IP spoofing: así manipulan los atacantes tus paquetes de datos

In­de­pe­n­die­n­te­me­n­te de si navegas por Internet en tu tiempo libre o de si eres el re­s­po­n­sa­ble de una red de área local, es fu­n­da­me­n­tal que te protejas contra accesos no au­to­ri­za­dos y ataques que puedan generar daños co­n­si­de­ra­bles a tu sistema. Durante décadas, los ci­be­r­cri­mi­na­les han en­co­n­tra­do di­fe­re­n­tes métodos para obtener acceso a sistemas in­fo­r­má­ti­cos externos, generando así daños a pequeña y gran escala. Si los intrusos son pro­fe­sio­na­les y cuentan con las he­rra­mie­n­tas ne­ce­sa­rias, el usuario no se enterará del ataque en sí. Por otra parte, muchos ci­be­r­cri­mi­na­les saben cómo borrar sus huellas, por lo que es casi imposible de­te­r­mi­nar el origen de los ataques uti­li­za­n­do medios or­di­na­rios. Una de las técnicas pre­fe­ri­das para estos pro­pó­si­tos es el llamado spoofing (en español, ma­ni­pu­la­ción o su­pla­n­ta­ción) y, hacia 1980 y en su forma original, el IP spoofing, ya era un tema de co­n­ve­r­sa­ción en los círculos de expertos.

El llamado IP spoofing es una técnica en la que se envían paquetes de datos TCP/IP o UDP/IP con una dirección de remitente falsa. Para inyectar sus propios paquetes en un sistema externo, el atacante utiliza la dirección de un sistema au­to­ri­za­do y de confianza, que de otra manera sería bloqueado por un sistema de filtrado. En la mayoría de los casos, el IP spoofing se utiliza para realizar ataques DoS y DDoS. Sin embargo, bajo ciertas ci­r­cu­n­s­ta­n­cias, el atacante también puede in­te­r­ce­p­tar y manipular el tráfico IP entre dos o más sistemas in­fo­r­má­ti­cos. A este tipo de ataques se les conoce como man in the middle y, al igual que el IP spoofing (con tan solo unas pocas ex­ce­p­cio­nes), requieren que el atacante se encuentre en la misma subred que la víctima.

Suplantar la dirección IP es posible gracias a que la dirección de origen y de destino que cada paquete IP contiene en su en­ca­be­za­do no están lo su­fi­cie­n­te­me­n­te pro­te­gi­das contra la ma­ni­pu­la­ción. Des­afo­r­tu­na­da­me­n­te no hay me­ca­ni­s­mos para cifrar esta in­fo­r­ma­ción ni para comprobar su veracidad. Sin embargo, con un simple ataque de IP spoofing el atacante no obtiene acceso al tráfico de datos. Es decir, este solo puede cambiar la dirección en el paquete co­rre­s­po­n­die­n­te, mientras que la dirección IP real se mantiene sin cambios. Así, la respuesta con los datos emitidos no llegará al atacante, sino a la dirección del ordenador que este introdujo.

El sistema que recibe la solicitud no tiene forma de saber que un tercero sin au­to­ri­za­ción se encuentra detrás del paquete IP, lo que hace que el IP spoofing sea de gran utilidad para los me­n­cio­na­dos ataques DoS y DDoS. En pa­r­ti­cu­lar, los dos si­guie­n­tes es­ce­na­rios son posibles:

1. Basándose en la dirección de origen, el atacante envía muchos paquetes de datos a varios sistemas dentro de la re­s­pe­c­ti­va red. Estos responden enviando un paquete de datos al ordenador cuya dirección fue usurpada.


2. Un host de destino recibe, al mismo tiempo, muchos paquetes de datos por parte de varias di­re­c­cio­nes IP su­pla­n­ta­das y, por lo tanto, se so­bre­ca­r­ga.

Los or­de­na­do­res cuyas di­re­c­cio­nes IP han sido su­pla­n­ta­das pueden co­n­ve­r­ti­r­se en objetivos para ataques DDoS o servir como he­rra­mie­n­ta para los mismos. En ambos casos, debido a que los paquetes enviados parecen provenir ofi­cia­l­me­n­te de parte de los or­de­na­do­res cuyas IP fueron su­pla­n­ta­das, no es posible ide­n­ti­fi­car a los atacantes.

Un atacante puede causar la so­bre­ca­r­ga in­te­n­cio­nal desde cualquier lugar, siempre y cuando el equipo de destino esté conectado a Internet. Sin embargo, el acceso directo al tráfico de datos es di­fí­ci­l­me­n­te rea­li­za­ble si el intruso no está en la misma subred. Esto se debe a que in­te­r­ce­p­tar un paquete de datos solo es posible cuando se cuenta con el número de secuencia de dicho paquete, algo que ex­te­r­na­me­n­te, en co­m­pa­ra­ción con otras épocas, es casi imposible hoy en día.

En el pasado, los sistemas ope­ra­ti­vos y di­s­po­si­ti­vos de red generaban este en­ca­be­za­do TCP basándose en un patrón sin mayores cambios. De esta forma, los atacantes podían enviar múltiples paquetes al sistema de destino sin mayor problema y, gracias al co­m­pro­ba­n­te de recibo, predecir el número de secuencia posterior. Estos también podían leer o manipular el paquete detrás del número y re­en­viar­lo uti­li­za­n­do la dirección IP su­pla­n­ta­da sin que este pudiera ser re­gi­s­tra­do por los sistemas en el proceso de co­mu­ni­ca­ción. Dado que muchos sistemas recurrían al proceso de inicio de sesión basado en el host y tra­n­s­fe­rían datos de inicio de sesión como nombre de usuario y co­n­tra­se­ñas sin cifrar, con un poco de suerte el atacante podía co­ne­c­tar­se sin ningún problema. Dado que ac­tua­l­me­n­te los números de secuencia se generan al azar, los llamados ataques de pre­di­c­ción de secuencia TCP (en inglés, TCP Sequence Pre­di­c­tion) son bá­si­ca­me­n­te in­e­fi­ca­ces, por lo que los di­s­po­si­ti­vos antiguos todavía están en riesgo. 

Si el IP spoofer se mueve en la misma subred, por ejemplo en la misma red local del sistema atacado, tiene mayores po­si­bi­li­da­des de acceder fá­ci­l­me­n­te al número de secuencia o a los paquetes IP detrás de ella. En lugar de utilizar un pro­ce­di­mie­n­to tedioso para ello, este puede filtrar el tráfico, ana­li­zar­lo y se­le­c­cio­nar los paquetes de datos deseados. En este caso, se habla de non-blind spoofing.

Durante décadas, los expertos en seguridad y pro­fe­sio­na­les en la industria in­fo­r­má­ti­ca se han ocupado del problema del IP spoofing. Esto se debe pri­n­ci­pa­l­me­n­te a la facilidad con la que es posible generar ataques de de­ne­ga­ción de servicio o DDoS va­lié­n­do­se de este método de su­pla­n­ta­ción IP. Por lo tanto, desde hace tiempo se hace necesaria una fi­l­tra­ción es­pe­cí­fi­ca del tráfico saliente por parte de los pro­vee­do­res de Internet donde se recojan y descarten los paquetes con di­re­c­cio­nes de origen externas a la red. Des­afo­r­tu­na­da­me­n­te, los esfuerzos y costes son los pri­n­ci­pa­les motivos por los que, hasta ahora, esta solicitud se ha mantenido como tal sin que nadie haya logrado im­ple­me­n­tar­la.   Otra razón para la re­ti­ce­n­cia de los pro­vee­do­res de Internet son las aparentes ca­ra­c­te­rí­s­ti­cas de seguridad de la última versión del protocolo de Internet IPv6. Entre otras cosas, el sucesor oficial del ac­tua­l­me­n­te extendido IPv4 incluye varias opciones de au­te­n­ti­ca­ción y en­cri­p­ta­ción opcional para los en­ca­be­za­dos de paquetes de datos que, en un futuro, podría impedir por completo el IP spoofing. Sin embargo, hasta ahora, el cambio al nuevo protocolo de di­re­c­cio­na­mie­n­to ha de­mo­s­tra­do ser algo co­m­pli­ca­do, ma­ni­fe­s­tá­n­do­se, por ejemplo, en la falta de soporte IPv6 para varios di­s­po­si­ti­vos de red común. Para evitar que un atacante fa­l­si­fi­que tu dirección IP y la utilice para fines ine­s­cru­pu­lo­sos, tienes la po­si­bi­li­dad de tomar la ini­cia­ti­va mediante la creación de tus propios me­ca­ni­s­mos de pro­te­c­ción. Así, te re­co­me­n­da­mos co­n­ce­n­trar­te en las dos si­guie­n­tes medidas:

• Establece una solución integral de filtrado de paquetes para tu router. Este se encargará de analizar y descartar aquellos paquetes cuyas di­re­c­cio­nes de origen no provengan de la propia red. Deberás hacerte cargo incluso del filtrado de paquetes salientes con di­re­c­cio­nes de remitente que estén fuera de tu red, a pesar de que, en este sentido, los expertos en seguridad lo co­n­si­de­ren como un deber del proveedor de servicios.

• Mantente alejado del método de au­te­n­ti­ca­ción basado en el host. Asegúrate de que todos los métodos de registro de entrada se realicen a través de co­ne­xio­nes cifradas. De esta forma mi­ni­mi­za­rás el riesgo de un ataque de IP spoofing dentro de tu red y estarás fijando im­po­r­ta­n­tes es­tá­n­da­res de seguridad. 

Por otra parte, también es re­co­me­n­da­ble re­em­pla­zar los sistemas ope­ra­ti­vos y di­s­po­si­ti­vos de red más antiguos (en caso de que aún los utilices). De esta manera, no solo au­me­n­ta­rás la pro­te­c­ción contra el IP spoofing, sino que también te estarás pro­te­gie­n­do contra muchas otras vu­l­ne­ra­bi­li­da­des.