Robo de información mediante suplantación de identidad

Por Ing. Rodolfo Camacho Arreguín

 

Descargar artículo

 

Recibido 260618

Aprobado 290119

Ingeniero en Computación y Telecomunicaciones, Cisco Certified Network Associate (CCNA). Ha realizado estudios en Redes de Datos y Telecomunicaciones y en ITIL Fundamental V3, así como la maestría en Redes y Seguridad de la Información. Actualmente, ocupa el cargo como Gerente Regional de TI en Lear Corporation.

Resumen

Los sistemas informáticos y el Internet han traído grandes beneficios a las personas alrededor del mundo, han transformado la forma en que se comunica la gente; revolucionaron también la manera de hacer negocios, ya que los usuarios tienen prácticamente cualquier cosa a su alcance sin necesidad de salir de casa.

Sin embargo, con esta revolución también han surgido peligros como son los delitos informáticos, uno de ellos el robo de información mediante la suplantación de identidad o también conocido como Phishing, un método utilizado para engañar a las personas, haciéndolas entregar determinados datos, generándoles grandes pérdidas económicas

Summary

The surge of informatics and the Internet has benefited the world. They changed how humans communicate and revolutionized business practices allowing users to acquire anything they need from the comfort of their home. However, there are also risks such as identity theft and phishing. The latter seeks to obtain crucial information from the user an use it for illegal activities.

Palabras clave

Suplantación de identidad, Phising, seguridad informática.

Keywords

Identity Theft, Phishing, Computer safety, security.

Introducción

En los tiempos actuales es necesario que los usuarios de Internet reconozcan los métodos de ataque de suplantación de identidad mayormente utilizados por los criminales informáticos. Lo anterior, con la finalidad de que sean capaces de identificar mensajes que no sean auténticos y eviten ser víctimas de robo de información.

Dicho robo puede estar orientado a información de tarjetas de crédito, credenciales de acceso a sistemas de información, cuentas de sitios de compras con datos bancarios asociados, entre otros. 

Planteamiento

De acuerdo a información del INEGI, de febrero de 2016 a febrero de 2017, en México ocurrieron pérdidas por más de tres mil millones de dólares a consecuencia de ataques informáticos, dejándolo como uno de los principales países víctima de ataques (INEGI, 2017).

La mayoría de estos ataques fueron usando Phishing (García Heredia, 2017). El Phishing o suplantación de identidad es un ataque que utiliza como método el engaño, se emplean medios como son el correo electrónico, llamadas telefónicas, mensajes SMS (Short Message Service, por sus siglas en inglés) servicio de mensaje corto, o sitios Web (Granger, 2001).

Argumento

El robo de datos se presenta en diversos escenarios y con diferentes métodos que son usados por los atacantes.

El primero es una situación de suplantación de identidad en redes sociales: Un atacante crea un perfil con el nombre de Juan porque quiere obtener información de María; actualmente María ya tiene a un amigo llamado Juan en sus redes sociales. El atacante copia toda la información del perfil del Juan legítimo; de tal forma, que cuando parece ser un perfil real envía una solicitud de amistad a María y ella lo acepta sin validar su autenticidad.

En ese momento el atacante tendrá acceso a la información que María comparte. Así, el atacante ahora tiene información suficiente sobre su víctima como para llevar a cabo acciones en contra de ella.

¿Qué debió hacer, entonces, María?, María debió revisar el perfil de Juan, validar que era el Juan que ella conocía y ante la menor sospecha, no aceptar la solicitud de amistad, para, finalmente, contactar al verdadero Juan.

María también debería revisar que las opciones de privacidad para sus publicaciones estén solo para sus contactos directos, no mostrar su foto de perfil y no publicar los lugares que frecuenta, en donde vive, sus horarios, sus viajes o fotografías de su familia; es decir,  María debería mantener un perfil bajo y discreto en redes sociales. (Granger, 2001)

Otro ejemplo de suplantación de identidad es en donde Joel está navegando por Internet en busca de un regalo de cumpleaños para Gonzalo; de pronto, en las búsquedas aparece una oferta anunciando justo el regalo que Joel busca.

Joel se dirige al sitio sin haber verificado que sea seguro para hacer compras por Internet, enseguida introduce los datos de su tarjeta de crédito y paga en línea. Joel no se entera de que hay alguien espiando las sesiones de esa tienda en línea y acaban de capturar de manera ilegal la información de su tarjeta de crédito.

Un grupo de atacantes usará esos datos en las próximas horas para hacer compras en nombre de Joel.

¿Qué debió hacer Joel?, Joel debió confirmar que el sitio en el que iba a comprar fuera seguro. Una forma de comprobarlo es verificar que el sitio tenga un candado en la barra de dirección y https, que significa que es un sitio en el que la información viaja cifrada y es seguro establecer comunicación con ese sitio Web.

Un ejemplo de una página web con https se muestra en la figura 1.

 

Figura 1. Muestra de una página web segura y verificada.
Fuente: www.amazon.com.mx

Ahora bien, otro método de engaño o suplantación de identidad son las llamadas telefónicas, pues los atacantes usan el miedo como herramienta.

Imagine que José recibe una llamada de la institución bancaria N, coincidentemente José es cliente de tal institución. La persona que se identifica como agente de atención al cliente, le dice a José que tienen registrado un cargo de un seguro médico en una de sus tarjetas por cuatro mil quinientos pesos. Enseguida, el “agente de atención al cliente” le pregunta si lo aprueba o lo cancela; en caso de que  deseé cancelarlo en ese momento, debe responder a unas preguntas básicas de seguridad. Cabe mencionar que si no es cancelado al instante, el cargo no podrá ser reclamado más adelante, pues él solo tiene esa llamada para denegar el supuesto gasto, ya que la transacción está por completarse.

¿Qué debería hacer José?, José debería terminar la llamada en ese momento sin dar ningún tipo de información y comunicarse al centro de atención a clientes de su banco para verificar la situación.

Estos medios, aunque son los más comunes, no lo son todos. Otro ejemplo de estos ataques se presenta en correos de suplantación de identidad que plantean un problema a un usuario bancario, en donde le comunican que sus tarjetas, así como sus credenciales de acceso de la banca en línea, han sido bloqueadas por seguridad y necesitan ser actualizadas.

Se agrega al correo un botón llamativo con el texto “INGRESAR”, pero la ruta lleva a un sitio ilegitimo usado como trampa, que es una herramienta más del atacante para obtener las credenciales del usuario. Incluso la dirección del remitente parece ser auténtica.

La  figura 2 muestra un correo de suplantación de identidad.

 

Figura 2. Correo apócrifo con la intención de dañar al usuario final.

¿Cómo se puede validar si es un correo autentico? Normalmente los atacantes se dirigen a un público general; es decir, usan la frase “Estimado Cliente” y no a un nombre en específico. Intentan generar preocupación e incertidumbre como herramienta al decir que las tarjetas y cuentas han sido bloqueadas.

También se puede ver que si se coloca (sin hacer clic) el ratón de la computadora sobre el botón ingresar, se verá en la parte inferior una liga a la dirección del portal de suplantación de identidad.

Dicha dirección no coincide con la legítima del banco, ver la figura 3.

 

Figura 3. Ejemplo de correo electrónico con intenciones de Phishing, en la parte inferior se muestra el link al que será redirigido y no coincide con la dirección real del banco.

La figura 4 es una ventana emergente que aparece en el portal de un banco en donde la institución advierte de engaños y enseña a sus usuarios a validar si el sitio al que están presentando sus credenciales es auténtico.

 

Figura 4. Imagen de advertencia que nos proporcionan los bancos para nuestra propia seguridad.
Fuente: www.banorte.com

Conclusiones

En conclusión, el Internet es una excelente herramienta para optimizar tiempo y recursos, pero se debe prestar especial atención a las cosas que se hacen cuando se utiliza.

Se debe de estar alerta en todo momento, observar más, entender que, como en el mundo real, en el mundo del Internet, existen también personas con malas intenciones; que hay grupos organizados que se dedican a robar y hacer daño, que están enfocados a lanzar el anzuelo, que con paciencia y múltiples intentos esperan a que su presa lo muerda para aprovecharse.

Así como existen los malos, existen personas con buenas intenciones, expertos en seguridad informática que tienen la responsabilidad de crear y compartir conocimiento para lograr una cultura de seguridad, generar conciencia de los peligros que existen y cómo prevenirlos.

Referencias

Granger, Sarah (2001). Social Engineering, Fundamentals Part. I: Hacker Tactics. Recuperado de https://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics

García Heredia, Juan. (2017). Robo de identidad crece 89% durante 2017, de acuerdo a Condusef. El Sol de México. Recuperado de https://www.elsoldemexico.com.mx/finanzas/robo-de-identidad-crece-89-durante-2017-de-acuerdo-a-condusef-386960.html

INEGI. (2017, 12 20). http://www.inegi.org.mx/. Retrieved 3 21, 2018, from http://www.beta.inegi.org.mx/proyectos/encestablecimientos/especiales/enve/2016/default.html

Referencia de imagen

Blue Coat Photos (2014)
Recuperada de https://www.flickr.com/photos/111692634@N04/15946687402 (imagen publicada bajo licencia Creative Commons de Atribución-No comercial Genérica 2.0 de acuerdo a: https://creativecommons.org/licenses/by-nc/2.0/)