La digitalización también tiene sus inconvenientes. Con el aumento de las redes, cada vez son más los ciberdelincuentes que intentan acceder a sus datos sensibles o dañar su sistema mediante un ataque. Para ello , los hackers utilizan varios métodos para ocultar su identidad. Uno de ellos es el llamado IP spoofing, que explota una debilidad del sistema en el protocolo TCP/IP. En este artículo, explicamos cómo funciona exactamente la suplantación de IP y cuál es la mejor forma de protegerse de este tipo de ataques.
- Con la ayuda de la suplantación de IP, los hackers pueden paralizar redes informáticas enteras o eludir fácilmente la autenticación basada en IP.
- La suplantación de IP en su forma original ya era un tema en los círculos de expertos en los años ochenta.
- Las características de seguridad mejoradas de IPv6 hacen mucho más difíciles los ataques de suplantación.
Índice de contenidos
¿Qué es la suplantación de IP y dónde se utiliza?
Con la suplantación de IP, los hackers aprovechan las debilidades del sistema en la familia de protocolos TCP/IP para disfrazar su propia IP y enviar paquetes de datos desde una dirección falsificada o infiltrarse en sistemas informáticos ajenos. Para ello, hacen creer al destinatario que los datos proceden de una fuente fiable.
Básicamente, se distinguen dos tipos de IP spoofing:
- En el «spoofing no ciego», el atacante se encuentra en la misma subred que la víctima y utiliza la dirección IP robada para interceptar o manipular el tráfico de datos entre dos o más ordenadores (ataques «man-in-the-middle»).
- En cambio, en el «blind spoofing«, el atacante se encuentra fuera de la subred. Desde allí, envía paquetes de datos a la víctima para, posteriormente, poder sacar conclusiones sobre los números de secuencia a partir de los acuses de recibo.
En el contexto de los ataques Dos y DDoS, también se utiliza cada vez con más frecuencia la denominada inundación SYN. Con la ayuda de mensajes ACK «malversados», se desencadenan deliberadamente bloqueos de servicio, que luego conducen a una sobrecarga de componentes individuales de una infraestructura de TI .
Conviene saberlo: La dirección IP también puede enmascararse a través de un servidor proxy, pero éste sólo reenvía los paquetes. Esto significa que incluso con direcciones enmascaradas, los hackers pueden ser identificados a partir de los archivos de registro del servidor proxy.
¿Cómo se realiza técnicamente la falsificación de la dirección IP?
Cada paquete IP contiene en su cabecera una dirección de origen y otra de destino, para las que todavía hoy no existe protección suficiente contra la manipulación. Esto significa que ni se cifran ni se comprueba que sean correctas. En principio, el destinatario debe confiar ciegamente en que los paquetes proceden realmente de la dirección especificada.
Con un simple ataque de suplantación de identidad, un pirata informático no obtiene acceso al tráfico de datosen sí. Sólo puede cambiar la entrada de la dirección del paquete correspondiente, mientras que la dirección IP real sigue siendo la misma. Por tanto, la respuesta a los datos enviados no llega directamente al atacante, sino que se transmite al ordenador con la dirección IP desviada.
Porsu parte, todos los paquetes TCP están marcados con un número de secuencia único, que se utiliza para garantizar una transmisión completa y sin duplicados. Sin embargo, una vez que el pirata informático se ha enganchado a la ruta de comunicación con una identidad falsa («secuestro de sesión»), puede predecir con relativa facilidad los números de secuencia venideros y actuar así en segundo plano a su antojo.
Además, los participantes sólo se autentican mutuamente al principio de la comunicación. Una vez establecida la conexión, se asume automáticamente que los parámetros de la otra parte ya no cambian.
Es bueno saberlo: Los ordenadores cuya dirección IP es tomada pueden ser ellos mismos el objetivo de un ataque o pueden ser utilizados en una red como instrumento para un ataque. En ambos casos, el propio pirata informático permanece desconocido.
¿Cómo puedo protegerme contra la suplantación de IP?
La suplantación de IPfunciona desde cualquier lugar, el ordenador atacado sólo necesita tener conexión a Internet. Por esta razón, la mayoría de las contramedidas se centran principalmente en las configuraciones de seguridad, las autorizaciones y los controles de acceso.
El problema lleva varias décadas en la mente de especialistas informáticos y responsables de seguridad. El mero hecho de que los ataques DoS y DDoS puedan llevarse a cabo con tanta facilidad convierte a la suplantación de IP en uno de los métodos delictivos más populares en Internet. Por ello, en el pasado han sido frecuentes los llamamientos a los proveedores de Internet para que filtren específicamente el tráfico de datos y registren los paquetes correspondientes, incluidas las direcciones de origen, fuera de la red y luego los descarten.
Lo que parece tan sencillo no sólo supone un esfuerzo considerable, sino también una cuestión de costes. Por estas razones, nadie ha querido ocuparse realmente de la realización hasta ahora.
3.1 IPv6 acaba con los «spoofers
El protocolo IPv6 revisado ofrece características de seguridad mejoradas en comparación con su predecesor IPv4. Entre ellas figuran, por ejemplo, nuevas técnicas (opcionales) de cifrado y procedimientos de autenticación que harán que la suplantación de IP desaparezca por completo en un futuro próximo. De momento, sin embargo, no todos los dispositivos de red comunes son compatibles con el nuevo protocolo. Además, es probable que el cambio lleve algún tiempo.
Por supuesto, esto no significa que estés indefenso ante los ataques de ofuscación. Para protegerse de los ataques de suplantación de IP, también puede actuar usted mismo y establecer las medidas de protección adecuadas:
- Una posible contramedida contra la suplantación de IP son los filtros de paquetes en su router o pasarela. Esto analiza los paquetes entrantes y descarta todos los que tienen la dirección de origen de un ordenador de dentro de la red. De este modo , los piratas informáticos no pueden falsificar la dirección de un ordenador interno desde el exterior. Por la misma razón, también debes filtrar las direcciones de los paquetes salientes y descartar todos aquellos cuya dirección de origen no esté dentro de la red.
- Porprincipio, no utilice métodos de autenticación basados en host y realice todos los métodos de inicio de sesión a través de conexiones cifradas. Esto no sólo evita los ataques de suplantación de identidad, sino que también aumenta los estándares de seguridad dentro de la red.
- Si es posible, sustituya todos los sistemas operativos, programas y dispositivos de red antiguos, ya que normalmente ya no cumplen las normas de seguridad actuales. Además de su susceptibilidad a la suplantación de IP, suelen tener otras numerosas vulnerabilidades de seguridad que los ciberdelincuentes podrían explotar.
Conviene saberlo: La mayoría de los cortafuegos actuales ya incorporan una herramienta anti-spoofing que aleatoriza los números de secuencia TCP. De este modo, predecir los números que vienen se hace mucho más difícil.