Una introducción a la falsificación de IP (y cómo prevenirla)

Publicado: 2022-01-13

El robo de identidad es siempre una amenaza, independientemente del medio. La llamada "suplantación de IP" es una forma común para que los usuarios maliciosos obtengan credibilidad rápidamente para sus intentos de piratería.

Dado que cada computadora y servidor tiene un identificador único (un "protocolo de Internet" o dirección IP), casi cualquier persona que use Internet podría ser vulnerable. La suplantación de IP es una forma de "falsificar" la apariencia de una dirección de origen (como una dirección de correo electrónico) como una técnica de suplantación de identidad. Puede venir en varias formas, por lo que debe estar en guardia.

A lo largo de esta publicación, hablaremos sobre la suplantación de IP, qué es, por qué es un objetivo y más. También hablaremos sobre algunos de los ataques de suplantación de IP más comunes a los que se enfrentará, así como algunos usos legítimos de la suplantación de IP.

¿Qué es la falsificación de IP?

En un sentido general, la suplantación de IP toma una parte de los datos que envía a través de Internet y hace que parezca que provienen de una fuente legítima. La suplantación de IP es un término amplio para muchos ataques diferentes:

  • Suplantación de direcciones IP: esta es una ofuscación directa de la dirección IP del atacante para realizar ataques de denegación de servicio (DoS), y más.
  • Suplantación de identidad del servidor de nombres de dominio (DNS): Esto modificará la IP de origen del DNS para redirigir un nombre de dominio a una IP diferente.
  • Suplantación de identidad del protocolo de resolución de direcciones (ARP): un intento de suplantación de identidad de ARP es uno de los ataques más complejos. Implica vincular la dirección de control de acceso a los medios (MAC) de una computadora a una IP legítima utilizando mensajes ARP falsificados.

Para ser más técnicos, la suplantación de IP toma los datos y cambia alguna información identificable a nivel de red. Esto hace que la suplantación de identidad sea casi indetectable.

Por ejemplo, tome un ataque DoS.

Esto utiliza una colección de bots que usan direcciones IP falsificadas para enviar datos a un sitio y servidor en particular, desconectándolos. Aquí, falsificar la IP hace que el ataque sea difícil de detectar hasta que sea demasiado tarde, y es igualmente difícil de rastrear después del hecho.

Los ataques de máquina en el medio (MITM) también utilizan la suplantación de IP porque el enfoque de MITM se basa en fingir la confianza entre dos puntos finales. Hablaremos más sobre estos dos ataques con mayor detalle más adelante.

La suplantación de IP es una forma común para que los usuarios maliciosos ganen credibilidad rápidamente, y casi cualquier persona que use Internet podría ser vulnerable. Obtenga más información en esta guía Haga clic para twittear

Cómo ocurre la falsificación de IP

Para comprender mejor la suplantación de IP, le daremos un poco de contexto sobre cómo Internet envía y usa datos.

Cada computadora usa una dirección IP, y cualquier información que envíe se divide en muchos fragmentos ("paquetes"). Cada paquete viaja de forma individual. Luego, una vez que llegan al final de la cadena, se vuelven a ensamblar y se presentan como un todo. Además, cada paquete también tiene su información identificable (un "encabezado") que incluirá la dirección IP tanto del origen como del destino.

En teoría, se supone que esto garantiza que los datos lleguen a un destino sin manipulación. Sin embargo, este no es siempre el caso.

La suplantación de IP utiliza el encabezado IP de origen y cambia algunos de los detalles para que parezca que es genuino. Como tal, esto puede violar incluso las redes más estrictas y seguras. El resultado es que los ingenieros web a menudo intentan encontrar nuevas formas de proteger la información que viaja por la web.

Por ejemplo, IPv6 es un protocolo más nuevo que genera encriptación y autenticación. Para los usuarios finales, Secure Shell (SSH) y Secure Socket Layers (SSL) ayudan a mitigar los ataques, pero discutiremos por qué esto no puede erradicar el problema más adelante. Cuanto mayor sea el número de pasos de encriptación que implemente, mejor podrá proteger su computadora, al menos en teoría.

También vale la pena señalar que la suplantación de IP no es una práctica ilegal, razón por la cual es frecuente. Hay muchos usos legítimos para la suplantación de IP que discutiremos en otra sección. Como tal, si bien la suplantación de IP en sí misma pone el pie de un pirata informático en la puerta, puede que no sea la única técnica utilizada para violar la confianza.

Por qué su IP es un objetivo para la suplantación de identidad

Dejando a un lado todas las consideraciones morales y éticas, la identidad de otro usuario tiene un valor y un valor inmensos. Después de todo, hay muchos malos actores que, si tuvieran la oportunidad, utilizarían gustosamente la identidad de otra persona para obtener algo, libre de repercusiones morales.

La suplantación de direcciones IP es una actividad de gran valor para muchos usuarios malintencionados. El acto de falsificación de IP no tiene mucho valor, pero las oportunidades que obtendrá podrían ser el premio gordo.

Por ejemplo, a través de la suplantación de IP, un usuario podría hacerse pasar por una dirección más confiable para obtener información personal (y más) de un usuario desprevenido.

Esto también puede tener un efecto dominó cuando se trata de otros usuarios. Un pirata informático no necesita falsificar la IP de cada objetivo, solo necesita uno para romper las defensas. Mediante el uso de estas credenciales no obtenidas, el mismo pirata informático también puede ganarse la confianza de otros en la red y llevarlos a compartir información personal.

Como tal, la IP en sí misma no es valiosa. Sin embargo, dependiendo de lo que se haga con la IP suplantada, la recompensa puede ser enorme, y el potencial de acceso a otros sistemas a través de la suplantación de IP tampoco es insignificante.

Los 3 tipos más comunes de ataques de falsificación de IP

La suplantación de IP se presta bien a ciertos tipos de ataques. Vamos a repasar tres a continuación.

1. Enmascaramiento de redes de bots

Una botnet es una red de computadoras que un atacante controla desde una sola fuente. Cada una de estas computadoras ejecuta un bot dedicado, que lleva a cabo los ataques en nombre del mal actor. Descubrirá que la capacidad de enmascarar botnets no sería posible sin la suplantación de IP.

En circunstancias normales, los piratas obtienen el control a través de infecciones, como malware. El uso de botnets puede ayudar a un usuario malicioso a ejecutar ataques de spam, ataques DDoS, fraude publicitario, ataques de ransomware y mucho más. Es una forma versátil de llevar a cabo escaramuzas dirigidas contra otros usuarios.

Parte de la razón de esto es la suplantación de IP. Cada bot en la red a menudo tiene una IP falsificada, lo que hace que sea difícil rastrear al actor malicioso.

El principal beneficio de falsificar IP aquí es evadir la aplicación de la ley. Sin embargo, este no es el único.

Por ejemplo, el uso de botnets con direcciones IP falsificadas también evita que el objetivo notifique a los propietarios del problema. Para empezar, esto puede prolongar el ataque y permitir que el hacker "gire" el foco hacia otras marcas. En teoría, esto podría resultar en un ataque que se ejecuta de forma infinita para maximizar la recompensa.

2. Ataques directos de denegación de servicio (DDoS)

Si un sitio deja de funcionar debido a un tráfico malicioso excesivo y abrumador en el servidor, se trata de un ataque DDoS. Puede ser agobiante para cualquier propietario de un sitio y hay muchas maneras de mitigar los efectos.

Esto cubre varios ataques y técnicas de suplantación de identidad relacionados que se combinan para crear el ataque completo.

Suplantación de DNS

Primero, un usuario malintencionado buscará la suplantación de DNS para infiltrarse en una red. Un actor malicioso usará la suplantación de identidad para alterar el nombre de dominio asociado con el DNS a otra dirección IP.

Desde aquí, podría llevar a cabo cualquier cantidad de ataques adicionales, pero la infección por malware es una opción popular. Debido a que esencialmente desvía el tráfico de fuentes legítimas a fuentes maliciosas sin detección, es fácil infectar otra computadora. A partir de ahí, más máquinas sucumbirán a la infección y crearán la botnet para llevar a cabo el ataque DDoS de manera eficiente.

Suplantación de direcciones IP

Después de la suplantación de DNS, un atacante llevará a cabo otra suplantación de direcciones IP para ayudar a ofuscar a los bots individuales dentro de la red. Esto a menudo sigue un proceso de aleatorización perpetua. Como tal, la dirección IP nunca permanece igual por mucho tiempo, lo que hace que sea prácticamente imposible de detectar y rastrear.

Este ataque a nivel de red es imposible de detectar para un usuario final (y también deja perplejos a muchos expertos del lado del servidor). Es una forma efectiva de llevar a cabo ataques maliciosos sin consecuencias.

Envenenamiento por ARP

La suplantación de identidad ARP (o "envenenamiento") es otra forma de realizar ataques DDoS. Es mucho más complejo que el método de fuerza bruta para enmascarar botnets y suplantación de IP, pero los incorpora a ambos para llevar a cabo un ataque.

La idea es apuntar a una red de área local (LAN) y enviar paquetes de datos ARP maliciosos para cambiar las direcciones IP establecidas en una tabla MAC. Es una manera fácil para que un atacante obtenga acceso a una gran cantidad de computadoras a la vez.

El objetivo del envenenamiento ARP es canalizar todo el tráfico de la red a través de una computadora infectada y luego manipularlo desde allí. Esto es fácil de hacer a través de la computadora del atacante y le permite elegir entre un ataque DDoS o MITM.

3. Ataques MITM

Los ataques Machine-in-the-Middle (MITM) son particularmente complejos, altamente efectivos y completamente catastróficos para una red.

Estos ataques son una forma de interceptar los datos de su computadora antes de que lleguen al servidor al que se conecta (por ejemplo, con su navegador web). Esto le permite al atacante interactuar contigo usando sitios web falsos para robar tu información. En algunos casos, el atacante es un tercero que intercepta la transmisión entre dos fuentes legítimas, lo que aumenta la efectividad del ataque.

Por supuesto, los ataques MITM se basan en la suplantación de IP, ya que debe haber un abuso de confianza sin que el usuario se dé cuenta. Además, hay un mayor valor en llevar a cabo un ataque MITM en comparación con otros porque un pirata informático puede continuar recopilando datos a largo plazo y vendiéndolos a otros.

Los casos reales de ataques MITM muestran cómo entra en juego la suplantación de IP. Si falsifica una dirección IP y obtiene acceso a cuentas de comunicación personal, esto le permite rastrear cualquier aspecto de esa comunicación. A partir de ahí, puede seleccionar información, enrutar a los usuarios a sitios web falsos y mucho más.

En general, un ataque MITM es una forma peligrosa y muy lucrativa de obtener información del usuario, y la suplantación de IP es una parte central del mismo.

Por qué la falsificación de IP es peligrosa para su sitio y sus usuarios

Debido a que la suplantación de IP es algo que ocurre en un nivel de red bajo, es un peligro para casi todos los usuarios de Internet.

El phishing y la suplantación de identidad van de la mano. Y un buen ataque de suplantación de identidad no se presentará como un intento de phishing. Esto significa que los usuarios no tendrán indicios de ser cautelosos y, como resultado, podrían entregar información confidencial.

Los elementos críticos para el negocio serán un objetivo principal, como los sistemas de seguridad y los firewalls. Esta es la razón por la cual la seguridad del sitio es una preocupación número uno para muchos. No solo necesita implementar suficiente funcionalidad para mitigar un ataque, sino que también debe asegurarse de que los usuarios de su red estén atentos y utilicen buenas prácticas de seguridad.

¿Necesita alojamiento ultrarrápido, confiable y totalmente seguro para su sitio de WordPress? Kinsta proporciona todo esto y soporte de clase mundial las 24 horas, los 7 días de la semana por parte de expertos en WordPress. Consulta nuestros planes

El logotipo de Wordfence de la silueta de una cerca encima de un escudo azul a la izquierda de "Wordfence", todo sobre las palabras "Asegurando su inversión en WordPress".
El complemento de Wordfence es una solución de seguridad sólida para ayudarlo a protegerse de la suplantación de IP.

Sin embargo, un aspecto de la falsificación de IP hace que frenarla sea menos sencillo: la técnica tiene muchos casos de uso legítimos en la web.

Usos legítimos de la falsificación de IP

Debido a que la suplantación de IP tiene muchos casos de uso no maliciosos, es poco lo que puede hacer para evitar que otros la usen.

Por ejemplo, miles de "hackers éticos" buscan sistemas de prueba para empresas. Este tipo de piratería ética es una infracción sancionada del sistema, diseñada para poner a prueba los recursos y la solidez de la seguridad.

Esto seguirá el mismo proceso que la piratería maliciosa. El usuario llevará a cabo un trabajo de reconocimiento en el objetivo, obtendrá y mantendrá el acceso al sistema y ofuscará su penetración.

A menudo encontrará que los piratas informáticos poco éticos se convierten en tipos éticos y encuentran empleo en empresas que pueden haber considerado un objetivo en el pasado. Incluso puede encontrar exámenes y certificaciones oficiales para ayudarlo a obtener las credenciales adecuadas.

Algunas empresas también utilizarán la suplantación de identidad IP en ejercicios de simulación no relacionados con infracciones del sistema. Por ejemplo, los envíos masivos de correo son un buen caso de uso para miles de direcciones IP, y todas deberán crearse mediante suplantación de identidad (legítima).

Las pruebas de registro de usuarios también utilizan la suplantación de IP para simular los resultados. Cualquier situación en la que necesite simular muchos usuarios es un caso ideal para la suplantación de IP ética.

Por qué no puede evitar la falsificación de IP

Debido a que la suplantación de identidad es tan difícil de detectar y debido a que la naturaleza del método es ocultar una verdadera identidad, es poco lo que puede hacer para evitar que suceda. Sin embargo, puede minimizar el riesgo y negar el impacto.

Es importante tener en cuenta que un usuario final (es decir, la máquina del lado del cliente) no puede detener la suplantación de identidad de ninguna manera. El trabajo del equipo del lado del servidor es evitar la falsificación de IP lo mejor que pueda.

Hay algunas formas de agregar obstáculos entre un pirata informático y un objetivo potencial. Algunos mencionados hasta ahora incluyen:

  • Usar un protocolo más seguro, como IPv6
  • Garantizar que la base de usuarios implemente una buena seguridad individual al usar el sitio y la red
  • Implementación de SSL y SSH en su sitio

Sin embargo, hay más que puedes hacer. Por ejemplo, puede usar un firewall de aplicaciones web (WAF) dedicado como Sucuri, que ayudará a "construir muros altos" alrededor de su sitio.

El logo de Sucuri sobre las palabras "Real People, Real Security" en verde.
El logotipo de Sucuri.

También puede implementar una infraestructura crítica pública (PKI) para ayudar a autenticar a los usuarios y los datos asociados. Esto se basa en una combinación de clave privada y pública para cifrar y descifrar datos. Debido a la naturaleza del cifrado, es mucho más difícil de violar para los piratas informáticos.

El monitoreo de la red es una técnica básica que también puede ayudarlo a detectar signos de suplantación de IP o ataques relacionados. Esto puede tomar muchas formas, pero cuanto mejor conozca su sistema, mayor será la posibilidad de detectar ataques maliciosos.

El filtrado de paquetes también puede ayudar a combatir los intentos de falsificación de IP. El filtrado de "entrada" y "salida" analiza los encabezados de origen para las comunicaciones entrantes y salientes. Si algo no pasa ese filtro, no afectará a los usuarios dentro de la red.

Finalmente, la inspección profunda de paquetes (DPI) es una técnica similar que es igual de efectiva. Esto, junto con los otros métodos aquí, incluso se puede combinar para ayudar a apuntalar una red o un servidor.

Obtenga más información sobre la suplantación de IP y qué obstáculos puede implementar para ayudar a reducir las posibilidades de ser atacado aquí mismo Haga clic para twittear

Resumen

Su dirección IP es única para usted, como lo es para todas las computadoras que se usan en la actualidad. Esa dirección ayuda a lograr muchas tareas, como la autenticación, el cifrado y más. Por extensión, esto convierte a casi cualquier dirección IP en un objetivo para posibles piratas informáticos o delincuentes.

La suplantación de IP falsifica la legitimidad de una dirección y la usa para violar redes seguras para obtener más ganancias.

Arreglar la suplantación de IP es algo que está fuera del control del usuario final, y también puede ser difícil de manejar para los administradores de sistemas. En general, solo puede mitigar el impacto que tiene la suplantación de IP en su red en lugar de erradicarlo por completo.

Aun así, hay muchos obstáculos que puede poner en el camino de un usuario potencialmente malicioso. Los métodos de encriptación típicos ayudan, al igual que una buena estrategia de monitoreo de red y firewall.

¿Eres víctima de suplantación de identidad de IP y, de ser así, cómo has resuelto la situación? ¡Comparta sus pensamientos en la sección de comentarios a continuación!