En enero de 2024, un empleado de finanzas de Arup en Hong Kong recibió un correo del CFO de la compañía solicitando una transacción confidencial urgente. El empleado sospechó que era phishing. Luego lo invitaron a una videollamada. En pantalla estaban el CFO y varios colegas reconocibles, con sus voces, sus caras, su manera de hablar. El empleado ejecutó 15 transferencias a cinco cuentas bancarias en Hong Kong. Total: 25.6 millones de dólares. Cuando llamó a la sede central en Londres para confirmar, descubrió que nadie sabía nada. Cada persona en esa videollamada había sido generada por IA en tiempo real.

El caso Arup no fue un hackeo técnico. Rob Greig, CIO de la compañía, lo describió con precisión: "ninguno de nuestros sistemas fue comprometido, no hubo datos afectados." Fue ingeniería social potenciada por IA. Y es el ejemplo más claro disponible de lo que el spoofing representa hoy, no un truco tosco de falsificación, sino la construcción de una identidad digital alternativa suficientemente convincente para que el objetivo tome decisiones reales basadas en ella.

El spoofing es la suplantación de una identidad legítima para engañar a una persona, sistema o red. Lo que lo hace peligroso no es la técnica individual, sino que funciona como el primer eslabón de cadenas de ataque más complejas. Un email spoofing que pasa los filtros prepara el terreno para un BEC. Un DNS spoofing silencioso redirige credenciales hacia un servidor del atacante. Un caller ID spoofed convence a RRHH de cambiar datos bancarios. Cada tipo de spoofing es a la vez un ataque y una puerta hacia el siguiente.

La taxonomía del atacante: cómo funciona cada variante

1 - Email spoofing:
Este el más prevalente porque el protocolo SMTP original no fue diseñado con autenticación del remitente. Un atacante puede fabricar un correo que aparezca originado desde cualquier dominio si el servidor de destino no verifica los registros SPF, DKIM y DMARC. La variante más efectiva usa dominios look-alike registrados específicamente para el objetivo, como empresa-corp.com en lugar de empresacorp.com, con diferencias de un carácter que pasan desapercibidas en una lectura rápida.

2 - caller ID spoofing:
Este explota las debilidades del sistema de telefonía tradicional para mostrar cualquier número de origen en la pantalla del receptor. Los atacantes lo redirigen para suplantar números internos de empresas, entidades bancarias o agencias gubernamentales. La IA de síntesis de voz añade la capa que cierra el engaño, el número correcto más la voz correcta es una combinación que pocos empleados cuestionarán.

3 - DNS spoofing:
Este es un tipo de envenenamiento de caché DNS que opera de forma completamente invisible para el usuario. El atacante inserta registros DNS falsos que redirigen el tráfico de un dominio legítimo hacia infraestructura bajo su control. El usuario escribe la URL correcta, el DNS resuelve hacia una IP maliciosa, y el usuario termina en una copia exacta del sitio original. Las credenciales que introduce van directamente al atacante.

4 - web spoofing:
El atacante construye réplicas de sitios legítimos con niveles de detalle que superan ampliamente las páginas de phishing genéricas. Los kits modernos copian automáticamente HTML, CSS, imágenes y certificados SSL de sitios objetivo, generando páginas que actualizan su contenido en tiempo real desde el sitio real para mantener la apariencia de legitimidad.

5 - ARP spoofing:
Opera en redes locales enviando mensajes ARP falsificados para asociar la dirección MAC del atacante con la IP de otro dispositivo, posicionándose como interceptor del tráfico. Es el mecanismo técnico detrás de muchos ataques MITM en redes corporativas y en redes Wi-Fi públicas comprometidas.

6 - GPS spoofing:
Transmite señales GPS falsas más fuertes que las legítimas para desviar vehículos, drones y sistemas de logística. Su uso documentado incluye operaciones de inteligencia en zonas de conflicto y ataques a cadenas de suministro que dependen de localización.

Cómo se encadenan los ataques: del spoofing al fraude mayor

Lo que los artículos de definición omiten sistemáticamente es que el spoofing rara vez es el objetivo final. Es el acceso. El fraude BEC casi siempre comienza con email spoofing o con el compromiso de una cuenta real. El adversario necesita que su primer contacto pase los filtros y la credibilidad humana: el spoofing lo garantiza.

La cadena típica de un ataque de fraude de identidad digital tiene cuatro fases:

En la primera, el atacante estudia el organigrama, los patrones de comunicación, los proveedores habituales y los flujos de aprobación financiera.

En la segunda, registra dominios look-alike, configura infraestructura de email que pase validaciones o compromete DNS.

En la tercera, ejecuta el spoofing: un correo, una llamada o una videollamada que parecen legítimos generan la acción deseada. En la cuarta viene la monetización: una transferencia ejecutada, credenciales capturadas o acceso interno establecido.

El 46% de las empresas reportó haber experimentado fraude o robo de identidad digital en los 24 meses anteriores, según la encuesta global de crímenes económicos de PwC. La mayoría de esos incidentes comenzaron con alguna forma de spoofing como vector de entrada.

Por qué los controles básicos no son suficientes

La respuesta estándar al email spoofing es implementar SPF, DKIM y DMARC. Es el control correcto y necesario. Pero tiene un límite conocido que los atacantes explotan activamente.

SPF, DKIM y DMARC protegen contra la falsificación exacta del dominio. No protegen contra dominios look-alike registrados específicamente para el ataque. Un email de empresa-c0rp.com con registros SPF y DKIM perfectamente configurados pasa todos los filtros de autenticación y llega limpio a la bandeja de entrada del receptor.

La detección comportamental es lo que cierra esa brecha: analizar si el remitente es un contacto conocido, si el patrón de la solicitud es consistente con comunicaciones previas, si el timing es inusual y si hay señales de urgencia artificial. El caso Arup lo ilustra con precisión: el empleado sospechó del correo inicial, pero la videollamada con rostros y voces reconocibles venció su escepticismo. El control que falló no fue técnico: fue la ausencia de un protocolo de verificación fuera de banda para transacciones de alto valor.

Los controles específicos por tipo de amenaza

Contra email spoofing:

• Implementar DMARC en modo reject, no solo en modo monitor. La mayoría de organizaciones se quedan en monitoreo sin completar el paso que realmente bloquea los ataques.
• Monitorear dominios look-alike mediante servicios de Digital Footprint Intelligence para detectar registros maliciosos antes de que sean usados.
• Activar etiquetas visuales en clientes de correo (Outlook, Gmail) que marquen mensajes externos, eliminando la ambigüedad para el usuario final.
• Configurar alertas para correos con display names que coincidan con ejecutivos internos pero provengan de dominios externos.

Contra caller ID spoofing y deepfakes de voz y video:

• Establecer un protocolo de verificación fuera de banda para cualquier solicitud financiera: llamar de vuelta al número conocido, nunca al número que inició el contacto.
• Implementar palabras o frases de verificación preacordadas para transacciones de alto valor, especialmente entre equipos de finanzas y ejecutivos.
• En videollamadas sospechosas, solicitar al interlocutor que gire la cabeza de perfil o cambie la iluminación: los deepfakes en tiempo real todavía tienen dificultades con ángulos no frontales.
• Exigir aprobación múltiple para transferencias que superen umbrales definidos, independientemente de quién las autorice verbalmente.

Contra DNS spoofing:

• Implementar DNSSEC para añadir validación criptográfica a las respuestas DNS, impidiendo que registros falsificados sean aceptados.
• Usar resolvedores DNS con filtrado de reputación que bloqueen dominios maliciosos recién registrados antes de que alcancen a los usuarios.
• Monitorear cambios en los registros DNS propios con alertas en tiempo real para detectar modificaciones no autorizadas.

Contra web spoofing:

• Verificar siempre la URL completa antes de introducir credenciales, sin confiar en la apariencia visual del sitio.
• Usar gestores de contraseñas que no autocompletan en dominios que no coinciden exactamente con el registrado, eliminando el riesgo de introducir credenciales en sitios falsificados.
• Implementar Content Security Policy (CSP) en los sitios propios para reducir la capacidad de los atacantes de replicarlos con comportamiento dinámico.

Contra ARP spoofing:

• Segmentar la red con VLAN para limitar el radio de acción de un atacante que haya ejecutado ARP spoofing exitosamente.
• Implementar Dynamic ARP Inspection en switches gestionados para validar los mensajes ARP antes de procesarlos.
• En redes Wi-Fi no controladas, la VPN es el control que neutraliza la capacidad de interceptación incluso después de un ARP spoofing exitoso.

La identidad digital como superficie de ataque permanente

El spoofing no va a desaparecer porque explota algo que no es un bug sino una característica: la confianza que depositamos en los identificadores digitales, ya sean correos, números de teléfono, URLs o rostros en pantalla. Esa confianza fue diseñada antes de que los atacantes tuvieran las herramientas para fabricar identidades con la fidelidad que tienen hoy.

La IA generativa ha colapsado el costo de producir spoofing convincente. Lo que en 2019 requería conocimientos especializados para sintetizar una voz, en 2024 requería acceso a modelos disponibles comercialmente y unos pocos minutos de audio de muestra. El caso Arup fue el punto de inflexión que demostró que la videollamada grupal en tiempo real ya no es un indicador confiable de legitimidad.

La defensa efectiva combina controles técnicos que eliminan los vectores más predecibles, procesos de verificación que no pueden ser eludidos por la suplantación de identidad, y una cultura organizacional donde cuestionar una solicitud urgente no es insubordinación sino el comportamiento esperado.

¿Qué porcentaje del tráfico de correo entrante en tu organización tiene DMARC verificado en modo reject? Si la respuesta es "no lo sé", esa es la brecha por donde el siguiente intento de spoofing va a entrar.