Suplantación de marca

¿Qué es la suplantación de marca?

La suplantación de marca (a veces también llamada “brandjacking”) es una forma de fraude utilizada por los ciberdelincuentes para imitar una marca conocida o de confianza con el fin de engañar a los usuarios para que participen en una plataforma maliciosa.

El objetivo es obtener información confidencial de las víctimas aprovechando la confianza que han depositado en la marca original. Los sitios web falsos o los correos electrónicos suplantados se utilizan entonces para robar información personal, recopilar contraseñas o credenciales, secuestrar o clonar tarjetas de crédito, robar dinero a través de transacciones falsas o cargar malware en el dispositivo del usuario.

La suplantación de identidad de marcas puede tener como objetivo grandes marcas como Amazon, Alibaba, Microsoft o Facebook, ya que cuentan con bases de clientes especialmente grandes, así como empresas más pequeñas o locales.

Además del daño que causan a los usuarios que caen presa del esquema fraudulento, los impostores de marca también dañan la reputación y la credibilidad de la marca, en particular de las empresas más pequeñas.

¿Cómo funciona la suplantación de marca?

Hay muchas formas diferentes de lanzar un ataque de suplantación de identidad.

La más común, con diferencia, es un correo electrónico, mensaje de redes sociales o SMS falsificado que parece proceder de un destinatario legítimo copiando el logotipo, los colores, las imágenes y el texto de la marca.

Este mensaje contendrá una solicitud o requerimiento para que el usuario desprevenido realice alguna acción, como comprar un producto a un precio con descuento, verificar su información personal o hacerse pasar por una solicitud de soporte técnico para obtener información de inicio de sesión.

Otras formas de ataques de suplantación de marca pueden ser más creativas. Por ejemplo, los actores maliciosos pueden publicar un anuncio de trabajo falso en un portal de empleo, haciéndose pasar por la marca que busca un empleado. A continuación, pueden robar los currículos de los candidatos o pedirles sus identificaciones personales con fines de ingeniería social.

Otra forma común de este tipo de fraude en línea se conoce como “malvertising”. El suplantador falsifica un anuncio o un dominio legítimo para que aparezca en los resultados de los motores de búsqueda.

Los más expertos pueden incluso llegar a parecer que utilizan una URL oficial de esa marca o, al menos, falsificar el sitio web de la marca original dentro del fragmento del anuncio.

A continuación, redirigen al usuario a un sitio de phishing que se parece lo más posible al sitio original para robar su nombre de usuario y contraseña, la información de su tarjeta de crédito o simplemente su dinero a través de una compra falsa (especialmente en el caso de las empresas de comercio electrónico).

¿Cuál es la magnitud y el coste de la suplantación de identidad?

La suplantación de identidad es una forma considerable de phishing que está creciendo rápidamente, ya que es especialmente rentable. De hecho, casi la mitad (35%) de los consumidores caen presa de este tipo de estafas, basándose en la facilidad de hacer clic en enlaces de sus marcas favoritas.

Sin embargo, este tipo de fraude también es increíblemente perjudicial para una empresa, ya que más de la mitad (52%) de las mismas personas que acaban comprando un producto falso pierden cierta confianza en la marca.

Según la Comisión Federal de Comercio (FTC), el coste de las estafas por suplantación de identidad de marca alcanzó los 2 millones de dólares en 2021, con un aumento reportado del 85% respecto a 2020.

Estos ataques siguieron aumentando en los años posteriores, así como los ataques contra marcas de ropa populares como Adidas, Nike, Puma, Fila, Yahoo e incluso la Organización Mundial de la Salud.

Sin embargo, según algunas fuentes, las marcas más atacadas son Microsoft, Google, Apple y Wells Fargo, y las dos primeras de la lista abarcan el 50% del número total de ataques de suplantación de identidad.

Cómo proteger una marca de la suplantación de identidad

No hay mucho que las marcas puedan hacer para protegerse de la suplantación de identidad, ya que caer presa de estos esquemas recae en gran medida sobre los hombros de sus clientes.

Crear y suplantar un dominio es extremadamente sencillo, ya que no existen normas que impidan el registro de un nombre de dominio casi idéntico al de la marca original.

Comprar todas las permutaciones de un dominio es muy poco práctico y demasiado costoso, incluso para las grandes marcas.

Además, los hackers menos experimentados tienen a su disposición tutoriales, kits e incluso soluciones de phishing como servicio.

Un enfoque muy básico consiste en asegurarse de que el sitio web original sea lo más seguro y legítimo posible para dificultar un poco la vida a los posibles suplantadores.

Asegurar un dominio con un certificado EV-SSL/TLS, por ejemplo, es un estándar de la industria para garantizar que los dominios no certificados puedan ser detectados inmediatamente como falsos o fraudulentos – al menos por los usuarios más atentos.

La configuración de registros de autenticación, notificación y conformidad de mensajes basados en el dominio (DMARC) en un sistema de nombres de dominio también impide que usuarios no autorizados envíen correos electrónicos en nombre del dominio oficial de la marca.

La implantación de indicadores de marca de identificación de mensajes (BIMI) y certificados de marca verificada (VMC) también ayuda a establecer la identidad de la marca original en los correos electrónicos salientes.

Apple y Google utilizan este método para mostrar sus logotipos verificados en todos sus mensajes, lo que puede mitigar el riesgo, pero no puede detenerlo por completo, ya que siempre depende del nivel de atención del usuario final que abre ese correo electrónico.

¿Qué soluciones de terceros existen?

Algunos proveedores ofrecen otras soluciones específicas para mitigar el riesgo de suplantación de marca por medios alternativos. La primera consiste en emplear un servicio de web scraping de inteligencia artificial para buscar constantemente en la red posibles suplantadores de identidad.

Esta es la solución ofrecida por Mimecast, e incluye un análisis DMARC constante, el uso de algoritmos que escanean la web 24 horas al día, 7 días a la semana, para detectar actividades sospechosas, y una notificación automática enviada a los ISP para eliminar a los suplantadores maliciosos.

Otro ejemplo es el de Memcyco, que se centra en la “ventana de exposición” en la que los clientes son más vulnerables a los ataques, desde que un sitio falso está activo hasta que es eliminado.

La solución funciona en tiempo real advirtiendo a los clientes mediante alertas rojas, haciéndoles saber que el sitio falso es un impostor.

El objetivo es impedir que el cliente actúe en el sitio web falso durante el tiempo crítico necesario para que el proveedor de servicios de Internet actúe y retire el sitio falso (lo que, en algunos casos, puede requerir semanas o meses).

Otros servicios como Darktrace también se centran en los usuarios finales, pero desde un ángulo diferente. Su solución analiza el comportamiento de los usuarios y da la alarma cada vez que aparece algo sospechoso.

Por ejemplo, cuando detecta un patrón anormal, como un usuario que envía una información atípica o responde a un correo electrónico desconocido, puede alertar automáticamente al equipo de seguridad para que tome medidas inmediatas.

Temas relacionados

Claudio Buttice

El Dr. Claudio Butticè, Doctor en Farmacia, es un antiguo Director de Farmacia que trabajó para varios grandes hospitales públicos del sur de Italia, así como para la ONG humanitaria Emergency. Actualmente es autor de libros que ha escrito sobre temas como medicina, tecnología, pobreza en el mundo, derechos humanos y ciencia para editoriales como SAGE Publishing, Bloomsbury Publishing y Mission Bell Media. Sus últimos libros son "Universal Health Care" (2019) y "What You Need to Know about Headaches" (2022).Analista de datos y también periodista freelance, muchos de sus artículos se han publicado en revistas como Cracked, The Elephant, Digital…