Suplantación de IP: cómo funciona y cómo prevenirla

La suplantación es un tipo específico de ciberataque en el que una persona intenta utilizar una computadora, un dispositivo o una red para engañar a otras redes informáticas haciéndose pasar por una entidad legítima. Es una de las tantas herramientas que usan los hackers para obtener acceso a computadoras y minarlas en busca de datos confidenciales, convertirlas en zombis (computadoras intervenidas para su uso malicioso) o lanzar ataques de denegación de servicio (DoS, por sus siglas en inglés). Entre los diferentes tipos de suplantación, la de IP es la más común.

¿Qué es la suplantación de IP?

La suplantación de IP, o suplantación de dirección IP, hace referencia a la creación de paquetes de Protocolo de Internet (IP, por sus siglas en inglés) con una dirección IP de origen falsa que apunta a hacerse pasar por otro sistema informático. La suplantación de IP habilita a los cibercriminales a realizar acciones maliciosas, en general, sin ser detectados. Esto puede incluir robar datos, infectar los dispositivos con malware o bloquear los servidores.

Cómo funciona la suplantación de IP

Comencemos con un poco de información básica: los datos que se transmiten por Internet primero se dividen en varios paquetes; esos paquetes se envían de manera independiente y, luego, se reagrupan. Cada paquete tiene una cabecera IP (Protocolo de Internet) que contiene información sobre el paquete, incluidas la dirección IP de origen y la dirección IP de destino.

Para la suplantación de IP, el hacker utiliza herramientas para modificar la dirección de origen en la cabecera del paquete y que el sistema informático que lo reciba crea que es un paquete de origen confiable (por ejemplo, otra computadora de una red legítima) y lo acepte. Esto sucede a nivel de la red, por lo que no se observan señales externas de alteración.

En los sistemas que se basan en relaciones de confianza entre computadoras conectadas a la misma red, la suplantación de IP puede utilizarse para eludir la autenticación de la dirección IP. Existe un concepto al que a veces se hace referencia como “defensa perimetral”, según el cual aquellos que están por fuera del perímetro son considerados amenazas y quienes están dentro son confiables. Una vez que el hacker penetra la red y logra entrar, le es sencillo explorar el sistema. Debido a esta vulnerabilidad, se está dejando de utilizar la autenticación simple como estrategia de defensa para dar lugar a métodos de seguridad más sólidos, como los de autenticación de varios pasos.

Si bien los cibercriminales utilizan la suplantación de IP para llevar adelante estafas en línea y robos de identidad o desactivar sitios web y servidores empresariales, también pueden existir usos legítimos. Por ejemplo, las organizaciones pueden utilizar la suplantación de IP para probar los sitios web antes de presentarlos al público. Esto implica crear miles de usuarios virtuales para probar el sitio web y ver si puede soportar un volumen grande de inicios de sesión sin sobrecargarse. La suplantación de IP no es ilegal cuando se utiliza de esta manera.

Tipos de suplantación de IP

Las tres formas más comunes de ataques de suplantación de IP son las siguientes:

Ataques de denegación de servicio distribuido (DDoS)

En un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés), los hackers utilizan direcciones IP suplantadas para sobrecargar los servidores informáticos con paquetes de datos. Esto les permite ralentizar o colapsar un sitio web o una red con grandes volúmenes de tráfico de Internet sin revelar su identidad.

Botnets encubiertas

La suplantación de IP puede utilizarse para obtener acceso a computadoras mediante botnets encubiertas. Una botnet es una red de computadoras que los hackers controlan desde una única fuente. Cada computadora ejecuta un bot dedicado, que lleva a cabo actividades maliciosas en nombre del atacante. La suplantación de IP le permite al atacante encubrir la botnet, ya que cada bot de la red tiene una dirección IP suplantada, por lo que es complicado rastrear al criminal. Así, se puede prolongar la duración de un ataque para maximizar la ganancia.

Ataques de intermediario

Otro método de suplantación malicioso de IP utiliza un ataque de intermediario para interrumpir la comunicación entre dos computadoras, alterar los paquetes y transmitirlos sin que el emisor o el receptor originales lo noten. Si los atacantes suplantan una dirección IP y obtienen acceso a cuentas de comunicación personal, pueden entonces rastrear cualquier detalle de esa comunicación. A partir de allí, es posible que puedan robar información, dirigir a los usuarios a sitios web falsos y más. Con el tiempo, los hackers recopilan una gran cantidad de información confidencial que pueden utilizar o vender (por lo que los ataques de intermediario pueden resultar más lucrativos que los otros).

Ejemplos de suplantación de IP

Uno de los ejemplos de ataque de suplantación de IP que se utiliza con más frecuencia es el ataque DDoS a GitHub en 2018. GitHub es una plataforma para alojar códigos que en febrero de 2018 sufrió lo que se cree ha sido el mayor ataque DDoS en la historia. Los atacantes suplantaron la dirección IP de GitHub en un ataque coordinado tan grande que hizo caer el servicio por aproximadamente 20 minutos. GitHub recuperó el control redirigiendo el tráfico a través de un socio intermediario y depurando los datos para bloquear las partes maliciosas.

Otro ejemplo sucedió en 2015 cuando la Europol desbarató un ataque de intermediario a nivel continental. En el ataque, los hackers interceptaron solicitudes de pago entre empresas y sus clientes. Utilizaron IP suplantadas para obtener acceso fraudulento a las cuentas de correo electrónico de las empresas. Luego, espiaron las comunicaciones e interceptaron solicitudes de pago a los clientes para así poder engañarlos y hacer que envíen los pagos a cuentas bancarias controladas por ellos.

La suplantación de IP no es la única forma de suplantación de red. Existen otros tipos, incluidas la suplantación de correo electrónico, de sitio web, de ARP, de mensajes de texto y más. Puede leer la guía completa de Kaspersky sobre los diferentes tipos de suplantación aquí.

Cómo detectar la suplantación de IP

Es difícil que los usuarios finales puedan detectar una suplantación de IP, por eso es tan peligrosa. Esto sucede porque los ataques de suplantación de IP se llevan a cabo en las capas de la red, es decir, la capa 3 del modelo de comunicaciones de interconexión de sistemas abiertos. Por este motivo, no quedan rastros de alteraciones (a menudo, las solicitudes suplantadas de conexión pueden parecer legítimas desde afuera).

Sin embargo, las organizaciones pueden utilizar herramientas informáticas de monitoreo para analizar el tráfico en los terminales. El filtrado de los paquetes es la forma más común de hacerlo. Los sistemas de filtrado de paquetes (que suelen estar en los enrutadores y los firewalls) detectan las inconsistencias entre la dirección IP del paquete y las direcciones IP deseadas que aparecen en las listas de control de acceso (ACL, por sus siglas en inglés). También detectan los paquetes fraudulentos.

Los dos tipos principales de filtrado de paquetes son el filtrado de entrada y el filtrado de salida:

• Filtrado de entrada: analiza los paquetes entrantes para evaluar si la cabecera IP de origen coincide con una dirección de origen permitida. Cualquier paquete que parezca sospechoso se rechaza.
• Filtrado de salida: analiza los paquetes salientes para buscar las direcciones IP de origen que no coinciden con las de la red de la organización. Esto está pensado para evitar que los intrusos lancen ataques de suplantación de IP.

Cómo protegerse de la suplantación de IP

Los ataques de suplantación de IP están pensados para ocultar la verdadera identidad de los atacantes y que sea más difícil localizarlos. Sin embargo, existen algunas medidas contra la suplantación que pueden tomarse para minimizar los riesgos. Los usuarios finales no pueden prevenir la suplantación de IP, ya que es tarea de los equipos del lado del servidor evitarla lo mejor que se pueda.

Protección contra la suplantación de IP para especialistas en TI:

La mayoría de las estrategias utilizadas para evitar la suplantación de IP deben ser desarrolladas y ejecutadas por especialistas en TI. Las opciones para protegerse de la suplantación de IP incluyen:

• Monitorear las redes en busca de actividad atípica.
• Implementar el filtrado de paquetes para detectar inconsistencias (como paquetes salientes con direcciones IP de origen que no coinciden con las de la red de la organización).
• Utilizar métodos de verificación sólidos (incluso entre las computadoras de la red).
• Autenticar todas las direcciones IP y utilizar un bloqueador de ataques de red.
• Proteger al menos una parte de los recursos informáticos con un firewall. Un firewall ayuda a proteger la red filtrando el tráfico con direcciones IP suplantadas, verificando el tráfico y bloqueando el acceso de personas ajenas no autorizadas.

Se recomienda que los diseñadores web migren los sitios a IPv6, el Protocolo de Internet más actual, ya que hace que sea más difícil suplantar direcciones de IP al incluir pasos de cifrado y autenticación. Una gran parte del tráfico de Internet mundial sigue utilizando el protocolo anterior, IPv4.

Protección contra la suplantación de IP para usuarios finales:

Los usuarios finales no pueden prevenir la suplantación de IP. Sin embargo, poner en práctica hábitos de protección cibernética ayudará a maximizar su seguridad en línea. Algunas precauciones adecuadas incluyen:

Asegurarse de que su red doméstica esté configurada de manera segura

Esto significa cambiar los nombres de usuario y las contraseñas por defecto del enrutador de su hogar y de todos los dispositivos conectados, y asegurarse de utilizar contraseñas seguras. Una contraseña segura evita las combinaciones obvias y contiene al menos 12 caracteres, entre letras mayúsculas y minúsculas, números y símbolos. Puede leer la guía completa de Kaspersky para configurar una red doméstica segura aquí.

Tener precaución cuando utiliza una red pública de Wi-Fi

Evite realizar transacciones, como compras u operaciones bancarias, en una red pública de Wi-Fi que no sea segura. En caso de que necesite utilizar un punto de acceso público, maximice su seguridad y utilice una red privada virtual o VPN. Una VPN cifra su conexión a Internet para proteger los datos privados que envía y recibe.

Asegurarse de que los sitios web que visita sean HTTPS

Algunos sitios web no cifran sus datos. Si no poseen un certificado SSL actualizado, son más vulnerables a los ataques. Los sitios web cuyas URL comienzan con HTTP en lugar de HTTPS no son seguros; esto es un riesgo para los usuarios que comparten información confidencial con esos sitios. Asegúrese de utilizar sitios con HTTPS y compruebe que el ícono del candado aparezca en la barra de direcciones.

Prestar atención a los intentos de phishing

Desconfíe de los correos electrónicos de phishing de atacantes que le piden que actualice su contraseña u otras credenciales de inicio de sesión, o los datos de su tarjeta de pago. Los correos electrónicos de phishing están pensados para que parezca que los envían organizaciones respetables, pero en realidad son enviados por estafadores. No haga clic en los enlaces ni abra los archivos adjuntos de los correos electrónicos de phishing.

Utilizar un antivirus integral

La mejor manera de proteger la seguridad en línea es utilizar un antivirus de alta calidad para evitar los hackers, los virus, el malware y las nuevas amenazas en línea. También es fundamental que mantenga el software actualizado para asegurarse de que cuenta con las últimas funciones de seguridad.

Productos recomendados

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Más información

• Cómo ocultar su dirección IP
• Qué es la suplantación de DNS y cómo evitarla
• Qué es la suplantación de identidad telefónica
• ¿Qué es la privacidad de datos?