ICM / seguridad / La facilidad de suplantación de identidad

La facilidad de suplantación de identidad

19 febrero 2021 | Carlos Calvo

¿Imaginas que no puedes iniciar sesión en sus dispositivos porque te has encontrado con una suplantación de identidad? En la siguiente entrada te damos las claves para prevenir tal problema. Y sí, digo prevenir y no solucionar porque, una vez te suceda, tendrá difícil solución si es que tiene alguna. Aquí la clave, como en casi todo, es la prevención.

Situación actual

Todo el mundo ha escuchado, en el medio que sea, un robo de identidad en internet. Nos solemos enterar por las noticias cuando es algo muy sonado, como el robo de fotos íntimas a un famoso o el secuestro telemático de toda una compañía, como por ejemplo el caso reciente de Garmin. Deberíamos ser conscientes que esos son los casos que llegan a nuestro conocimiento, pero en la sombra, hay miles y miles de casos de robos cada mes.

Cuando navegamos por Internet no somos del todo conscientes de la cantidad de riesgos que corremos, porque el abanico de opciones y técnicas para desarrollar un virus es muy grande.

En general, casi todos los virus nos acaban afectando porque cometemos algún error. La única forma de llegar a una persona física, es haciendo que esta persona pique un anzuelo. Dentro de una empresa, también acaban entrando por una acción equivocada de un único usuario, como en el caso de hace algunos años en el que un intruso tuvo acceso a una red interna de OVH por un mail de uno de sus empleados en el que había una serie de credenciales VPN.

Aunque existen ataques mucho más sofisticados contra empresas que no dependen del buen hacer de los usuarios, hoy vamos a ver qué tipo de precauciones deberíamos tener a nivel personal. Aplicando estas medidas al entorno laboral, conseguiremos también un puntito extra de protección. Y son gratis.

Medidas para evitar la suplantación de identidad

Esconde tu identidad

Sé que suena muy repetitivo, y que lo habrás escuchado cientos de veces, pero realmente es cierto. Deberíamos intentar publicar el mínimo de información personal en Internet y en las redes sociales. Los datos que podrían permitir a alguien contactar con nosotros o saber cosas de nuestro entorno deberían ser visibles en muy pocos sitios.

Un ejemplo_ existen casos en que usuarios utilizan como contraseña sus fechas de nacimiento o el nombre de su mascota. Cuando les roban una cuenta de Facebook es posible que se pregunten cómo pudo ser, pero la realidad es que muchos de nosotros tenemos nuestra fecha de nacimiento o el nombre de nuestras mascotas publicados en nuestras redes sociales. Así que para empezar te diría; no publiques información personal nunca en Internet.

Contraseñas seguras para evitar la suplantación de identidad

Si tu perro se llama Max o Wolfie, por favor, no lo uses como contraseña lo publiques en internet o no. Usar una contraseña segura es esencial para ponérselo a todos más fácil cuando intenten acceder a tus cuentas. Como regla general, diría que una contraseña segura debería cumplir todos estos puntos:

  •  Al menos 8 caracteres
  •  Utilizar al menos un número
  •  Intercalar mayúsculas con minúsculas
  •  Utilizar al menos un símbolo

Aquí os dejo una web muy interesante que nos indica cuán costoso es romper un password a nivel computacionalmente.

suplantación identidad

Correo electrónico

Es uno de los puntos de entrada de un ataque más frecuentes. Casi todas las infecciones tienen como origen un email malicioso que es capaz de atraer la atención de la víctima para que ésta interactúe con los elementos del correo electrónico. Las acciones a realizar son muy muy simples también y entrarían un poco dentro del ámbito del sentido común:

  •  Volviendo al punto anterior, establece una contraseña muy segura y, a poder ser, mecanismos de autenticación de doble factor para dificultar el acceso a tu cuenta.
  •  Comprueba siempre quién lo envía. ¿Te suena esa dirección y el dominio? ¿Esperabas algo de ellos? Si la respuesta a todas esas preguntas es No, elimina el correo directamente.
  •  ¿El mail presenta, sin justificación aparente, motivos de urgencia? Si es que sí, desconfía; el mail no es un sistema de comunicación inmediata, nada urgente suele ir por mail…
  •  Nunca, ningún proveedor te pedirá jamás credenciales por email. Si te piden un usuario, una contraseña, un pin, lo que sea, el mail es falso; sin duda.
  •  Aunque quien te envía el correo sea conocido, si te es posible, escanea en busca de virus cualquier archivo adjunto que se nos envíe.
  •  Nunca ejecutes un fichero ejecutable (.bat, .exe, .cmd, etc.) que te venga como adjunta en un correo electrónico. Sencillamente, no lo hagas nunca.
  •  Acostúmbrate, si tu entorno lo permite, a marcar emails no deseados como SPAM para ayudar al sistema que filtra tus correos a «aprender» que correos son legítimos y cuales no lo son.

Redes sociales y correo electrónico

Me gustaría vincular este punto con el tema de los datos que publicamos en redes sociales. Es muy común, si el ataque es sofisticado, que el contenido de un mail malicioso esté perfectamente preparado para nosotros. Si te gusta la pesca, es más probable que abras un mail de un desconocido si, por ejemplo, se trata de un catálogo de pesca con cañas, cebos, etc…

Si antes de enviarnos el mail se han paseado por nuestras redes sociales y han visto que cada domingo salimos a pescar, saben que muy probablemente nos guste la pesca. Así que enviar un email con algún fichero infectado camuflado en ofertas de artículos de pesca sería algo bueno a intentar desde el punto de vista del atacante. Justamente por cosas como ésta es que debemos procurar no compartir nuestros datos personales, nuestros gustos, aficiones y un largo etcétera en internet.

Conexiones en los lugares públicos (WiFi públicas)

Aquí voy a decir simple y llanamente lo mismo que le digo a mis amigos de toda la vida cuando me preguntan. Mi consejo es no conectarse jamás a redes inalámbricas públicas o semipúblicas. Como por ejemplo la wifi de un restaurante que está «protegida» con una contraseña que o bien dan a todo el mundo o bien está, directamente, impresa en un papel y colgada en la pared con celo.

No es seguro. De hecho, no es seguro es una expresión que no hace justicia; es extremadamente peligroso.

Pueden pasar un montón de cosas. Por ejemplo, alguien podría suplantar el SSID del punto de acceso, emitiendo ese mismo SSID desde su portátil, haciendo que todas las conexiones entre las víctimas e internet pasen primero por el PC de la persona atacante. Y, además, hacer esto es increíblemente fácil. Tanto, que no se requieren ni tan siquiera conocimientos informáticos para hacerlo. Así de simple y así de sencillo; jamás te conectes a un punto de acceso wifi público, bajo ningún concepto y en ninguna circunstancia.

Phishing y navegación segura

El Phishing es una técnica por la cual un atacante genera un sitio web idéntico al sitio que se pretende suplantar. De ese modo, el atacante podría pasarnos, por ejemplo, un mail pidiéndonos acceder con nuestras credenciales a la web del banco que nos facilita en el mail, pero con un cambio a veces imperceptible.

Por ejemplo; la web correcta de CaixaBank es ‘https://www.caixabank.es/‘. Un atacante podría enviarnos un enlace a ‘https://www.caixabanck.es/’, que a parte de estar mal escrita, no es la web real de LaCaixa. Mucha gente no se daría cuenta del detalle y al entrar en el site, verían un portal exactamente igual al de LaCaixa, solo que está en manos de un atacante. Es por eso que es buena práctica fijarnos muy bien por donde navegamos y si no estamos seguros en un site, no introduzcamos nuestras credenciales de acceso, pues éstas podrían llegar a un posible atacante.

suplantación identidad

Dominio en phishing

Hoy en día prácticamente todas las webs están protegidas mediante conexión segura o SSL. Es buena práctica comprobar no sólo que el dominio sea el correcto, si no también que el certificado de seguridad está emitido para el dominio concreto (de otro modo, el certificado no sería válido). Los ataques de Phishing suelen utilizar nombres de site que son muy parecidos visualmente y en ocasiones protegen esos dominios con certificados SSL en nombre del dominio incorrecto. Por lo que, a ojos de una persona inexperta, podría parecer que está navegando por una web legítima y de total confianza si encima tiene un certificado de seguridad asociado.

El Phishing no está asociado solo a sites fraudulentos, sino también a campañas de correo fraudulentas que son las que comienzan el engaño y hacen que acabes entrando en la página que suplanta a la original. Por eso, como decíamos antes, es importante vigilar con los mails que entran y tener en cuenta que el director de nuestro banco, por ejemplo, jamás nos pedirá que accedamos a ningún sitio desde un mail.

Mantente actualizado para evitar la suplantación de identidad

Además de lo comentado anteriormente, es necesario estar siempre actualizado. Nuestro PC, nuestro dispositivo móvil y/o tablets o cualquier tipo de dispositivo que se pueda actualizar.

La cantidad de agujeros de seguridad que aparecen cada mes es bestial. En cualquier plataforma, en cualquier versión de sistema operativo, en cualquier edición, en el software que tenemos instalado… siempre aparecen errores y algunos de ellos son muy graves y pueden facilitar mucho la vida a un posible atacante a conseguir sus objetivos. Por eso, hemos de ponérselo lo más difícil que esté en nuestras manos manteniendo todos nuestros equipos actualizados.

Creo que soy víctima de suplantación de la identidad, ¿qué hago?

Si por desgracia has caído en la trampa de algún atacante, lo primero que hay que hacer es denunciarlo inmediatamente. Hay que tener en cuenta que a veces detrás de estos ataques hay verdaderas mafias, así que denunciar siempre es sumar un granito de arena para que vayan a por ellos.

En cuanto al dispositivo desde el cuál se sufrió el ataque, personalmente recomendaría apagarlo. Es difícil saber si sólo te engañaron para que pusieras tu usuario y password en una web fraudulenta o, ya que estaban, aprovecharon para dejarte un virus en tu dispositivo. Así que lo mejor es apagarlo y dejar que un especialista lo revise a fondo antes de volver a utilizarlo con normalidad.

Si no dispones de un especialista, descarga un antivirus y pásalo o sencillamente, resetea el dispositivo a su estado de fábrica (incluso esto podría ser insuficiente). Pero recuerda, lo mejor es denunciar para que se tenga conocimiento de la metodología de ataque y se pueda prevenir que otras personas caigan en las mismas trampas en el futuro.