La suplantación de identidad ha evolucionado de la mano con las tendencias de la sociedad. Atrás quedaron los correos de príncipes nigerianos o abuelas viudas que buscaban con quien compartir sus fortunas y para hacerlo era necesario pagar por algún trámite que permitiese acceder a una gran riqueza. Al igual que ocurre en los entornos físicos, los ciberdelincuentes están en constante renovación para hacer que sus estrategias tengan mayor éxito.
Las estadísticas señalan que el factor humano es el principal responsable de las vulnerabilidades en ciberseguridad. Ante esto los hackers centran sus esfuerzos en engañar a las personas para que hagan ciertas acciones que ellos desean. Recientemente se ha visto un incremento en la suplantación de identidad en redes sociales.
¿Por qué se han expandido a las redes sociales? Según datos de Backlinko desde su creación en 1996, las RRSS han logrado un nivel de penetración de poco más de la mitad de la población mundial que asciende a 7.700 millones de personas. En la última década se han cuadruplicado los usuarios. Para el 2010 había 970 millones de internautas en las redes. Y en julio del 2021 se registra una cifra de 4.480 millones de usuarios.
Con los números antes vistos, no es de sorprenderse que los ciberdelincuentes hayan centrado sus miradas a estos objetivos con un impacto tan rotundo en la población mundial.
Top 10 de suplantación de identidad con fines de phishing por marcas en el tercer trimestre del 2021
Según Check Point, estas son las marcas que más utilizan los hackers en los ataques de phishing y su porcentaje corresponde a la cantidad de veces en que fueron usadas en suplantación de identidad en base a un 100% de ataques detectados.
- 29% Microsoft
- 13% Amazon
- 9% DHL
- 8% Bestbuy
- 6% Google
- 3% WhatsApp
- 2.6% Netflix
- 2.5% LinkedIn
- 2.3%Paypal
- 2.2% Facebook
¿Por qué la mayoría de los ataques se centran en la ingeniería social?
Hay que recordar que la mayoría de los ataques están basados en la ingeniería social. Es decir, en la vulnerabilidad humana. ¿Por qué se hace así?. El motivo es que ataques más especializados requieren de más recursos tanto tecnológicos como humanos.
Podemos poner de ejemplo el ataque efectuado a SolarWinds que es identificado “desde el punto de vista de ingeniería del software como el ataque más grande y sofisticado que el mundo haya visto.” según Brad Smith de Microsoft.
Ahora bien, se estima que para llevar a cabo dicho ataque, se necesitó de la participación de aproximadamente 1.000 ingenieros de software. Esto nos lleva a pensar en lo complejo que puede ser vulnerar un sistema desde sus adentros, desde la programación del sitio.
Tipos de suplantación de identidad en las redes sociales
Los ataques no siempre tienen la misma estructura, todo va a depender del plan del que lo esté organizando. Sin embargo, vamos a presentar los más comunes a fin de orientar sobre su prevención.
Suplantación de identidad de marca
Las marcas se han ganado la confianza del público gracias a su trayectoría y años de presencia acertada. Conscientes de esto los atacantes se enfocan en la suplantación de identidad de las más reconocidas para afianzar el punto de confianza y empatía con el objeto de la amenaza. No es igual recibir un correo falso, creado impecablemente de parte de un hacker que se hace pasar por Google para intentar pescar las credenciales de una persona, que un correo con las mismas intenciones de un personaje desconocido de la web.
Ellos conocen el comportamiento humano, donde el dinamismo nos lleva muchas veces a actuar de manera autómata y aceptar todo aquello que nos resulta familiar e invita a darnos protección y beneficios.
Con los números presentados de penetración de las redes sociales no es de extrañar que existan mensajes como el de la directora del Whatsapp que invita a confirmar la cuenta para que no sea eliminada. O estrategias como el correo donde Google nos invita a reforzar la seguridad de la cuenta y dirige a un sitio malicioso. Como también la invitación de Linkedin a su nuevo programa de negocios pidiendo ingresar nuevamente a la plataforma y abrir un archivo que dentro contiene macros.
Suplantación de identidad de un personaje famoso
Seguimos en la línea de que el centro de los ataques es la ingeniería social aplicada. Recientemente la OSI ha publicado un escrito donde afirman haber registrado una oleada de casos de suplantación de identidad en cuentas de Instagram y Onlyfans con fraudes dirigidos hacia sus seguidores. A groso modo se detectan dos estrategias:
Sorteo como elemento de engaño: La estrategia se centra en suplantar un personaje que esté realizando un sorteo, crear una cuenta idéntica a la que se desea clonar, y comenzar a seguir a los seguidores del concurso de la cuenta original. El siguiente paso se da desde la cuenta clon, se inicia una campaña de mensajes privados donde se le informa a los objetivos que han resultado ganadores del sorteo, pero que deben ingresar sus datos en un enlace equis y ahí ya sabemos que comienza la pesca de datos.
Seguimiento de redes explícitas: Otra de las formas detectadas es haciendo uso de figuras femeninas que son altamente seguidas por el contenido que comparten en sus redes. Similar al caso anterior, se crea una cuenta clon y desde ella se comienza a ofrecer una invitación a alguna red de pago como OnlyFans y allí se comienza la estafa a la persona incauta.
Suplantación de identidad de amigos
Esta es otra de las modalidades, si por alguna razón las credenciales de una red social de alguna persona son comprometidas, es probable que el atacante comience a crear mensajes generando intriga y emocionalidad. Algunos ejemplos podrían ser: No creerás lo que ves, o Mira cómo gané $ 200,000 en 10 minutos. Si alguno de los amigos hace clic en esos enlaces comienza la recaudación de datos que pueden terminar en una estafa a quien los proporciona.
Las consecuencias de una infracción
Proofpoint detalla las consecuencias más comunes y las agrupa en las siguientes categorías.
Tiempo de inactividad del usuario.
Tiempo de corrección.
Daño a la reputación.
Pérdida de propiedad intelectual.
Pérdidas monetarias directas.
Multas de cumplimiento.
Costos de respuesta y remediación.
Pérdida de ingresos y clientes.
Honorarios legales.
A pesar de lo que puede pensarse, la pérdida económica no es lo que más preocupa a las personas y empresas como consecuencia de los ataques de phishing de suplantación de identidad en redes sociales. El estudio de Proofpoint arrojó que las consecuencias más resaltantes son:
Consecuencias de la suplantación de identidad que más preocupa a las personas y empresas
- 60% Datos perdidos.
- 52% Cuentas o credenciales comprometidas.
- 47% Infecciones de ransomware.
- 29% Infecciones de malware.
- 18% Pérdida financiera.
Cómo prevenir los ataques de suplantación de identidad
Desde el punto de vista empresarial o de un personaje público no hay mucho que se pueda hacer para prevenir esto. ¿De qué manera se puede evitar que alguien decida crear un perfil clonado de alguien? Esto es algo que ha tenido cabida toda la vida, incluso antes de la existencia de las redes sociales.
Partiendo de esa base nos queda solo el espacio en el que sí podemos tomar decisiones y acciones. ¿Qué hacemos como usuarios? Todo se centra en esto, en qué tanta perspicacia empleamos a la hora de usar las redes sociales. Algunas de las recomendaciones son:
- Usar un gestor de contraseñas para hacer un seguimiento exhaustivo y automático de las URL de destino, al tiempo que refuerza la seguridad de las contraseñas creando unas únicas e irrepetibles para cada aplicación.
- No seguir enlaces con cosas que parezcan demasiado geniales para ser verdad, es necesario usar un poco la malicia y no creerlo todo.
- Pocas veces las redes sociales nos van a pedir información con carácter de urgencia, de ser así, estar muy atentos a las URL de destino. Si no se reconocen, no seguir los enlaces ni proporcionar información sensible.
- Es posible que los sitios suplantados no cuiden detalles como la gramática, si se observan muchos fallos en la escritura es muy probable que sea un sitio falso.
- No aceptar solicitudes de amistad de extraños.
- Mantener el antivirus y el sistema operativo actualizado.
- Evitar abrir archivos o enlaces sospechosos, no los abra, salvo que sean de un remitente de confianza.
- En caso de tratarse de una empresa, ofrecer capacitación a los empleados sobre los temas de ciberseguridad y phishing.
Desde Lasspast estamos comprometidos con mantener un internet seguro. Las redes sociales están hechas para conectarnos y divertirnos, no dejes que personas inescrupulosas las arruinen a ti, a tu familia, colegas y amigos.
Para conocer la manera en que podemos ofrecer protección de estos posibles ataques es necesario rellenar los datos de este formulario para entrar en una prueba gratuita y sin compromiso de permanencia.