Phishing vs. Spoofing: Identifique amenazas y proteja sus datos

Recibes un correo electrónico de tu departamento de TI en tu bandeja de entrada. Te pide que verifiques tus credenciales de inicio de sesión mediante un enlace. La dirección del remitente parece correcta y el formato te resulta familiar. Nada parece fuera de lugar. Haces clic en el enlace, escribes tu contraseña y, sin darte cuenta, se la entregas directamente a un atacante que creó una página de inicio de sesión falsa para replicar el sistema de tu empresa.

Esta situación combina dos amenazas distintas que actúan juntas: una simulaba la legitimidad del mensaje y la otra usaba esa legitimidad para robar tus credenciales. La suplantación de identidad (spoofing) y el phishing son una de las distinciones más confusas en ciberseguridad. Se suelen usar indistintamente, pero describen cosas diferentes: uno es un método, el otro un objetivo. Saber cuál es cuál te ayuda a aplicar las defensas adecuadas, reconocer las señales de advertencia correctas y comprender por qué los ataques tienen éxito incluso contra objetivos con conocimientos técnicos.

¿Qué es la suplantación de identidad?

La suplantación de identidad es el acto de falsificar un identificador técnico, como una dirección de remitente de correo electrónico, un nombre de dominio, un sitio web, un identificador de llamadas o una dirección IP, para hacerse pasar por una fuente confiable.

En el contexto del correo electrónico, la suplantación de identidad manipula los campos técnicos que controlan cómo se muestra la información del remitente a los destinatarios. Los atacantes falsifican la dirección "De" para mostrar un nombre y dominio de confianza, registran dominios similares que pasan una inspección visual superficial o manipulan los encabezados de los correos electrónicos para que parezcan provenir de servidores legítimos que no controlan.

La suplantación de identidad (spoofing) es principalmente un ataque técnico. Manipula sistemas y protocolos para que un mensaje, dispositivo o sitio web parezca provenir de una fuente confiable. Si bien muchos ataques se dirigen a las personas, la suplantación de identidad en sí misma funciona explotando las vulnerabilidades en la tecnología de verificación de identidad.

Tampoco se limita al fraude directo. En muchos casos, el objetivo inmediato no es el robo de credenciales ni la obtención de beneficios económicos, sino el reconocimiento, la prueba de defensas o la preparación para un ataque mayor.

Tipos principales de suplantación de identidad relevantes para el correo electrónico:

• Falsificación de nombre para mostrar: Mostrar “Soporte de TI” como nombre mientras se utiliza una dirección de envío aleatoria o no relacionada
• Suplantación de dominio: Envío desde cornpany.com o company-support.com en lugar de company.com
• Suplantación de correo electrónico directo: Falsificar el campo De para mostrar una dirección real y legítima mediante la manipulación del encabezado SMTP
• Suplantación de sitios web: Creación de sitios de réplica en dominios similares que capturan las credenciales ingresadas

¿Qué es el phishing?

El phishing es un ataque de ingeniería social con un objetivo claro que envía mensajes fraudulentos para manipular a los destinatarios y obligarlos a realizar acciones dañinas, como hacer clic en enlaces maliciosos, descargar malware, enviar credenciales o transferir fondos. El nombre refleja el concepto: lanzar una red amplia y esperar a que las víctimas muerdan el anzuelo.

Más de 38 millones de ataques de phishing Se detectaron en todo el mundo solo en 2024, lo que representa cuarto De todos los incidentes de ciberseguridad detectados ese año. El phishing ataca la psicología humana, explotando instintos como la confianza, la urgencia, el miedo y la autoridad para anular el pensamiento crítico e incitar a la acción inmediata antes de que los destinatarios se detengan a verificar.

La característica que define el phishing es la intención. Cada ataque de phishing tiene un objetivo específico: obtener credenciales de inicio de sesión, distribuir ransomware, desviar un pago, robar datos personales u obtener acceso inicial a la red de una organización. El mensaje, el canal y la técnica de engaño están al servicio de ese objetivo.

Canales de phishing comunes:

• Suplantación de identidad (phishing) por correo electrónico: El canal más común; mensajes fraudulentos enviados a audiencias amplias
• Phishing de lanza: Ataques de correo electrónico dirigidos que utilizan investigación personalizada sobre individuos específicos
• Phishing por SMS (smishing): Mensajes de texto que contienen enlaces o instrucciones maliciosos
• Phishing de voz (vishing): Llamadas telefónicas haciéndose pasar por entidades confiables para extraer información
• Phishing en redes sociales: Mensajes fraudulentos, cuentas falsas o enlaces maliciosos a través de plataformas sociales
• Sitios web falsos: Páginas de destino diseñadas para capturar las credenciales ingresadas por las víctimas

¿Cuál es la diferencia entre phishing y suplantación de identidad?

La suplantación de identidad (spoofing) y el phishing están relacionados, pero son distintos. Comprender sus diferencias en múltiples dimensiones aclara cómo funcionan los ataques y qué defensas se aplican a cada uno.

Objetivos principales

La suplantación de identidad ataca primero a los sistemas y protocolos, y después a las personas. El objetivo inicial es técnico: filtros de correo electrónico que comprueban la legitimidad del remitente, sistemas DNS que traducen nombres de dominio y sistemas de autenticación que verifican identidades. Al burlar estas comprobaciones técnicas, la suplantación de identidad crea las condiciones para el engaño a nivel humano.

Los objetivos de suplantación más comunes incluyen:

• Sistemas de autenticación de correo electrónico (validación SPF, DKIM, DMARC)
• Servidores DNS e infraestructura de resolución de dominios
• Sistemas de enrutamiento de red y atribución de IP
• Autenticación del sistema y controles de acceso
• Clientes de correo electrónico individuales que muestran información del remitente

El phishing ataca directamente la psicología humana. El objetivo es provocar una respuesta específica en un tipo específico de persona. La selección del objetivo refleja el acceso y la autoridad:

• Consumidores individuales (banca, comercio minorista, credenciales de streaming)
• Ejecutivos de alto nivel (autoridad financiera, acceso a datos confidenciales)
• Empleados de finanzas y RRHH (procesamiento de pagos, control de nóminas)
• Administradores de TI (acceso al sistema, capacidades de restablecimiento de credenciales)
• Industrias enteras con vulnerabilidades compartidas (salud, finanzas)

Propósito del ataque

El propósito de la suplantación de identidad es establecer credibilidad y eludir los filtros, creando las condiciones que aumentan la eficacia de un ataque posterior. Los mensajes suplantados llegan a bandejas de entrada que, de otro modo, los filtrarían. Las identidades suplantadas reciben una confianza que normalmente requeriría verificación. Los objetivos específicos de la suplantación de identidad incluyen:

• Ganancia financiera a través de pagos mal dirigidos
• Robo de datos mediante solicitudes de datos suplantadas
• Distribución de malware a través de archivos adjuntos que parecen confiables
• Acceso no autorizado mediante configuración de robo de credenciales

El objetivo del phishing es lograr un resultado directo extrayendo valor de las víctimas:

• Recopilación de credenciales para el acceso a cuentas y su reventa
• Robo financiero mediante pagos fraudulentos o acceso directo a cuentas
• Robo de identidad mediante la recopilación de datos personales
• Distribución de malware a través de descargas iniciadas por el usuario
• Espionaje corporativo mediante exfiltración de datos sensibles

Métodos clave

Los métodos de suplantación de identidad son técnicos y operan a nivel de infraestructura:

• Manipulación del encabezado del correo electrónico para falsificar los campos De y Responder a
• Registro de dominios de direcciones similares (company-inc.com, c0mpany.com)
• Envenenamiento de caché DNS para redirigir el tráfico de dominio legítimo
• Falsificación de direcciones IP para ocultar el verdadero origen de la red
• Manipulación del identificador de llamadas para suplantación de identidad basada en teléfono

Los métodos de phishing son comunicativos y operan a nivel humano:

• Páginas de inicio de sesión falsas que replican sitios legítimos píxel por píxel
• Malicioso enlaces en correos electrónicos redireccionando a páginas de captura de credenciales
• Archivos adjuntos cargados de malware camuflados en documentos legítimos
• Solicitudes urgentes que explotan la autoridad y la presión del tiempo
• Mensajes de correo electrónico empresarial comprometidos que se hacen pasar por ejecutivos o proveedores

Consejos de detección

La suplantación de identidad (spoofing) y el phishing dejan pistas diferentes. Los indicadores de suplantación de identidad (spoofing) suelen aparecer en detalles técnicos, mientras que las señales de advertencia del phishing suelen manifestarse en el tono y el contenido del mensaje.

Reconociendo la suplantación de identidad:

• Inspeccionar la dirección de envío real más allá del nombre mostrado (colocar el cursor sobre ella o hacer clic para revelar la dirección completa)
• Comprobar variaciones de dominio: letras faltantes, caracteres transpuestos, palabras adicionales (company-support.com)
• Verifique los certificados HTTPS en los sitios web (verifique la organización emisora, no solo el ícono del candado)
• Busque inconsistencias en la antigüedad del dominio (las organizaciones legítimas no utilizan dominios registrados recientemente)
• Verifique los encabezados de correo electrónico directamente para detectar discrepancias en el origen del servidor

Reconociendo el phishing:

• Urgencia inesperada: “Actúe de inmediato”, “Su cuenta será suspendida”
• Saludos genéricos: “Estimado cliente”, “Estimado usuario” en lugar de su nombre real
• Solicitudes de credenciales, cambios de pago o datos confidenciales por correo electrónico
• Enlaces sospechosos donde el texto de la URL mostrada no coincide con el destino real
• Inconsistencias gramaticales o un formato ligeramente fuera de lo común
• Ofertas que parecen demasiado buenas para ser verdad o amenazas que parecen desproporcionadas

Cómo funcionan juntos la suplantación de identidad y el phishing

La suplantación de identidad (spoofing) y el phishing son más peligrosos cuando se combinan: la suplantación de identidad proporciona la credibilidad que hace que el phishing sea creíble, y el phishing proporciona el motivo financiero que hace que valga la pena el esfuerzo de realizarla.

El flujo de ataque combinado:

1. El atacante investiga el objetivo: Identifica a los ejecutivos, proveedores y patrones de comunicación de una organización.
2. La suplantación de identidad crea legitimidad: Registra un dominio similar o compromete una cuenta de correo electrónico.
3. El phishing ofrece el anzuelo: Envía un mensaje convincente utilizando la identidad falsificada con una solicitud dañina específica.
4. La víctima actúa por confianza: Procesa un pago, envía credenciales o abre un archivo adjunto porque la identidad falsificada pasó las verificaciones de credibilidad iniciales.
5. El atacante logra el objetivo: Captura credenciales, recibe pagos fraudulentos u obtiene acceso al sistema.

Ejemplo 1: Fraude en facturas de proveedores

Un empleado de cuentas por pagar recibe lo que parece un correo electrónico de rutina de un proveedor confiable (sales@costex.com) diciendo que sus datos bancarios han cambiado. Pero la dirección real es sales@costex.comUn sutil intercambio de cartas. Fácil de pasar por alto. La solicitud parece normal, nadie la verifica y el pago se envía directamente a una cuenta controlada por el atacante.

Ejemplo 2: Robo de credenciales ejecutivas

Un empleado recibe un correo electrónico que parece provenir de su director de tecnología, dirigiéndolo a un nuevo portal de la empresa que requiere la configuración inmediata de credenciales. La dirección de remitente falsa muestra el nombre real del director de tecnología. La página enlazada es una réplica exacta del sistema de autenticación de la empresa. Las credenciales ingresadas van directamente a los atacantes, quienes las usan para acceder a los sistemas internos.

Análisis de IBM sobre los kits de phishing Descubrieron que el sector de tecnología de la información era la industria más suplantada, seguida por el de finanzas y seguros, lo que refleja dónde la combinación de suplantación de identidad y phishing genera los mayores retornos para los atacantes.

Cómo prevenir la suplantación de identidad y el phishing

Una prevención eficaz requiere controles técnicos que aborden la infraestructura de suplantación de identidad y controles humanos que aborden la psicología del phishing.

Controles técnicos

Implementar DMARC Política de cumplimiento (p=rechazar o p=cuarentena) para evitar que mensajes no autorizados usen su dominio en ataques de suplantación de identidad. DMARC, combinado con SPF y DKIM, crea una barrera técnica que detiene la suplantación de identidad a nivel de dominio antes de que los mensajes lleguen a los destinatarios.

MFA para correo electrónico Las cuentas impiden la suplantación de identidad: el método de suplantación de identidad más convincente, ya que utiliza cuentas legítimas. Incluso cuando el phishing logra capturar contraseñas, la MFA impide que los atacantes accedan a las cuentas para enviar mensajes falsos desde direcciones reales.

Las plataformas de filtrado de correo electrónico que analizan patrones de comportamiento detectan mensajes falsificados que los protocolos de autenticación no detectan y marcan los mensajes que se desvían de los patrones de envío normales, contienen lenguaje de patrones BEC o se originan en una infraestructura sospechosa.

Estrategias organizacionales

La tecnología puede bloquear gran parte de los intentos de suplantación de identidad y phishing, pero no puede reemplazar el criterio humano. La capacitación regular que enseña a los empleados a reconocer remitentes suplantados, dominios sospechosos y solicitudes manipuladoras refuerza la capa que los atacantes aún intentan explotar. Las simulaciones prácticas, donde los empleados practican la detección y respuesta a escenarios realistas de phishing, suelen ser mucho más efectivas que la instrucción pasiva en el aula.

Los procedimientos de verificación claros también marcan una diferencia significativa. Las solicitudes financieras siempre deben requerir una confirmación fuera de banda utilizando números de contacto de confianza ya registrados, no números de teléfono ni enlaces incluidos en el propio mensaje. Esta simple medida de seguridad puede detener la mayoría de los esquemas de suplantación de identidad y phishing que buscan generar pagos fraudulentos.

Higiene de la lista de correo electrónico

Mantener un lista de correo electrónico limpia Reduce la exposición organizacional a ambas amenazas. Las listas limpias con contactos validados permiten obtener señales precisas de reputación del remitente que ayudan a las herramientas de seguridad a identificar anomalías. Las organizaciones con una sólida reputación de remitente y patrones de envío consistentes son más difíciles de suplantar de forma convincente. La validación de listas de correo electrónico elimina las direcciones no válidas, riesgosas e inverificables que debilitan la infraestructura de envío, y que los atacantes analizan al planificar campañas de suplantación de identidad.

Bueno seguridad para los vendedores por correo electrónico Combina autenticación, listas validadas y monitoreo continuo para crear patrones de envío consistentes que hacen que los intentos de suplantación sean detectables a través del análisis de comportamiento.

Cuándo buscar ayuda profesional

Algunas situaciones de suplantación de identidad y phishing requieren soporte experto más allá de las capacidades internas. Busque ayuda profesional cuando:

• Ataques dirigidos repetidos: Si su organización experimenta campañas de phishing sofisticadas y constantes que sugieren un interés persistente por parte de un atacante, los profesionales de seguridad pueden evaluar su perfil de amenaza e implementar defensas específicas.
• Se ha producido una pérdida financiera: El fraude electrónico o el desvío de pagos requiere un contacto inmediato con su banco, las autoridades y posiblemente profesionales de seguridad forense para rastrear y potencialmente recuperar fondos.

• Se sospecha una violación de datos: Si el phishing resultó en la exposición de credenciales, acceso no autorizado al sistema o exfiltración de datos, los profesionales de respuesta a incidentes deben evaluar el alcance y contener el daño.
• Se detectó un compromiso del sistema: El malware distribuido mediante phishing requiere una reparación profesional para garantizar su eliminación completa e identificar a qué se accedió.
• Su dominio está siendo falsificado: Si los clientes o socios reciben correos electrónicos falsificados de su dominio, los servicios de monitoreo de dominio y análisis forense de DMARC pueden identificar la infraestructura y el alcance del ataque.

Las organizaciones cuyas bases de datos de contactos contienen direcciones no válidas, obsoletas o riesgosas se enfrentan a una mayor exposición, ya que una mala higiene de las listas indica a los atacantes una postura débil en materia de seguridad del correo electrónico. DeBounce's validación de lista de correo electrónico Identifica y elimina direcciones que debilitan la reputación del remitente y aumentan la vulnerabilidad a campañas de suplantación de identidad dirigidas a su dominio.

Lo más importante es...

La suplantación de identidad (spoofing) y el phishing desempeñan funciones diferentes en las herramientas del atacante, y comprender esta diferencia es lo que hace que las defensas sean eficaces. La suplantación de identidad falsifica identificadores técnicos para eludir los filtros y generar confianza; el phishing explota esa confianza para manipular a las víctimas y obligarlas a realizar acciones dañinas. Juntos, forman la combinación más común y costosa en los delitos cibernéticos por correo electrónico.

La defensa contra la suplantación de identidad requiere controles técnicos: autenticación DMARC, SPF y DKIM que previene la falsificación de dominios, y MFA que bloquea el robo de cuentas. La defensa contra el phishing requiere controles humanos: capacitación de empleados, procedimientos de verificación y concienciación del comportamiento que detecten los intentos de ingeniería social que los filtros técnicos pasan por alto.

Verifique hoy la configuración DMARC de su dominio y evalúe la capacitación de sus empleados: ¿cuándo fue la última vez que su equipo practicó la identificación de una dirección de remitente falsificada en un escenario realista?

Mantenga una infraestructura de correo electrónico limpia como parte de su estrategia de seguridad y entregabilidad a largo plazo. Utilice Debounce Para validar listas de contactos, eliminar direcciones no válidas y de riesgo, y mantener una reputación de remitente consistente que facilite la detección y el bloqueo de intentos de suplantación de identidad contra su dominio. La autenticación robusta y las listas validadas crean una base que reduce el riesgo de suplantación de identidad y phishing en todas sus comunicaciones por correo electrónico.