Una de las amenazas menos conocidas y, sin embargo, más peligrosas a la hora de navegar por internet, es un ataque smart de suplantación de ARP o, como se lo conoce en inglés, ARP spoofing. Y además está a la orden del día, como veremos a continuación.
Es importante por tanto que sepamos en qué consiste y cómo prevenirlo para poder garantizar la seguridad de nuestros equipos a la hora de conectarnos a la red.
¡Vamos a ello!
Índice de contenido
¿Qué es un ataque smart de suplantación de ARP?
Se trata de un tipo de ataque por suplantación que se realiza en redes de área local que utilizan el Protocolo de Resolución de Direcciones (Address Resolution Protocol, o ARP). Mediante este tipo de ataque, el atacante es capaz de hacer pasar su propia dirección MAC (ES) por la dirección IP de un tercero, con lo que los mensajes destinados a esta dirección IP pasan a ser recibidos por el atacante.
Algo parecido a la suplantación de email o email spoofing que ya vimos en otro artículo, pero enfocado a las direcciones a las que navegamos o accedemos desde nuestras conexiones.
¿Cuáles son sus consecuencias?
Un ataque de suplantación de ARP puede permitir al atacante obtener el control total de la información recibida por un tercer equipo. A efectos prácticos estarás comunicándote con otros ordenadores o servidores que no son realmente quien creemos que son.
Una vez con el control, el atacante puede elegir entre diferentes tipos de maldades:
Ataque pasivo
El atacante puede recibir la información destinada a un tercero y reenviarla después sin modificación alguna al destinatario original. Es decir, estaríamos ante una arquitectura de man in the middle, como ya explicamos en su día.
De esta forma, el atacante estaría al tanto de la información recibida por su víctima, pero la víctima no percibiría ninguna diferencia en su flujo habitual de información. A este tipo de ataque también se lo denomina ‘de escucha’ y resulta muy difícil de detectar.
Ataque activo
El ataque activo parte del mismo principio que el ataque pasivo, pero tiene un desenlace diferente. En este caso, el atacante recibe la información destinada a un tercer equipo y la reenvía solamente cuando ha modificado estos datos.
En este caso la víctima del ataque recibe una información errónea, a la que incluso puede responder para facilitar otro tipo de información legítima. De esta forma, una víctima puede ser engatusada para que facilite, por ejemplo, los datos de su tarjeta de crédito o cualquier otro fraude que se te ocurra.
Ataque DDoS
Por último, un atacante puede asociar la dirección IP de su víctima con una dirección MAC inexistente o no válida, lo que se traduciría como un ataque de denegación del servicio (DDoS).
A efectos prácticos, se le niega a la víctima mantener comunicaciones más allá de su propio dispositivo, lo que puede ocasionar gastos económicos (cese de servicio de una empresa durante horas, por ejemplo).
¿Cómo prevenir un ataque smart de suplantación de ARP?
Existen diferentes formas de prevenir este tipo de ataques para proteger los equipos. Algunas de ellas son:
Filtrado de paquetes
Los sistemas de filtrado de paquetes pueden dejar fuera del sistema los paquetes cuya información de origen es conflictiva o contradictoria.
Este tipo de filtrado de paquetes puede dejar fuera la información procedente de la dirección MAC del equipo del atacante y proteger al usuario de un posible ataque mediante suplantación de ARP.
Protocolos de encriptación
Los protocolos de cifrados como los utilizados por las VPN mantienen (ES) la comunicación cifrada en todo momento, de forma que incluso si esta información fuese redirigida a otro equipo sería completamente ilegible para el atacante.
Software de detección
Existen diferentes tipos de software desarrollados específicamente para detectar ataques de suplantación de ARP. Funcionan de forma similar a los sistemas de filtrado de paquetes, es decir, analizan toda la información entrante y certifican la que consideran válida, dejando fuera la que tiene un origen dudoso y es susceptible de haber sido suplantada.
¿Cómo se producen los ataques smart de suplantación de ARP?
A diferencia de otros tipos de ciberataques, para poder realizar un ataque de suplantación de ARP es necesario que el atacante esté conectado a la misma red local que el equipo de la víctima.
Esto puede realizarse de varias formas:
- Una, el atacante puede estar conectado físicamente a la red desde su propio equipo, lo que significa que debe estar geográficamente cerca de la red atacada.
- Y dos, el atacante puede haber intervenido previamente y de forma remota uno de los equipos conectados a la red.
Para prevenir todo esto, puedes adoptar las siguientes medidas:
Utiliza un antivirus profesional y actualizado
Un antivirus profesional actualizado es una de las mejores defensas frente al malware. Mantener el malware a raya dificultará muchísimo los ciberataques contra tu equipo, ya que mantendrá protegidos sus puertos frente a terceros.
Ya si quieres apostar por uno comercial, o utilizar Windows Defender (en el caso de Windows) es cosa tuya. Pero al menos tener algo activo.
Un navegador desactualizado es un navegador vulnerable. A la hora de navegar por internet, es esencial que mantengas tu navegador actualizado en todo momento para evitarte males mayores.
Mantén actualizado el sistema operativo
Así como ocurre con los navegadores, también es fundamental que tu sistema operativo esté funcionando siempre desde su versión más reciente, para garantizar que cuenta con todos los parches de seguridad necesarios.
En resumidas cuentas, ¡QUE ACTUALICES! No hay mayor mejor medida de seguridad que tener un dispositivo a la última en cuanto a software. Tan sencillo y fácil como suena.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
A día de hoy este tipo de ataques han quedado en un segundo plano debido a que la mayor parte de la información está cifrada, sobre todo con la navegación web. Puede ser que otras aplicaciones internas sigan desactualizadas y en ese caso un ataque dirigido pueda explotar un arp spoofing, pero en general la propia evolución mitiga bastante este tipo de ataques.
En cuanto a lo de utilizar una vpn, salvo en algunso casos puntuales en los que cuando alguien conecta por wifi, como medida adicional, no he visto que se utilice en una red cableada una vpn interna, y creo que complicaría bastante la gestión del amisma, por lo que su uso debería estar bien justificado.
¿Te has encontrado ultimamente con ataques de este tipo?
Sobre todo como bien dices para organizaciones. A nivel de usuario de consumo afortunadamente cada vez más servicios tiene SSL habilitado… Al menos en web. Que otra cosa es el tema apps y herramientas. Porque en web el usuario puede ver fácilmente el SSL, pero ya me dirás tú cómo nos damos cuenta de que tal aplicación utiliza o no SSL para comunicaciones… si no es snifando el tráfico…