Historia real: suplantación de identidad telefónica

El protagonista de la historia de hoy, Mario, lleva 20 años trabajando en la misma empresa. Su relación con su responsable, después de tanto tiempo, es muy cercana e incluso han llegado a intercambiar publicaciones en Facebook, dejando saber a todos el buen trato que existe entre ellos.

Una mañana, mientras su jefe se encontraba de viaje de negocios, Mario recibe una llamada de un número desconocido. Cuando descuelga, la voz al otro lado del teléfono le asegura ser un cliente que había estado pocas horas antes con su jefe y le pide que le envíe unos documentos confidenciales con bastante urgencia, asegurándole que era una petición directa de su responsable.

Aunque en principio duda, los datos que el interlocutor le estaba dando, como el nombre de su jefe y la ciudad en la que se encontraba de viaje, le hacen confiar y enviarle la información solicitada. Además, en el transcurso de la llamada comprueba que el número de teléfono corresponde con el que tenían guardado para el cliente como el que se había identificado.

Cuando su jefe vuelve de viaje y hablan de la llamada, este niega haber dado en ningún momento la autorización para enviar dichos documentos. De hecho, ni siquiera se había reunido con el cliente del que Mario le hablaba. Tras denunciar la situación a las autoridades pertinentes, confirman sus sospechas, habían sido víctimas de una estafa: spoofing telefónico.

¿Qué ha ocurrido?

El spoofing o suplantación de identidad es un tipo de estafa que consiste en hacerse pasar por un remitente de confianza (persona conocida, clientes, proveedores…), con el fin de engañar a la víctima para obtener acceso a datos o información confidencial.

Los ciberdelincuentes utilizan esta técnica para acceder a la información personal de las víctimas con la finalidad de filtrarlos, chantajearlos, robar dinero, propagar malware a través de archivos adjuntos o enlaces o, en general, obtener algún tipo de beneficio. El spoofing puede darse en diferentes formas, pero en este artículo de blog nos centraremos en el que se realiza a través de llamadas telefónicas, como le ocurrió al protagonista de nuestra historia, Mario.

En el spoofing telefónico los atacantes consiguen falsificar el número de teléfono que aparece en la pantalla del receptor, haciéndole creer que la llamada proviene de una fuente legítima. Una vez el destinatario de la llamada contesta el teléfono, el ciberdelincuente tratará de convencerlo para que le facilite la información que está buscando.

En el caso de Mario y su jefe, además, los ciberdelincuentes solo tuvieron que hacer una simple búsqueda en redes sociales para obtener información que hiciese más creíble la llamada.

¿Cómo evitar que tu empresa sea víctima de un ataque de spoofing?

Como ocurre con la mayoría de los ciberataques, las empresas son especialmente vulnerables al spoofing telefónico. Las organizaciones manejan grandes cantidades de información confidencial y datos que pueden ser muy beneficiosos para los ciberdelincuentes. Además, las constantes llamadas de clientes y proveedores que reciben en el día a día hacen más creíble el engaño, que podría pasar por una llamada rutinaria.

Detectar una suplantación de identidad telefónica puede ser difícil, ya que como hemos visto, los ciberdelincuentes utilizan técnicas cada vez más sofisticadas. Sin embargo, existen algunas señales claras de alarma que pueden ayudar a saber que estamos siendo víctimas de un spoofing telefónico:

• La llamada procede de un número desconocido o sospechoso.
• La persona solicita información confidencial. Si el emisor solicita información como contraseñas o datos bancarios, probablemente se trate de un intento de vishing. Este tipo de información nunca debe proporcionarse sin verificar la autenticidad de la llamada.
• La persona llama en tono de urgencia. Los ciberdelincuentes suelen presionar a las víctimas para que actúen rápidamente, sin tiempo para pensar.

Además, para proteger a las empresas de este tipo de ataques, es recomendable tomar una serie de medidas de seguridad:

• Activar un filtro telefónico antispam para bloquear las llamadas entrantes de números sospechosos.
• Utilizar un sistema de autenticación de llamadas para verificar la autenticidad de la llamada entrante y detectar posibles casos de spoofing.
• Concienciar a los empleados para que aprendan a identificar la suplantación de identidad telefónica y sepan cómo actuar ante posibles llamadas fraudulentas.
• Examinar la llamada con el fin de verificar si el posible ataque de falsificación contiene signos que nos alarmen, como, por ejemplo, que no sepan algunos datos que sí deberían conocer.
• Confirmar la información si una llamada parece sospechosa. Se recomienda enviar un mensaje o realizar una llamada al remitente de confianza para verificar si la información que se ha recibido es auténtica o no.
• Evitar compartir información sensible que pueda ayudar a los ciberdelincuentes a hacer la estafa más creíble.
• Configurar un doble factor de autenticación para añadir una capa extra de seguridad a los códigos de acceso.
• Establecer políticas de seguridad para los empleados y clientes con el fin de prevenir el fraude telefónico. Por ejemplo, no deberán compartir información personal o financiera por teléfono.
• Reportar el spoofing telefónico a las autoridades pertinentes para evitar posibles víctimas.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).