¿Qué es la suplantación de IP?
La suplantación de identidad del Protocolo de Internet ( IP ) es un tipo de ataque malicioso en el que el autor de la amenaza oculta la verdadera fuente de los paquetes IP para dificultar saber de dónde provienen. El atacante crea paquetes, cambiando la dirección IP de origen para hacerse pasar por un sistema informático diferente, disfrazar la identidad del remitente o ambas cosas. El campo de encabezado del paquete falsificado para la dirección IP de origen contiene una dirección que es diferente de la dirección IP de origen real.
La suplantación de IP es una técnica que los atacantes suelen utilizar para lanzar ataques de denegación de servicio distribuido ( DDoS ) y ataques de intermediario contra dispositivos específicos o las infraestructuras circundantes. El objetivo de los ataques DDoS es abrumar a un objetivo con tráfico mientras oculta la identidad de la fuente maliciosa, evitando los esfuerzos de mitigación.
El uso de direcciones IP falsificadas permite a los atacantes hacer lo siguiente:
- evitar que las autoridades descubran quiénes son y los impliquen en el ataque;
- evitar que los dispositivos objetivo envíen alertas sobre ataques en los que son participantes involuntarios; y
- omita los scripts de seguridad, los dispositivos y los servicios que bloquean las direcciones IP que se sabe que son fuentes de tráfico malicioso.
¿Cómo funciona la suplantación de IP?
El tráfico de Internet se envía en unidades denominadas paquetes . Los paquetes contienen encabezados IP que tienen información de enrutamiento sobre el paquete. Esta información incluye la dirección IP de origen y la dirección IP de destino. Piense en el paquete como un paquete en el correo y la dirección IP de origen como la dirección de retorno en ese paquete.
En la suplantación de direcciones IP, el atacante cambia la dirección de origen en el encabezado del paquete saliente. De esa forma, la computadora de destino ve el paquete como proveniente de una fuente confiable, como una computadora en una red empresarial, y lo acepta.
Los atacantes pueden generar encabezados de paquetes fraudulentos falsificando y aleatorizando continuamente la dirección de origen utilizando una herramienta. También pueden usar la dirección IP de otro dispositivo existente para que las respuestas al paquete falsificado vayan allí.
Para llevar a cabo la suplantación de IP, los atacantes necesitan lo siguiente:
- Una dirección IP confiable que el dispositivo receptor permitiría ingresar a la red. Existen numerosas formas de encontrar IP de dispositivos. Una forma es Shodan , una base de datos en línea de asignaciones de direcciones IP a dispositivos.
- La capacidad de interceptar el paquete y cambiar el encabezado IP real por el fraudulento. Se puede usar una herramienta de rastreo de red o un escaneo del Protocolo de resolución de direcciones ( ARP ) para interceptar paquetes en una red y recopilar direcciones IP para suplantar.
¿Cómo se puede detectar la suplantación de IP?
Los usuarios finales tienen dificultades para detectar la suplantación de IP. Estos ataques se llevan a cabo en la capa de red : la capa 3 del modelo de comunicaciones de interconexión de sistemas abiertos. De esa manera, no hay signos externos de manipulación. Las solicitudes de conexión falsificadas parecen solicitudes de conexión legítimas externamente.
Sin embargo, existen herramientas de monitoreo de red que las organizaciones pueden usar para realizar análisis de tráfico en los puntos finales de la red . El filtrado de paquetes es la forma principal de hacer esto.
Los sistemas de filtrado de paquetes suelen estar contenidos en enrutadores y cortafuegos . Detectan inconsistencias entre la dirección IP del paquete y las direcciones IP deseadas contenidas en las listas de control de acceso (ACL). También detectan paquetes fraudulentos.
El filtrado de entrada y el filtrado de salida son los dos tipos de filtrado de paquetes:
- El filtrado de ingreso examina los paquetes entrantes para ver si el encabezado IP de origen coincide con una dirección de origen permitida. Rechaza cualquiera que no coincida o que muestre otro comportamiento sospechoso. Este filtrado establece una ACL con direcciones IP de origen permitidas.
- El filtrado de salida examina las direcciones IP de salida que no coinciden con las de la red de la empresa. Este enfoque evita que los usuarios internos lancen un ataque de suplantación de IP.
¿Cómo se protege contra la falsificación de IP?
Los paquetes falsificados de IP no se pueden eliminar. Pero las organizaciones pueden tomar medidas para proteger sus redes y datos.
Aquí hay algunos pasos que las empresas pueden tomar:
- Utilice métodos sólidos de verificación y autenticación para todos los accesos remotos. No autentique dispositivos y usuarios únicamente en función de la dirección IP.
- Cree una ACL de direcciones IP.
- Utilice el filtrado de paquetes tanto de entrada como de salida.
- Use antivirus y otro software de seguridad que vigile la actividad sospechosa de la red.
- Utilice protocolos de encriptación a nivel de IP para proteger el tráfico que va y viene del servidor de la empresa. Este enfoque evita que los atacantes lean direcciones IP potenciales para suplantar.
- Mantenga el software de red actualizado y practique una buena administración de parches .
- Realización de un seguimiento continuo de la red.
Las reglas de filtrado de firewalls y enrutadores empresariales deben configurarse para rechazar paquetes que puedan ser falsificados. Eso incluiría paquetes con direcciones IP privadas que provienen de fuera del perímetro de la empresa. También cubre el tráfico que se origina dentro de la empresa pero falsifica una dirección externa como la dirección IP de origen. Esto evita que se inicien ataques de suplantación de identidad desde la red interna contra redes externas.
¿Cuáles son otros tipos de suplantación de identidad de red?
Hay varios tipos de suplantación de identidad, muchos de los cuales ocurren en redes basadas en IP. Pero la mayoría de estos no son suplantación de direcciones IP donde se cambia la dirección IP de un paquete.
Algunos otros tipos de suplantación de identidad que se ocupan de las direcciones IP incluyen los siguientes:
Protocolo de resolucion de DIRECCION. Un ataque de suplantación de identidad ARP ocurre cuando un atacante envía mensajes ARP falsos a través de una red de área local (LAN). Esto vincula la dirección de control de acceso a los medios del atacante con la dirección IP de una computadora o servidor legítimo en la red. Esto ocurre en la capa de enlace de datos en las tramas de Ethernet que llevan ese protocolo.
Sistema de nombres de dominio (DNS). Con un ataque de suplantación de DNS , el DNS registra y desvía el tráfico de Internet de los servidores legítimos hacia los falsos. El DNS asigna las direcciones IP a los sitios web y los usuarios acceden a los servidores DNS para llegar a los sitios web. Los hackers pueden inyectar entradas DNS falsas en los servidores DNS para que, cuando los usuarios accedan al servidor, se envíen a la ubicación que inyectó el hacker en lugar de a su destino previsto.
Otros métodos de suplantación de identidad abordan diferentes tipos de información y pueden no afectar las direcciones IP directamente o en absoluto. Algunos ejemplos incluyen lo siguiente:
Identificador de llamadas. La suplantación de identidad de la persona que llama cambia la identificación de la persona que llama para que parezca que la llamada proviene de una ubicación diferente. Esto sucede comúnmente cuando los vendedores telefónicos llaman a los objetivos usando el código de área del objetivo.
Correo electrónico. Los atacantes alteran los campos del encabezado del correo electrónico para indicar falsamente que el mensaje se originó en un remitente diferente. El correo electrónico falsificado suele ser parte de un ataque de phishing que contiene un enlace a una versión duplicada de un sitio web que parece ser el original. El sitio web falsificado intenta engañar a las víctimas objetivo para que entreguen las credenciales de inicio de sesión u otra información confidencial.
Sistema de posicionamiento global (GPS). La falsificación de GPS es cuando un usuario de un dispositivo móvil engaña al dispositivo para que muestre una ubicación que es diferente de su verdadera ubicación geográfica. Esto se puede hacer usando una aplicación de terceros que produce diferentes posiciones e información de navegación.
Servicio de mensajes cortos (SMS). La falsificación de mensajes de texto o SMS es cuando el número de teléfono del remitente se cambia a otro para ocultar el número de teléfono real. Los atacantes pueden incluir enlaces a sitios de phishing o descargas de malware en sus textos. Las organizaciones legítimas también pueden usar este método para reemplazar un número de teléfono difícil de recordar con una identificación alfanumérica fácil de recordar.
URL Con este tipo de suplantación de identidad, los actores maliciosos usan una URL casi idéntica que imita una real con algunos caracteres modificados. La intención es hacer que el objetivo vaya a una página web que imita la apariencia de una legítima y luego que ingrese información confidencial.
¿Cuáles son ejemplos de suplantación de IP?
Cuando los atacantes lanzan un ataque DDoS, usan direcciones IP falsificadas para sobrecargar los servidores de las computadoras con volúmenes de paquetes demasiado grandes para que los manejen las computadoras de destino. Las redes de bots se utilizan a menudo para enviar paquetes dispersos geográficamente. Las botnets grandes pueden contener decenas de miles de computadoras, cada una de las cuales puede suplantar varias direcciones IP de origen al mismo tiempo. Estos ataques automatizados son difíciles de rastrear.
Los ejemplos de cómo se ha utilizado la suplantación de identidad en los ataques DDoS incluyen los siguientes:
- GitHub. El 28 de febrero de 2018, la plataforma de alojamiento de código de GitHub se vio afectada por lo que en ese momento se creía que era el mayor ataque DDoS de la historia. Los atacantes falsificaron la dirección IP de GitHub y enviaron consultas a los servidores Memcached que a menudo se usan para acelerar los sitios controlados por bases de datos. Los servidores amplificaron los datos devueltos por esas solicitudes a GitHub en un factor de aproximadamente 50. Como resultado, por cada byte enviado por el atacante, se enviaron hasta 51 kilobytes al objetivo. GitHub recibió 1,35 terabits por segundo de tráfico, lo que provocó que el sitio dejara de funcionar durante 10 minutos.
- Tsutomu Shimomura. El 25 de diciembre de 1994, el hacker Kevin Mitnick lanzó un ataque contra las computadoras del hacker rival Tsutomu Shimomura utilizando IP spoofing. Mitnick aprovechó la relación de confianza entre la computadora terminal X de Shimomura y el servidor aprendiendo el patrón de números de secuencia TCP que genera la computadora. Inundó la computadora con solicitudes SYN de direcciones IP falsificadas que eran enrutables pero inactivas. La computadora no pudo responder a las solicitudes y su memoria se llenó de solicitudes SYN. Esta técnica se conoce como escaneo SYN .
Los ataques de intermediarios también utilizan la suplantación de IP para hacerse pasar por un destinatario objetivo, recibir el tráfico de Internet de ese destinatario y responder con sus propios paquetes, que pueden contener malware.
La suplantación de identidad también tiene usos legítimos. Por ejemplo, las empresas pueden usar la suplantación de IP para probar los sitios web cuando se activan, simulando el tráfico externo al sitio. El personal de seguridad también utiliza la suplantación de identidad para ver cómo responden sus sistemas a diferentes tipos de ataques.
Fuente: https://www.techtarget.com/searchsecurity/definition/IP-spoofing
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.