cómo se arregla, pues, esta anomalía que permite recibir llamadas con identificadores fraudulentos o SMS suplantando a entidades que en ocasiones hasta nuestro móvil agrupa en un hilo de mensajes? Con un cambio regulatorio y cultural, renunciando los ciudadanos a parte de la privacidad de sus comunicaciones, pues igual que una empresa privada no puede revisar las cartas que los ciudadanos anónimamente dejan en los buzones de correos, no puede revisar los SMS y llamadas que entre las personas se envían. No es el caso por ejemplo de los correos electrónicos, donde también existe el Spoofing de correo, pero que al depender de infraestructura propia y no haber un sistema de correos global, sí se pueden establecer medidas de seguridad.

Y, como ciudadanos, ¿cómo podemos protegernos de estas estafas? Tenemos que estar vigilantes de los mensajes y llamadas que recibimos, intentar identificar el contexto, sospechar de la premura, evitar el descuido a la hora de dar nuestros datos y, ante la menor duda, emplear mecanismos de doble confirmación o retrollamada, según el caso.

Entre todos podemos construir una sociedad cibersegura y conectada. Aprende a reconocer un ciberfraude como el Spoofing.