El 'spoofing' se ha convertido en uno de los máximos peligros para los usuarios en materia de ciberseguirdad, ya que puede llevar al robo de información sensible como datos bancarios o contraseñas. Por ello, conviene conocer en qué consiste este tipo de ciberataque y las maneras que tenemos de prevenirlo, en un creciente contexto de estafas y robos online que exponen nuestros datos ante 'hackers'.

'Spoofing' se utiliza para referirse a todos esos casos de ciberataque que conllevan suplantación de identidad para cometer fines ilícitos. El término deriva del inglés 'spoof', que significa suplantación. Esta actividad se realiza por correo electrónico, llamada telefónica o SMS, por lo que debemos estar muy atentos a las comunicaciones que recibimos por estos canales.

Entidades y empresas como la Tesorería General de la Seguridad Social alertan de poder identificar un caso de 'spoofing' si se solicitan datos personales por vía telefónica o SMS, una práctica que ellos no llevan a cabo.

👁️El "spoofing" del identificador de llamadas es una técnica utilizada para simular ser un número de tu confianza, en llamadas y en SMS, para hacerte confiar y engañarte.
📲La Seguridad Social nunca va a pedirte datos personales por teléfono o mediante SMS. pic.twitter.com/ifhkQTSv7A

— Tesorería General de la Seguridad Social (@info_TGSS) May 25, 2026

Cómo actúa el 'spoofing'

La idea principal tras este tipo de ataque es hacerse pasar por alguien para poder conseguir una información privilegiada. En la mayoría de los casos, los atacantes se hacen pasar por una empresa o entidad con la que la víctima pueda tener algún tipo de relación, como compañías de telefonia móvil o la Seguridad Social para pedirle al usuario datos que puedan comprometerle. Es decir, intentan generar algún tipo de vínculo con el usuario suplantando la identidad de alguien en quien se pueda confiar para obtener algo de ellos. 

No solo empresas, sino que los cibercriminales pueden suplantar la identidad de famosos o personas reconocibles para abusar de la confianza de los usuarios y aprovecharse de un estatus superior para solicitar información personal o traspasos monetarios.

En muchas ocasiones, los datos no se piden directamente por teléfono o correo electrónico, sino que se insta a las personas a entrar en una página web determinada y rellenar los datos requeridos, para generar una situación que pueda parecer más fiable.

Las páginas webs a las que remiten estos estafadores suelen prometer algún tipo de oferta que acaba pronto, o la necesidad urgente de registrarse para obtener beneficios. De esta manera, estás webs falsificadas para 'pharming' hacen que les regales tus datos personales para que lo usen con fines poco éticos. Por ejemplo, si se solicita indicar el número de la tarjeta de crédito se puede proporcionar el acceso a la cuenta bancaria para que los ciberacriminales tengan control sobre nuestro dinero.

Existen muchos otros tipos de 'spoofing' a parte del telefónico, SMS o por correo electrónico, como; pedir conectarse a una IP determinada y acceder a páginas ficticias; la suplantación de identidad por DNS o GPS; o el acceso a datos biométricos que puedan permitir aceptar condiciones o mensajes enviados por los estafadores.

Cómo identificar y evitar el 'spoofing'

Una de las claves para protegerse ante el 'spoofing' es entender que lo mensajes están construidos de manera que sea casi imposible distinguirlos de un mensaje oficial. Por ello, la manera más efectiva de evitarlo es la desconfianza, sobre todo de aquellos mensajes que nos pidan información personal y datos comprometidos. Los bancos, por ejemplo, nunca suelen pedir información de este tipo por teléfono o correo electrónico, así que conviene decir que se realizará dicho trámite indicado en una sucursal.

Si el contacto se hace por teléfono, debemos pedir que la otra persona se identifique, y evitar que use generalizaciones como "tu entidad bancaria" o "tu compañía telefónica", y si se niegan a responder podemos estar ante un caso de 'spoofing'. Además, si se nos ofrece algún tipo de oferta especial o por tiempo limitado debemos asegurarnos que dicha oferta existe, haciendo una doble verificación. Si no tenemos acceso a un ordenador en ese momento es mejor responder que no se les puede atender en ese momento.

Cuando los mensajes sospechosos incluyen un enlace debemos desconfiar también. Es muy extraño que los bancos o compañías proporcionen enlaces que dirijan a una página donde introducir datos bancarios, por lo que hay que hacer también una doble verificación en estos casos. Una forma para ello es buscar el enlace al que queremos acceder y comparar la URL con el enlace proporcionado en el mensaje, para comprobar si éste es real o es una estafa.

Por otro lado, muchos de estos ciberataques suelen pedir cierta urgencia o prisa a la hora de proporcionar los datos, lo que nos puede llevar a desconfiar de ellos. Es importante siempre desconfiar antes de realizar un pago, sobre todo si éste se pide de forma inmediata. 

Otro de los indicativos de un mensaje fraudulento es la forma en la que están escritos, a lo que se debe prestar especial atención. Por ejemplo, cuando se está esperando un paquete y se recibe un supuesto aviso de Correos o cuando llega un aviso de multa de la DGT y se es un conductor habitual. En estos casos lo mejor es comparar los mensajes con otros reales que se hayan recibido de fuentes oficiales o llamar directamente al teléfono oficial de la compañía para comprobar la veracidad información recibida.

Incluso aplicando todos estos consejos, es probable que alguna vez un mensaje sospechoso de 'spoofing' pueda alcanzarlos, por lo que es necesario conocer cómo actúa y cómo identificarlo para proteger nuestros datos personales.