El pez piedra se llama así por su capacidad para camuflarse entre los escombros del suelo oceánico. Es muy venenoso y su picadura puede ser fatal para cualquier humano lo suficientemente desafortunado como para pisarlo. Reconocer y evitar el pez piedra es la mejor defensa del nadador, pero es más fácil decirlo que hacerlo.

Al igual que el pez piedra, la suplantación de identidad por correo electrónico es un camaleón que acecha las bandejas de entrada de correo electrónico y espera a que los usuarios lo abran. Su veneno se encuentra en enlaces y archivos adjuntos, y un clic es una picadura de malware al sistema informático del usuario.

A veces, la suplantación de identidad se encuentra en un mensaje de texto, también conocido como “ataque de suplantación de identidad por mensaje de texto”, y está disfrazado para parecer un mensaje de texto oficial de la compañía.

El reconocimiento y la evasión son la mejor defensa de un usuario contra estos intentos de suplantación de identidad, pero también es más fácil decirlo que hacerlo.

Dejando de lado la analogía con el camaleón, Trevor Buxton, gerente de concientización sobre el fraude y comunicaciones de fraude y examinador de fraudes certificado de PNC Bank, ofrece consejos de seguridad para individuos y pequeñas empresas a fin de ayudar a reconocer y evitar ataques de suplantación de identidad.

Conoce las señales de advertencia

Los ataques de suplantación de identidad están diseñados para parecerse a la correspondencia legítima y dependen de la incapacidad de un usuario para detectarlos con el fin de tener éxito. Los mensajes de correo electrónico o de texto que contengan ciertas señales de advertencia deben alertar a los usuarios sobre un posible ataque de suplantación de identidad común o mediante mensaje de texto:

  • Errores de ortografía
  • Errores gramaticales
  • Ofrecer premios fantásticos
  • Crear un sentido de urgencia
  • Solicitar información de identificación personal (personally identifiable information, PII)
  • Solicitar nombres de usuario y contraseñas
  • Amenazar con consecuencias
  • Hacer exigencias
  • Actuar

La falsificación de la dirección de correo electrónico también es una táctica común de suplantación de identidad. El usuario podría no darse cuenta de que una dirección de correo electrónico cambió de “@homelender.com” a “@home1ender.com” y puede hacer clic imprudentemente en enlaces y abrir archivos adjuntos, lo cual introduce el malware.

Pequeñas empresas y la suplantación de identidad

Las pequeñas empresas tienen la amenaza añadida de ataques de suplantación de identidad común o por mensaje de texto diseñados para imitar a distribuidores, mensajerías, proveedores, clientes, colegas, etcétera. Los empleados deben asegurarse de que los mensajes de correo electrónico y texto provenientes de estos terceros sean legítimos.

Estas relaciones comerciales también pueden servir como rutas de ataque trasera para que el intento de suplantación de identidad se infiltre en la empresa objetivo. Ejemplo: La violación de datos de Target de 2013 comenzó con un ataque de suplantación de identidad contra uno de sus terceros contratistas de refrigeración.

La comprensión de las políticas y los procedimientos de seguridad cibernética de terceros ayudará a las pequeñas empresas a decidir cuáles se toman en serio.

La vulneración del correo electrónico empresarial (Business Email Compromise, “BEC”) es otra amenaza que afecta a las empresas de todos los tamaños. Los ladrones usan la BEC para engañar a los empleados a fin de que transfieran dinero, divulguen datos de RR. HH. y nóminas, o expongan secretos comerciales y propiedad intelectual.  

La BEC se puede llevar a cabo mediante la falsificación de la dirección de correo electrónico de un empleado, o mediante el control de la cuenta de correo electrónico legítima de un empleado. Los ataques de BEC, a menudo, parecen venir de gerentes de alto nivel u otros cargos de autoridad dentro de la empresa, lo cual añade un nivel de prestigio a la solicitud no autorizada.

Contraataque

Por suerte, hay cosas que pueden ayudar a las personas y a las pequeñas empresas a detectar y evitar un intento de suplantación de identidad:

  • Pasa el cursor por la dirección de correo electrónico del remitente, que debe hacer aparecer un recuadro para “activar con el mouse” que contiene la dirección de correo electrónico real del remitente. Inspecciónalo para detectar señales de falsificación.
  • Utiliza la característica de “reenviar” del correo electrónico en lugar de “responder”. “Reenviar” obliga al usuario a escribir una dirección de correo electrónica conocida y de confianza, mientras que “responder” responderá directamente al suplantador de identidad.
  • En un caso de presunta suplantación de identidad, no hagas clic en enlaces ni respondas un mensaje de texto que solicite información personal o financiera como números de tarjetas de crédito, números de seguro social u otra información bancaria. Se recomienda comunicarse directamente con la compañía escribiendo una dirección de URL conocida directamente en tu navegador de Internet y no utilizar la información contenida en el correo electrónico o mensaje de texto sospechoso.
  • No abras los archivos adjuntos en un presunto intento de suplantación de identidad.
  • No llames a los números de teléfono indicados en un presunto intento de suplantación de identidad. Ve directamente a una fuente de información conocida para obtener información de contacto, como el sitio web legítimo de la empresa.
  • En cuanto a la BEC, llama al solicitante para confirmar cualquier demanda inusual de transferencias de dinero, RR. HH. o datos de nómina de empleados, o secretos comerciales o propiedad intelectual.
  • Si es posible, abstente de publicar estructuras organizativas de personal en el dominio público. Los suplantadores de identidad pueden usar esta información para hacer que sus estafas de BEC sean más eficaces.
  • Mantén la información de licencias y ausencias de los empleados fuera de las cuentas de redes sociales. Los suplantadores de identidad pueden usar esta información para crear estafas de BEC de “situación de emergencia”.

En cuanto detectes un intento de suplantación de identidad, bórralo. No hagas clic en ningún enlace ni abras ningún archivo adjunto. No reenvíes el mensaje a tus amigos y colegas.

Si te ves obligado a reenviar un intento de suplantación de identidad, reenvíalo al Centro de Denuncias de Delitos en Internet (IC3) del FBI.

Para obtener más consejos útiles sobre la seguridad cibernética, visita el sitio web de la Comisión Federal de Comercio