Qué es la suplantación de IP y cómo protegerse contra ella

El spoofing es un tipo común de ciberataque en el que los hackers se hacen pasar por otro dispositivo, cliente o usuario, normalmente para ocultar el origen del ataque. Este disfraz da cobertura a los hackers para acceder a los sistemas, todo ello con el objetivo de realizar conductas maliciosas como interceptar datos o lanzar un ataque DDoS para interrumpir el tráfico normal.

Existen tres tipos de ataques de suplantación de identidad:

• DNS Suplantación de servidores: Altera un servidor DNS para que apunte un nombre de dominio a una dirección IP diferente, normalmente con la intención de propagar un virus.

• Suplantación de ARP: Conecta a los hackers con una dirección IP a través de un mensaje falsificado del protocolo de resolución de direcciones (ARP), normalmente para permitir ataques de denegación de servicio (DoS) y man-in-the-middle.
• Suplantación de IP: Disfraza una dirección IP para obtener acceso como un sistema de confianza, normalmente para permitir un ataque DDoS o redirigir comunicaciones.

El más común de estos ataques es la suplantación de IP. Este tipo de suplantación ofrece a los hackers protección en forma de pasar desapercibidos al permitirles aparecer como procedentes de otra dirección IP.

Para entender cómo funciona la suplantación de IP, primero es esencial comprender el papel que desempeñan las direcciones IP en las comunicaciones por Internet.

Los datos se comparten en Internet a través de paquetes, cada uno de los cuales contiene información sobre su procedencia. Uno de los identificadores más importantes que requiere este paquete es una dirección IP, que incluye la dirección IP de origen y la dirección IP de destino. Al igual que las direcciones físicas, las direcciones IP se utilizan como identificadores y ayudan a los sistemas a determinar si la información procede o no de una fuente de confianza. Más allá de compartir datos, las direcciones IP también se utilizan para identificar las fuentes de tráfico hacia un sistema o servidor.

La suplantación de IP se produce cuando un hacker manipula su paquete para cambiar su dirección IP de origen. Cuando se hace correctamente, este cambio puede pasar fácilmente desapercibido ya que el cambio se produce antes de que el hacker interactúe con un sistema o red controlada. Piense en esto como una forma de disfraz, ya que la suplantación de IP permite a los hackers aparecer como si fueran otra persona.

Una vez que un pirata informático ha suplantado con éxito una dirección IP, puede acceder a sistemas controlados e interceptar comunicaciones destinadas a otra persona (es decir, la persona o el dispositivo cuya dirección IP está suplantando).

La suplantación de IP es un tipo de ataque peligroso porque es muy difícil de detectar. Esto se debe a que la suplantación de IP se produce antes de que un hacker intente acceder a un sistema o comunicarse con una víctima desconocida.

Considere las siguientes implicaciones que puede tener esta difícil detección:

• Convencer fácilmente a la gente para que comparta información sensible con una parte ilegítima. Aunque todos hemos sido entrenados para buscar señales de ataques de phishing, un buen ataque de suplantación de IP no mostrará ninguna de esas señales. En su lugar, se limitará a redirigir las comunicaciones destinadas a una parte legítima a un hacker que ha suplantado la dirección IP de esa persona o dispositivo.
• Permitir que los hackers permanezcan ocultos durante largos periodos. Normalmente, un ataque a un sistema seguro dispara todo tipo de alertas y, aunque el daño ya está hecho, los equipos de seguridad pueden al menos empezar a atajarlo. La suplantación de IP permite a los hackers acceder a los sistemas sin que nadie lo reconozca, ya que están dentro bajo la apariencia de una fuente de confianza. Como resultado, pueden hacer más daño durante mucho tiempo antes de que se ponga en marcha cualquier tipo de remedio.
• Eludir cortafuegos y otros bloqueadores para cerrar sistemas. A gran escala, la suplantación de IP permite a múltiples piratas informáticos eludir cortafuegos y otros bloqueadores de seguridad con mayor facilidad, con la intención de inundar los sistemas para causar interrupciones o apagar los servicios por completo. Este método puede causar enormes estragos, y su gran escala lo hace mucho más difícil de controlar.

La suplantación de IP permite comúnmente tres tipos diferentes de ataques:

En qué consiste: Un ataque DDoS pretende ralentizar o colapsar un servidor saturándolo de tráfico. A diferencia de muchos otros ciberataques, los hackers no necesitan violar el acceso a sistemas seguros para tener éxito. En su lugar, lanzan un ataque coordinado contra un servidor para que los usuarios legítimos no puedan acceder a él. A menudo, este enfoque pretende servir de distracción para otro tipo de ataques.

Cómo lo permite la suplantación de IP: La suplantación de IP permite a los hackers coordinar un ataque DDoS que oculte su identidad a los agentes de seguridad y a las fuerzas de seguridad. En concreto, pueden inundar cualquier servidor para derribarlo mientras se disfrazan de usuarios inocentes, lo que dificulta a cualquiera determinar el origen del ataque o incluso distinguir a quienes participan en él de los usuarios legítimos. Y cuanto más difícil sea identificar la fuente, más difícil será localizar cualquier otra actividad maliciosa para la que el ataque DDoS pueda estar sirviendo de distracción.

Ejemplo de la vida real: GitHub fue víctima de este tipo de ataque DDoS en 2018, un esfuerzo coordinado que hizo caer su servicio durante casi 20 minutos. El ataque fue tan grande que tiene pocos paralelos; sin embargo, GitHub consiguió controlarlo redirigiendo el tráfico a través de un socio intermediario y depurando los datos para bloquear a las partes maliciosas.

Qué es: Las botnets son un grupo de dispositivos infectados con malware y controlados por hackers, normalmente sin que los propietarios de esos dispositivos tengan ni idea. Los hackers pueden controlar estas botnets como un grupo, lo que les da el apodo de "ejército zombi". Las botnets se suelen utilizar para ataques de spam o DDoS e incluso pueden amenazar a las empresas de un ataque inminente que se puede detener pagando un rescate. Los piratas informáticos también pueden utilizar botnets para rastrear y robar información de las personas cuyos dispositivos han infectado.

Cómo lo permite la suplantación de IP: La suplantación de IP permite que los ataques de botnet se produzcan de principio a fin por muchas razones. En primer lugar, como la suplantación de IP es difícil de detectar, es probable que los propietarios de los dispositivos no se percaten de ninguna actividad maliciosa. En segundo lugar, la suplantación de IP permite a los hackers burlar rápidamente las medidas de seguridad de los servicios y sentarse a recopilar información sin que nadie se dé cuenta. Por último, la suplantación de IP ayuda a los piratas informáticos a evitar ser descubiertos una vez completado el ataque.

Ejemplo de la vida real: GameOver Zeus es un infame ataque de botnet en 2011 y resultó en más de 100 millones de dólares de pérdidas. En este ataque, los hackers tomaron el control de los dispositivos de los usuarios para capturar credenciales bancarias. A continuación, utilizaron esa información para iniciar o redirigir transferencias bancarias, todas ellas aparentemente legítimas gracias al uso de la suplantación de IP.

En qué consiste: Un ataque man in the middle se produce cuando un tercero intercepta comunicaciones de confianza entre otras dos personas o dispositivos. En el mundo de las comunicaciones digitales, las medidas de seguridad como los certificados y las direcciones IP están pensadas para autenticar la identidad de una persona o dispositivo. Con un ataque de intermediario, alguien asume otra identidad para interceptar comunicaciones destinadas a otra persona. Una vez que los hackers interceptan esta información, pueden utilizarla ellos mismos o incluso alterar la comunicación original del destinatario.

Cómo lo permite la suplantación de IP: La suplantación de IP permite a los hackers convertirse en un "hombre en el medio" al permitirles asumir la identidad de otro usuario, dispositivo o servicio. De este modo, pueden interceptar fácilmente las comunicaciones sin que el remitente lo sepa o incluso enviar información a un destinatario inocente haciéndose pasar por otra persona (por ejemplo, un correo electrónico de su banco pidiéndole información sensible).

Un ejemplo real: En 2015, Europol desarticuló un ataque man in the middle a escala continental en el que los hackers interceptaron solicitudes de pago entre empresas y sus clientes, lo que provocó daños por valor de 6 millones de euros. En concreto, los piratas utilizaron la suplantación de IP para acceder a las cuentas de correo electrónico corporativas de las empresas. A continuación, rastreaban las comunicaciones e interceptaban las solicitudes de pago de los clientes para que estos las enviaran a cuentas bancarias controladas por los hackers.

Aunque detectar un ataque de suplantación de IP en una fase temprana puede resultar complicado, hay varias medidas que puede tomar para proteger a su organización de los peligros de la suplantación de IP.

El filtrado de paquetes examina los paquetes IP de cada dispositivo o usuario que intenta conectarse a una red (puede ser de entrada para supervisar las comunicaciones entrantes o de salida para supervisar las comunicaciones salientes). Esta práctica examina con especial atención la cabecera de cada paquete IP, que contiene la dirección IP, para confirmar que coincide con la fuente y que todo parece correcto. Si algo parece ir mal, el paquete no podrá completar la conexión como estaba previsto.

La infraestructura de clave pública (PKI) es un método común para autenticar usuarios y dispositivos que se basa en un par de claves pública y privada. La clave privada puede cifrar las comunicaciones y verificar la autenticidad de un usuario o dispositivo, mientras que la pública puede descifrar esas comunicaciones.

Es importante destacar que estos métodos de autenticación utilizan un cifrado asimétrico, lo que significa que cada clave es diferente de la otra en su par. Este método hace que sea extremadamente difícil para los hackers determinar la clave privada y es muy eficaz para prevenir los tipos comunes de ataques de suplantación de IP, como el ataque del hombre en el medio.

La supervisión de la red es la práctica de seguir de cerca la actividad de la red para detectar cualquier cosa sospechosa. Aunque esto puede resultar un poco difícil a la hora de evitar que los piratas informáticos accedan a través de la suplantación de IP, ya que este enfoque debería disimular su presencia, puede ayudar a detectar cualquier actividad maliciosa con antelación para detener el flujo de daños. Por otra parte, la instalación de un cortafuegos de red es otra forma de autenticar las direcciones IP y filtrar cualquier tráfico que parezca sospechoso y potencialmente sujeto a suplantación de IP.

Por último, la formación en seguridad para los usuarios legítimos de la red también puede ayudar a proteger contra los daños debidos a la suplantación de IP. Por ejemplo, esto podría implicar instruir a los usuarios para que nunca respondan a correos electrónicos que les pidan hacer clic en un enlace para cambiar su información de inicio de sesión. En su lugar, deben ir directamente al sitio web del remitente para realizar cualquier acción. Aunque este tipo de formación puede ayudar, es importante tener en cuenta que no es más que otra capa de protección contra los daños. Esta formación no es una táctica de prevención, ya que en el momento en que esta formación resulta útil, un pirata informático ya ha dirigido con éxito un esfuerzo de suplantación de IP y ha obtenido acceso a determinados sistemas.