Blog

Suplantación de identidad por correo electrónico: significado, ejemplos y prevención.

Debounce
Artículos
24 minutos de lectura
Temas

Comparte este artículo

Copiar URL

Puntos Clave

  • La suplantación de identidad por correo electrónico se produce cuando un atacante envía mensajes que parecen provenir de una persona u organización de confianza, sin necesidad de piratear la cuenta real.
  • Los tres métodos más comunes de suplantación de identidad por correo electrónico son la suplantación del nombre de usuario, los dominios similares y las cuentas comprometidas.
  • El fraude del director ejecutivo, las estafas con facturas de proveedores y los correos electrónicos falsos de atención al cliente son los tipos de ataques que causan mayores daños financieros y de reputación a las empresas.
  • En lo que respecta a la prevención de ataques de suplantación de identidad por correo electrónico, la formación de los empleados y los flujos de trabajo de verificación interna son tan importantes como los controles técnicos.

Recibes un correo electrónico del director financiero solicitando una transferencia urgente. El nombre del remitente es correcto y el tono parece apropiado. El único problema es que el director ejecutivo nunca lo envió.

Se trata de suplantación de identidad por correo electrónico, una de las formas más comunes y costosas de ciberdelincuencia dirigidas a las empresas en la actualidad. A diferencia del malware o los intentos de pirateo complejos, los ataques de suplantación de identidad no requieren técnicas avanzadas. A menudo, basta con un nombre de remitente creíble y un destinatario ocupado que no tenga tiempo para verificar los datos. Estadísticas de correo no deseado Los estudios demuestran que una parte significativa del tráfico de correo electrónico malicioso implica algún tipo de suplantación de identidad, lo que convierte este riesgo en un aspecto que toda empresa debe comprender y contra el que debe defenderse activamente.

Esta guía explica cómo funcionan los ataques de suplantación de identidad por correo electrónico, qué aspecto suelen tener en situaciones reales y las medidas prácticas que las empresas pueden tomar para prevenirlos.

¿Qué es la suplantación de identidad por correo electrónico?

La suplantación de identidad por correo electrónico consiste en enviar correos que aparentan provenir de un remitente de confianza, como un colega, un ejecutivo, un proveedor o una marca reconocida, con la intención de engañar al destinatario para que realice una acción perjudicial. Dicha acción podría ser transferir dinero, compartir credenciales de acceso, hacer clic en un enlace malicioso o revelar información confidencial.

Lo que distingue la suplantación de identidad del spam común es la focalización deliberada. Los ataques de suplantación de identidad se crean para explotar una relación o expectativa de confianza existente. El atacante no intenta vender nada, sino hacerse pasar por otra persona.

Fundamentalmente, la suplantación de identidad por correo electrónico no requiere que el atacante tenga acceso a la cuenta del remitente real. En la mayoría de los casos, simplemente simulan legitimidad mediante trucos técnicos o ingeniería social. Esto es lo que la hace tan accesible para los atacantes y tan peligrosa para organizaciones de cualquier tamaño.

Cómo funciona la suplantación de identidad por correo electrónico

Los atacantes utilizan tres métodos principales para hacer que sus correos electrónicos parezcan provenir de otra persona.

Cómo funciona la suplantación de identidad por correo electrónico

Falsificar el nombre de usuario

Los clientes de correo electrónico como Outlook y Gmail muestran el nombre del remitente de forma destacada, mientras que la dirección de correo electrónico real suele estar oculta a menos que el destinatario haga clic para expandirla. Los atacantes explotan esto configurando su nombre para mostrar como "John Smith, CEO" mientras envían desde una dirección completamente ajena como sales@costex.comMuchos destinatarios nunca comprueban la dirección que aparece después del nombre.

Utilizar dominios similares o falsos

Una táctica más sofisticada consiste en registrar un dominio que se vea casi idéntico al real utilizado por una empresa. Si su organización usa acmecorp.com, un atacante podría registrar algo como acme-corp.com, acmecorp.net o acrnecorp.com, donde se modifica sutilmente un solo carácter.

A simple vista, estas direcciones parecen legítimas. Debido a que el dominio existe y puede enviar correos electrónicos normalmente, los mensajes que provienen de él suelen pasar las comprobaciones básicas del remitente. Esto hace que el ataque sea más difícil de detectar que la simple suplantación del nombre de visualización. La técnica está estrechamente relacionada con falsificación de correo electrónicoy ambos se utilizan a menudo juntos.

Comprometer una cuenta real

Cuando un atacante obtiene acceso a una cuenta de correo electrónico legítima mediante phishing, robo de credenciales o una filtración de datos, puede enviar mensajes directamente desde la dirección real. Esta es la forma de suplantación de identidad más difícil de detectar, ya que los correos electrónicos parecen provenir de donde dicen. Los controles de autenticación robustos y la monitorización son las principales medidas de defensa.

Tipos comunes de ataques de suplantación de identidad por correo electrónico

Los ataques de suplantación de identidad siguen patrones predecibles. Comprender los escenarios más comunes ayuda a los equipos a reconocerlos y responder a ellos con mayor rapidez.

Tipos de ataques de suplantación de identidad por correo electrónico

Suplantación de identidad de directores ejecutivos y ejecutivos

Este ataque, también conocido como fraude por correo electrónico empresarial (BEC, por sus siglas en inglés) o fraude del CEO, consiste en que un impostor se hace pasar por un alto directivo, normalmente el CEO, el CFO u otro ejecutivo, para presionar a un empleado a que realice una acción no autorizada.

Los destinatarios suelen ser empleados con autoridad sobre transacciones financieras o acceso a datos confidenciales, como los equipos de finanzas, recursos humanos, administradores de nóminas y asistentes ejecutivos. Las solicitudes están diseñadas para parecer urgentes y confidenciales: «No involucren a nadie más, procésenlo antes del cierre del mercado».

Los objetivos comunes incluyen transferencias bancarias fraudulentas, compras de tarjetas de regalo, solicitudes de datos de W-2 o nómina y cambios en los detalles de depósito directo. El FBI Centro de Quejas de Delitos en Internet (IC3) Se ha identificado sistemáticamente el fraude BEC como una de las categorías de ciberdelincuencia con mayores pérdidas a nivel mundial, con pérdidas de miles de millones de dólares anuales.

Suplantación de identidad de proveedores y socios

En este escenario, los atacantes se hacen pasar por un proveedor, contratista o socio comercial conocido. Por lo general, obtienen suficiente información sobre la relación, a menudo a través de fuentes públicas o de una filtración de datos anterior, para que sus correos electrónicos parezcan creíbles.

Un ataque típico consiste en enviar una factura falsificada idéntica a las facturas reales del proveedor, con una sola modificación: el número de cuenta bancaria. El destinatario procesa lo que parece un pago rutinario, y los fondos terminan en la cuenta del atacante. La recuperación es difícil y, a menudo, imposible (para cuando se detecta el fraude).

Este tipo de ataque es particularmente peligroso porque explota la confianza ya establecida. Al destinatario no se le pide que haga nada fuera de lo común, solo que pague a un proveedor con el que trabaja habitualmente.

Suplantación de identidad en atención al cliente

Los atacantes se hacen pasar por personal de atención al cliente de una empresa o servicio. En lugar de intentar engañar a los empleados de la organización, se dirigen a los usuarios o clientes habituales de dicho servicio. Envían correos electrónicos que parecen provenir del departamento de soporte de una empresa conocida (un banco, un proveedor de software o una plataforma de comercio electrónico), alertando al destinatario sobre un problema con su cuenta que requiere atención inmediata.

El objetivo suele ser el robo de credenciales. El correo electrónico enlaza a una página de inicio de sesión falsa y convincente donde la víctima introduce su nombre de usuario y contraseña, entregándolos directamente al atacante. Este método también está relacionado con pharming Se utilizan técnicas que redirigen a los usuarios a sitios web falsos diseñados para parecer legítimos. Las credenciales robadas pueden usarse para apoderarse de las cuentas, revenderse o utilizarse para lanzar nuevos ataques.

 Cómo prevenir la suplantación de identidad por correo electrónico

La protección eficaz contra la suplantación de identidad por correo electrónico requiere un enfoque integral. Ningún control por sí solo es suficiente: las medidas de seguridad técnicas, la concienciación del personal y los procedimientos internos deben funcionar conjuntamente.

Cómo prevenir la suplantación de identidad por correo electrónico

Protocolos de autenticación de correo electrónico

Tres puestos Protocolos de autenticación de correo electrónico Los protocolos que funcionan a través de DNS ayudan a prevenir la suplantación de dominio. Estos protocolos deben configurarse para cada dominio que su organización utilice para enviar correos electrónicos, no solo para el dominio principal, sino también para cualquier dominio secundario o inactivo que aún pertenezca a su organización.

  • SPF (Marco de políticas del remitente): Un registro DNS que enumera los servidores de correo autorizados para enviar correos electrónicos utilizando tu dominio. Cuando un servidor receptor revisa un mensaje entrante, verifica si el servidor remitente se encuentra en la lista de servidores autorizados. De no ser así, el mensaje puede ser marcado o rechazado.
  • DKIM (Correo identificado con claves de dominio): Agrega una firma criptográfica a los mensajes salientes que el servidor receptor puede verificar. Confirma que el correo electrónico proviene realmente de su dominio y no ha sido alterado durante la transmisión.
  • DMARC (Autenticación, informes y conformidad de mensajes basados ​​en dominio): Se basa en SPF y DKIM, permitiendo a los propietarios de dominios especificar qué sucede cuando un mensaje falla la autenticación: solo monitorizar, ponerlo en cuarentena o rechazarlo. DMARC también envía informes al propietario del dominio que muestran qué servidores envían correo electrónico utilizando dicho dominio, lo que ayuda a monitorizar y controlar las fuentes de envío autorizadas.

Configurar DMARC con una política de "rechazo" ofrece la protección más sólida, pero las organizaciones suelen empezar con la opción de "monitorización" para comprender su tráfico de correo electrónico legítimo antes de aplicar reglas estrictas. Cifrado de correo electrónico Añade una capa adicional al proteger el contenido del mensaje tanto en tránsito como en reposo.

Formación y concienciación de los empleados

Los controles técnicos bloquean algunos intentos de suplantación de identidad, pero muchos ataques están diseñados para eludir los filtros automatizados y llegar a las bandejas de entrada reales. Por eso, la capacitación del personal es fundamental.

Los empleados de todos los niveles deben comprender:

  • Cómo verificar la dirección de correo electrónico real del remitente, no solo el nombre que se muestra. En la mayoría de los clientes, al pasar el cursor sobre el nombre del remitente o hacer clic en él, se muestra la dirección real.
  • Las señales de alerta de la manipulación basada en la urgencia incluyen mensajes que los presionan para actuar rápidamente, saltarse los pasos de aprobación habituales o mantener la solicitud en secreto ante la gerencia.
  • ¿Qué hacer cuando una solicitud parece extraña, incluso si proviene de un contacto conocido? Una llamada rápida para verificar la información siempre es más rápida que recuperarse de un fraude.
  • Cómo funcionan los dominios similares y qué buscar cuando una dirección parece ligeramente diferente, como letras transpuestas, guiones añadidos o un dominio de nivel superior distinto.

La capacitación debe ser práctica y repetida, no un ejercicio único. Las campañas de phishing simuladas, en las que los equipos de TI o seguridad envían correos electrónicos falsos suplantando la identidad del personal, son una de las formas más efectivas de reforzar la concienciación e identificar quién necesita orientación adicional.

Herramientas y filtros de seguridad

Las herramientas de seguridad diseñadas específicamente para este fin proporcionan capacidades de detección y bloqueo que el filtrado básico de correo electrónico no cubre.

  • Los filtros antiphishing y antisuplantación analizan los mensajes entrantes en busca de características asociadas con la suplantación de identidad, como dominios que no coinciden, datos de encabezado sospechosos, direcciones de remitente parecidas y enlaces maliciosos conocidos.
  • Las soluciones de puerta de enlace de correo electrónico se sitúan entre Internet y su servidor de correo, aplicando comprobaciones adicionales antes de que los mensajes lleguen a las bandejas de entrada de los empleados.
  • Los servicios de monitorización de dominios te alertan cuando se registran nuevos dominios que se parecen mucho al tuyo, lo que te permite detectar con antelación un posible ataque de suplantación de dominio antes de que se produzca.
  • Las herramientas de informes DMARC convierten los informes DMARC sin procesar en paneles de control legibles, lo que facilita la detección de remitentes no autorizados que utilizan su dominio.

Trabajar con empresas establecidas empresas de seguridad de correo electrónico Puede ayudarle a evaluar qué herramientas son las adecuadas para el tamaño, la infraestructura y el perfil de riesgo de su organización.

Procedimientos de verificación

La última capa de defensa es de carácter procedimental: flujos de trabajo internos que requieren una verificación externa para las solicitudes de alto riesgo, independientemente de la legitimidad aparente del correo electrónico.

Los procedimientos de verificación eficaces incluyen:

  • Se aplica una política estricta que prohíbe la aprobación de transferencias bancarias, cambios de pago o solicitudes de datos confidenciales únicamente por correo electrónico. Cualquier solicitud de este tipo, independientemente de quién parezca provenir, debe confirmarse por teléfono o en persona utilizando un número de contacto de su directorio interno, no uno proporcionado en el correo electrónico.
  • Se requiere doble aprobación para las transacciones financieras que superen un umbral determinado. El hecho de que dos personas distintas revisen y aprueben un pago dificulta considerablemente que un único correo electrónico de suplantación de identidad tenga éxito.
  • Un procedimiento claro para denunciar correos electrónicos sospechosos. Los empleados deben saber exactamente a quién contactar y cómo cuando reciban un mensaje que les parezca extraño, y deben sentirse seguros al denunciarlo sin temor a pasar vergüenza.

Estos procedimientos no tienen coste alguno y suelen ser más eficaces que los controles técnicos para detener los ataques de ingeniería social.

Qué hacer si eres víctima de suplantación de identidad por correo electrónico

Si descubre que alguien se está haciendo pasar por su organización o que un empleado ha sido víctima de un ataque, actúe con rapidez. Las primeras horas son cruciales.

Qué hacer si eres víctima de suplantación de identidad por correo electrónico

Pasos de respuesta inmediata:

  1. Contener el daño: Si se realizó un pago, comuníquese con su banco de inmediato para intentar cancelarlo. Las instituciones financieras tienen plazos limitados para intervenir, por lo que la rapidez es fundamental.
  2. Preservar evidencia: No elimine los correos electrónicos de suplantación de identidad. Guarde los encabezados completos de los mensajes, las capturas de pantalla y cualquier correspondencia relacionada. Esta documentación es esencial para la denuncia y cualquier investigación posterior.
  3. Identificar el alcance: Determinar si el ataque se dirigió a una persona o a varias cuentas, y si se accedió o se compartió algún dato confidencial, como credenciales, registros financieros o información personal.
  4. Restablecer credenciales comprometidas: Si se accedió a alguna cuenta, restablezca las contraseñas y revoque las sesiones activas de inmediato. Active la autenticación multifactor si aún no estaba activada.

Informes y notificaciones:

  • Denuncie el incidente ante la autoridad competente en materia de ciberdelincuencia de su país. En Estados Unidos, esta autoridad es el IC3 del FBI (ic3.gov).
  • Si se vieron afectados datos de clientes, consulte con su equipo legal sobre las obligaciones de notificación de violaciones de datos según las normativas de protección de datos aplicables (RGPD, CCPA y otras, según su jurisdicción).
  • Notifique a los socios o proveedores afectados si sus identidades fueron utilizadas en el ataque, ya que podrían enfrentarse a amenazas similares.
  • Informe a su proveedor de correo electrónico y, si procede, solicite que se denuncie el dominio que está suplantando la identidad por abuso.

Tras la respuesta inmediata, realice una revisión posterior al incidente: ¿cómo se produjo el ataque, qué controles fallaron y qué cambios son necesarios para reducir el riesgo de que se repita? Limpiar el correo electrónico configuraciones de infraestructura y seguridad como parte de esa revisión.

Proteja su dominio antes de que los atacantes lo utilicen en su contra.

Un aspecto que a menudo se pasa por alto en la protección contra la suplantación de identidad es la calidad y la seguridad de las prácticas de envío de correo electrónico. Las organizaciones con listas de correo electrónico mal mantenidas, bases de datos de contactos no verificadas o una infraestructura de envío mal configurada son más vulnerables, tanto al uso indebido de su dominio como al envío inadvertido de correos electrónicos que los proveedores de correo electrónico tratan con recelo.

Verificacion de email Esto forma parte de una buena práctica de higiene de correo electrónico que refuerza su seguridad general. DeBounce valida las direcciones de correo electrónico sin enviar ningún mensaje, eliminando las direcciones inválidas, temporales y de alto riesgo de sus listas para que su dominio construya una reputación de envío consistente y confiable. Un dominio con una sólida reputación es más difícil de suplantar de forma convincente y más fácil de defender cuando se denuncian abusos.

Procesa tu lista de correo electrónico a través de DeBounce. para asegurarnos de que nuestros envíos salientes sean correctos, verificados y funcionen a nuestro favor.

Construye defensas que se ajusten a la amenaza.

La suplantación de identidad por correo electrónico tiene éxito porque se basa en la confianza: la confianza que los empleados depositan en un nombre familiar, la confianza que los clientes depositan en una marca conocida, la confianza que convierte al correo electrónico en una herramienta funcional para los negocios. Los atacantes no necesitan sortear los cortafuegos cuando pueden simplemente hacerse pasar por alguien en quien ya confías.

Las medidas de defensa que se abordan en esta guía —autenticación SPF, DKIM y DMARC; capacitación del personal; herramientas de filtrado de seguridad; y procedimientos de verificación interna— tratan tanto la dimensión técnica como la humana del problema. Ninguna de ellas es suficiente por sí sola, pero en conjunto dificultan considerablemente la ejecución de ataques de suplantación de identidad y facilitan su detección.

Empiece por sus registros de autenticación. Si su dominio aún no publica una política DMARC, este es el paso técnico más importante que puede dar ahora mismo. Si a esto le suma una sesión de capacitación para el personal y un procedimiento claro de verificación de pagos, habrá cerrado las brechas que aprovechan la mayoría de los ataques de suplantación de identidad exitosos.

Preguntas Frecuentes

Respuestas a preguntas comunes sobre este tema.
01

¿Es posible suplantar la identidad de un correo electrónico sin piratear una cuenta?

Sí, y suele ser así. La suplantación de identidad por nombre de usuario y los ataques de dominios similares no requieren acceso a la cuenta real; simplemente imitan su apariencia utilizando una dirección de envío diferente.

02

¿Con qué frecuencia se producen los ataques de suplantación de identidad por correo electrónico?

Los ataques de suplantación de identidad por correo electrónico son muy comunes y siguen siendo una de las formas más frecuentes de ciberdelincuencia. Organizaciones de todos los sectores se enfrentan regularmente a intentos como el phishing, el fraude por correo electrónico y la suplantación de dominio, debido a que el correo electrónico es ampliamente utilizado y fácil de explotar para los atacantes.

Quizás te interese

Encuentre respuestas rápidas a sus preguntas sobre nuestros precios y planes.

¿Qué es una trampa de spam?

¿Qué es la trampa de spam y cómo evitarla?

Las trampas de spam ayudan a los proveedores de bandeja de entrada y a las organizaciones antispam a identificar remitentes que obtienen direcciones mediante prácticas inapropiadas. Existen tres tipos principales de trampas de spam:...

   
Debounce

Guía completa de listas negras de dominios

Ahora, más que nunca, un mayor número de empresarios está empezando a ver y utilizar el marketing por correo electrónico como una verdadera herramienta para fomentar relaciones comerciales productivas con...

   
Debounce

Cómo establecer registros DMARC (una guía completa)

¿Gestionas campañas de correo electrónico profesionales o empresariales? ¿Te preguntas cómo implementar registros DMARC para la validación y seguridad del correo electrónico? ¿Sabías que...?

   
Clemente de musgo