El pez piedra se llama así por su capacidad para camuflarse entre los escombros del suelo oceánico. Es muy venenoso y su picadura puede ser fatal para cualquier humano lo suficientemente desafortunado como para pisarlo. Reconocer y evitar el pez piedra es la mejor defensa del nadador, pero es más fácil decirlo que hacerlo.

Al igual que el pez piedra, la suplantación de identidad por correo electrónico es un camaleón que acecha las bandejas de entrada de correo electrónico y espera a que los usuarios lo abran. Su veneno se encuentra en enlaces y archivos adjuntos, y un clic es una picadura de malware al sistema informático del usuario.

A veces, la suplantación de identidad se encuentra en un mensaje de texto, también conocido como “ataque de suplantación de identidad por mensaje de texto”, y está disfrazado para parecer un mensaje de texto oficial de la compañía.

El reconocimiento y la evasión son la mejor defensa de un usuario contra estos intentos de suplantación de identidad, pero también es más fácil decirlo que hacerlo.

Dejando de lado la analogía con el camaleón, Trevor Buxton, gerente de concientización sobre el fraude y comunicaciones de fraude y examinador de fraudes certificado de PNC Bank, ofrece consejos de seguridad para individuos y pequeñas empresas a fin de ayudar a reconocer y evitar ataques de suplantación de identidad.

Conozca las señales de advertencia

Los ataques de suplantación de identidad están diseñados para parecerse a la correspondencia legítima y su éxito depende de la incapacidad de un usuario para detectarlos. Los mensajes de correo electrónico o de texto que contengan ciertas señales de advertencia deben alertar a los usuarios sobre un posible ataque de suplantación de identidad común o mediante mensaje de texto:

  • Errores de ortografía
  • Errores gramaticales
  • Ofrecer premios fantásticos
  • Crear un sentido de urgencia
  • Solicitar información de identificación personal (personally identifiable information, PII)
  • Solicitar nombres de usuario y contraseñas
  • Amenazar con consecuencias
  • Hacer exigencias
  • Actúe

La falsificación de la dirección de correo electrónico también es una táctica común de suplantación de identidad. El usuario podría no darse cuenta de que una dirección de correo electrónico cambió de “@homelender.com” a “@home1ender.com” y puede hacer clic imprudentemente en enlaces y abrir archivos adjuntos, lo cual introduce el malware.

Pequeñas empresas y la suplantación de identidad

Las pequeñas empresas tienen la amenaza añadida de ataques de suplantación de identidad común o por mensaje de texto diseñados para imitar a distribuidores, mensajerías, proveedores, clientes, colegas, etcétera. Los empleados deben asegurarse de que los mensajes de correo electrónico y texto provenientes de estos terceros sean legítimos.

Estas relaciones comerciales también pueden servir como rutas de ataque encubiertas para que el intento de suplantación de identidad se infiltre en la empresa objetivo. Ejemplo: La violación de datos de Target de 2013 comenzó con un ataque de suplantación de identidad contra uno de sus terceros contratistas de refrigeración.

La comprensión de las políticas y los procedimientos de seguridad cibernética de terceros ayudará a las pequeñas empresas a decidir cuáles se toman en serio.

La vulneración del correo electrónico empresarial (Business Email Compromise, “BEC”) es otra amenaza que afecta a las empresas de todos los tamaños. Los ladrones usan la BEC para engañar a los empleados a fin de que transfieran dinero, divulguen datos de RR. HH. y nóminas, o expongan secretos comerciales y propiedad intelectual.  

La BEC se puede llevar a cabo mediante la falsificación de la dirección de correo electrónico de un empleado, o mediante el control de la cuenta de correo electrónico legítima de un empleado. Los ataques de BEC, a menudo, parecen venir de gerentes de alto nivel u otros cargos de autoridad dentro de la empresa, lo cual añade un nivel de prestigio a la solicitud no autorizada.

Contraataque

Por suerte, hay cosas que pueden ayudar a las personas y a las pequeñas empresas a detectar y evitar un intento de suplantación de identidad:

  • Pase el cursor por la dirección de correo electrónico del remitente, que debe hacer aparecer un recuadro para “activar con el mouse” que contiene la dirección de correo electrónico real del remitente. Inspecciónelo para detectar señales de falsificación.
  • Utilice la función de “reenviar” del correo electrónico en lugar de “responder”. “Reenviar” obliga al usuario a escribir una dirección de correo electrónica conocida y de confianza, mientras que “responder” responderá directamente al suplantador de identidad.
  • En un caso de presunta suplantación de identidad, no haga clic en enlaces ni responda un mensaje de texto que solicite información personal o financiera como números de tarjetas de crédito, números de seguro social u otra información bancaria. Se recomienda comunicarse directamente con la compañía escribiendo una dirección de URL conocida directamente en su navegador de Internet y no utilizar la información contenida en el correo electrónico o mensaje de texto sospechoso.
  • No abra los archivos adjuntos en un presunto intento de suplantación de identidad.
  • No llame a los números de teléfono indicados en un presunto intento de suplantación de identidad. Diríjase directamente a una fuente de información conocida para obtener información de contacto, como el sitio web legítimo de la compañía.
  • En cuanto a la BEC, llame al solicitante para confirmar cualquier demanda inusual de transferencias de dinero, RR. HH. o datos de nómina de empleados, o secretos comerciales o propiedad intelectual.
  • Si es posible, absténgase de publicar estructuras organizativas de personal en el dominio público. Los suplantadores de identidad pueden usar esta información para hacer que sus estafas de BEC sean más eficaces.
  • Mantenga la información de licencias y ausencias de los empleados fuera de las cuentas de redes sociales. Los suplantadores de identidad pueden usar esta información para crear estafas de BEC de “situación de emergencia”.

En cuanto detectes un intento de suplantación de identidad, bórralo. No hagas clic en ningún enlace ni abras ningún archivo adjunto. No reenvíes el mensaje a tus amigos y colegas.

Si te ves obligado a reenviar un intento de suplantación de identidad, reenvíalo al Centro de Denuncias de Delitos en Internet (IC3) del FBI.

Para obtener más consejos útiles sobre la seguridad cibernética, visita el sitio web de la Comisión Federal de Comercio