“¿Transferirías todos tus ahorros a otra cuenta si te lo pide tu banco?”, comienza el vídeo explicativo que acompaña al mensaje de la Policía Nacional en X. “Pues ojo, porque puede tratarse de spoofing. Los ‘cibermalos’ se hacen pasar por tu banco para advertirte de movimientos sospechosos entre tus cuentas y convencerte para que transfieras el dinero a otras supuestamente seguras”.
La información ofrecida por la Policía Nacional explica que mediante “un programa informático, los estafadores cambian el número de teléfono que aparece en nuestra pantalla para que sea el de nuestro banco. Y además utilizan una jerga bancaria para que nos creamos esta estafa”.
“En unos minutos consiguen que las víctimas les den todos los datos para acceder a sus cuentas y vaciarlas. Tu banco nunca te pedirá datos personales ni bancarios por teléfono, o un código que supuestamente te hayan enviado por SMS. Por lo tanto, nunca facilites datos de este modo. Ante la duda, cuelga y llama al teléfono oficial de tu entidad bancaria. Y si has sido estafado, acude a la policía”, concluye la autoridad en su mensaje informativo.
Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) señala que en el spoofing los ciberdelincuentes se valen de ciertas técnicas de hackeo para suplantar la identidad de una web, de una entidad o una persona en internet para hacerse con la información sensible de los usuarios, especialmente con contraseñas para logar acceso a los datos de las víctimas.
Además de la llamada que suplanta a la entidad bancaria de las víctimas, y de acuerdo con INCIBE, hay varios tipos de spoofing. Uno de los más habituales es el de página web legítima por una fraudulenta. Esta copia el diseño de la original, incluso puede llegar a utilizar una dirección URL parecida. Además, esta institución destaca que los estafadores suelen utilizar el phishing como gancho para que las víctimas acaben en la web falsa.
Otra técnica frecuente es la suplantación de la dirección de email de una persona o una entidad de confianza. A través de esta, se solicita a la víctima información personal. Esta técnica también se emplea con números de teléfono para enviar SMS fraudulentos.
También existe el spoofing de dirección de IP, en los que los ciberdelincuentes la falsean y la hacen pasar por una distinta. Así, aunque el rúter de la víctima cuente con restricciones que impidan pasar a IP desconocidas o de origen sospechoso, los estafadores pueden saltarse esa barrera y enviar malware.
Por último, existe un tipo de spoofing mediante el que el atacante logra infectar y acceder al rúter de la víctima, y lo modifican para que, cuando esta intente acceder a una web, se le redirija a la que escoja el ciberdelincuente.