El 62% de los «.es» es vulnerable a una suplantación de identidad

Alrededor del 62 % de los dominios «.es» son susceptibles a suplantaciones de identidad por seguridad insuficiente de la mayoría de proveedores de hosting en internet, según un estudio cuyos resultados se presentaron en una jornada de seguridad del Centro Criptológico Nacional (CCN), adscrito al CNI.

Según el ingeniero Eduardo Sánchez, responsable de seguridad de la empresa Onbranding, autor de este estudio, que ha analizado casi dos millones de estas direcciones en internet acabadas en «.es», la mayoría de los proveedores de servicios de hosting requieren mayores medidas de seguridad.

La suplantación de la identidad de un correo electrónico facilita a los cibercriminales la ejecución de todo tipo de tropelías, asegura Sánchez, entre las que ha destacado la estafa del CEO, cuyos beneficios millonarios y sencillez de operativa en muchos casos para su artífice hacen que se estén disparado los casos.

Los proveedores de servicios hosting cuyos sistemas son vulnerables a quiebras de seguridad como ha demostrado la investigación han sido ya avisados de ello, añade. También tienen constancia de los resultados del trabajo el Instituto Nacional de Ciberseguridad (Incibe) y el Centro Criptológico Nacional (CCN), según Sánchez.

En el caso de la estafa del CEO, ha explicado, el cibercriminal se hace pasar con un correo electrónico por el presidente o director ejecutivo de una multinacional o gran empresa.

Con un simple mensaje de cuyo remitente se ha suplantado la identidad y que es enviado desde el mismo servidor de la compañía afectada, se manda hacer un pago muchas veces millonario de forma fraudulenta en nombre del máximo responsable de la multinacional a la cuenta de un proveedor, que acaba siendo la del cibercriminal.

En grandes empresas con varias sedes y oficinas algunas transacciones financieras de enormes cantidades de dinero acaban ejecutándose tras una orden por correo electrónico sin llamada telefónica que corrobore su veracidad ni confirmación previa de ningún otro tipo.

La proeza del cibercriminal se dispara al combinar técnicas de «ingeniería social», que no son más que artimañas para aparentar que el correo enviado es de quien dice ser aunque no lo sea.

Por ejemplo, añadiendo coletillas habituales que incluye el correo del dueño en la parte inferior del texto e incluso con comentarios típicos del afectado fuera del contexto puramente laboral para evitar sospechas.

De hecho, los cibercriminales dedican una buena parte de su trabajo a conocer en las redes sociales u otros espacios públicos cómo es realmente la persona cuya identidad quieren suplantar y más aún si ostenta cargos de relevancia. EFE