“Spoofing”, cuando el ciberatacante eres tú mismo

Imagine que recibe un email en su móvil u ordenador o un mensaje a través de su aplicación de mensajería instantánea, cuyo remitente es usted mismo. Captará su atención de inmediato y le resultará muy difícil resistir la tentación de abrirlo y clicar en los enlaces, para ver su contenido y desvelar su origen.

Este tipo de envíos, que pueden estar encabezados por títulos o referencias a asuntos llamativos o urgentes, y cuyo remitente es el propio destinatario, son una novedosa modalidad de spoofing, un ciberataque mediante suplantación de la identidad, que está cobrando un auge en internet. En este tipo de ciberataque el estafador se hace pasar por un remitente de confianza para acceder a datos o información importantes, a través de sitios web, correos electrónicos, llamadas telefónicas, textos, direcciones IP y servidores, explican desde la firma de seguridad informática Panda Security (PS).

El objetivo de la suplantación de identidad suele consistir en acceder a información personal, robar dinero, saltarse los controles de acceso a una red o propagar malware (programas maliciosos) a través de archivos adjuntos o enlaces infectados, según PS. “A través de las diferentes posibilidades de comunicación en línea, los estafadores tratarán de utilizar el spoofing para intentar robar tu identidad y tus bienes”, explica Hervé Lambert, gerente de operaciones de consumo global de PS. Señala que los delincuentes cibernéticos habitualmente suplantan la identidad de una persona u organización en la que el usuario confía, para que de esa manera “baje la guardia”.

En el spoofing de correo electrónico, el estafador envía emails con direcciones de remitente falsas, que “parecen provenir de alguien que el usuario conoce, como un compañero de trabajo o un amigo”.

AUTOENVÍOS SOSPECHOSOS

En la nueva modalidad de spoofing de email, los ciberdelincuentes suplantan al propio usuario, generalmente con el objetivo de extorsionarlo para conseguir dinero a cambio. Esto “puede parecer rocambolesco, pero sin duda el solo hecho de recibir un correo electrónico cuyo remitente eres tú mismo logra en casi el 100% de los casos su principal objetivo: captar tu atención y hacer que lo abras”, explica Lambert.

Esto “no es algo tan raro si consideramos que muchas personas utilizan su correo electrónico o su propia conversación de WhatsApp para dirigirse mensajes o recordatorios a ellos mismos”, señala.

“En cualquier caso, tanto si la persona piensa que ha podido ser ella misma quien se ha autoenviado el mensaje como recordatorio de algo puntual, o como si no piensa eso, acabará por verlo para cerciorarse, pero nunca pensará que está siendo víctima de algún tipo de chantaje o extorsión”, puntualiza.

Desde Panda Security explican cómo se produce la estafa: Los cibercriminales pueden suplantar la dirección de correo electrónico de un dominio privado del remitente para engañar a la víctima y hacerle creer que ha instalado en su dispositivo un “virus troyano” (programa aparentemente legítimo e inofensivo, pero que en realidad es malicioso), informa PS. Esto es posible cuando un ciberdelincuente tiene acceso a la dirección de correo electrónico del usuario y a la información de su cuenta.

“Por ello, es importante proteger nuestras cuentas a través de contraseñas seguras y de la autenticación de dos factores” (sistema de doble comprobación de la identidad), informa PS. Además, se debe comprobar periódicamente nuestra carpeta de mensajes “enviados” para comprobar que no se haya enviado nada sospechoso desde nuestra propia cuenta, aconseja Lambert. En la mayoría de los casos, los mensajes de spoofing traen consigo amenazas vinculadas a la “sextorsión”, ciberdelito consistente en amenazar a la víctima con difundir y hacer público contenidos íntimos, como sus fotos o videos de tipo sexual.

CONTENIDO SEXUAL

Por ejemplo, una “sextorsión” de este tipo puede plantear al receptor del email, la obligación de que abone una cantidad de dinero a través de un enlace o monedero de criptomonedas en un tiempo estipulado de entre 48 a 72 horas. “De lo contrario, se lo amenaza con publicar datos e imágenes íntimas que dicen haber obtenido de la cámara de su teléfono móvil u ordenador, al hackearlos (introducirse de forma no autorizada en su sistema informático)”, dice.

Lambert recomienda “no ceder ante estos chantajes porque en el 99% de los casos son cortinas de humo para ganar tiempo y conseguir que la víctima se ponga en contacto con ellos y ceda en alguna de sus peticiones”. “En algunos casos, incluso es posible que el cibercriminal le mande al usuario fotografías o videos editados con programas de edición gráfica, en los que aparece la víctima en situaciones que no son reales, pero pueden resultar comprometedoras”, asegura.

Este ciberexperto explica que este truco funciona porque las personas, lógicamente, no queremos que “nos expongan en Internet” y muchas piensan “es mejor no correr riesgos”.

“Eso no significa que haya que ceder a los chantajes” y hay que recordar que “en casos de sextorsión el pago no garantizará que no se publique algún contenido íntimo y explícito del usuario, aunque ni siquiera sea verdadero”, según Lambert.

“Si se recibe un correo electrónico de este tipo, lo mejor es no facilitar información privada como contraseñas, datos bancarios o números de tarjetas de crédito”, apunta.

Lambert describe dos maneras de detectar que están suplantando nuestra propia identidad por correo electrónico:

1. Presta atención a la dirección de correo electrónico desde la que se envió el mensaje, ya que, si no coincide con la dirección asociada a su cuenta, es probable que se trate de un impostor.

2. Fíjate en el lenguaje del correo electrónico. ¿Es algo que tú escribirías o tiene un tono que no sueles usar? Si es sospechoso ponte en contacto con el proveedor de correo electrónico y las autoridades competentes como las Fuerzas de Seguridad.