¿Qué es el ARP Spoofing?

En un ataque de ARP Spoofing, un hacker envía mensajes ARP(Address Resolution Protocol) falsos para engañar a otros dispositivos y hacerles creer que están hablando con otra persona. El hacker puede interceptar y controlar los datos que fluyen entre dos dispositivos.

Los ciberdelitos han aumentado de forma alarmante debido al enorme crecimiento del uso de ordenadores y redes para la comunicación. Los piratas informáticos y los ataques poco éticos a las redes suponen una amenaza continua para sustraer información y causar un caos digital.

En los últimos meses, hemos visto el término "ARP spoofing" aparecer bastante en las noticias, es una técnica que permite a los hackers interceptar el tráfico entre dos dispositivos en una red.

¿Cómo funciona el ARP Spoofing?

Un ataque de suplantación de ARP puede ejecutarse de dos maneras.

En el primer métodoun hacker se tomará su tiempo esperando para acceder a las peticiones ARP de un determinado dispositivo. Se envía una respuesta inmediata tras la recepción de la solicitud ARP. La red no reconocerá instantáneamente esta estrategia porque es encubierta. En términos de impacto, no tiene mucho efecto negativo y su alcance es muy estrecho.

En el segundo métodolos hackers difunden un mensaje no autorizado conocido como "ARP gratuito". Este método de entrega puede tener un impacto inmediato en numerosos dispositivos a la vez. Pero recuerde que también generará una gran cantidad de tráfico de red que será difícil de gestionar.

¿Quién utiliza el ARP Spoofing?

Los hackers han utilizado la suplantación de ARP desde la década de 1980. Los ataques de los hackers pueden ser deliberados o impulsivos. Los ataques de denegación de servicio son ejemplos de ataques planificados, mientras que el robo de información de una red WiFi pública es un ejemplo de oportunismo. Estos ataques pueden evitarse, pero se llevan a cabo con regularidad ya que son sencillos desde el punto de vista técnico y de costes.

El ARP spoofing, sin embargo, también puede ser llevado a cabo con objetivos honorables. Introduciendo deliberadamente un tercer host entre dos hosts, los programadores pueden utilizar el ARP spoofing para analizar los datos de la red. Los hackers éticos replicarán los ataques de envenenamiento de la caché ARP para asegurarse de que las redes son seguras frente a estos asaltos.

¿Cuál es el objetivo de un ataque de Spoofing ARP?

Los principales objetivos de los ataques de spoofing ARP son:

  • para difundir varias respuestas ARP a través de la red
  • para insertar direcciones falsas en las tablas de direcciones MAC de los conmutadores
  • vincular incorrectamente las direcciones MAC a las direcciones IP
  • enviar demasiadas consultas ARP a los hosts de la red

Cuando un ataque de suplantación de ARP tiene éxito, el atacante puede:

  • Continúe enrutando los mensajes tal cual: A menos que se envíen a través de un canal cifrado como HTTPS, el atacante puede olfatear los paquetes y robar los datos.
  • Realizar el secuestro de la sesión: Si el atacante obtiene un ID de sesión, puede acceder a las cuentas activas del usuario.
  • Denegación de servicio distribuida (DDoS): En lugar de utilizar su máquina para lanzar un ataque DDoS, los atacantes podrían especificar la dirección MAC de un servidor al que desean dirigirse. El servidor objetivo se verá inundado de tráfico si llevan a cabo este ataque contra múltiples direcciones IP.
  • Cambiar la comunicación: Descarga de una página web o archivo dañino en la estación de trabajo.

¿Cómo detectar el ARP Spoofing?

Para detectar el ARP Spoofing, compruebe su software de gestión de configuración y automatización de tareas. Puede localizar su caché ARP aquí. Puede ser el objetivo de un ataque si dos direcciones IP tienen la misma dirección MAC. Los hackers suelen emplear software de spoofing, que envía mensajes que dicen ser la dirección de la puerta de enlace predeterminada.

También es posible que este malware convenza a su víctima para que sustituya la dirección MAC de la puerta de enlace predeterminada por otra diferente. Tendrás que comprobar el tráfico ARP en busca de cualquier actividad extraña en esta situación. Los mensajes no solicitados que reclaman la dirección MAC o IP del router suelen ser el tipo de tráfico extraño. Por lo tanto, la comunicación no deseada puede ser un síntoma de un ataque de suplantación de ARP.

¿Cómo proteger sus sistemas del ARP Spoofing?

El envenenamiento de ARP puede evitarse de varias maneras, cada una con ventajas y desventajas. 

Entradas estáticas ARP

Sólo las redes más pequeñas deberían utilizar este método debido a su importante carga administrativa. Supone añadir un registro ARP a cada ordenador para cada máquina de la red.

Dado que los ordenadores pueden ignorar las respuestas ARP, la asignación de las máquinas con conjuntos de direcciones IP y MAC estáticas ayuda a evitar los intentos de suplantación. Lamentablemente, el uso de este método sólo le protegerá de los asaltos más fáciles.

Filtros de paquetes

Los paquetes ARP contienen las direcciones MAC de las direcciones IP del emisor y del receptor. Estos paquetes se envían a través de redes Ethernet. Los filtros de paquetes pueden bloquear los paquetes ARP que no contengan direcciones MAC o IP de origen o destino válidas.

Medidas de protección portuaria

Las medidas de seguridad de los puertos garantizan que sólo los dispositivos autorizados puedan conectarse con un puerto concreto de un equipo. Por ejemplo, supongamos que un ordenador ha sido autorizado a conectarse con el servicio HTTP en el puerto 80 de un servidor. En ese caso, no permitirá que ningún otro ordenador se conecte con el servicio HTTP en el puerto 80 del mismo servidor a menos que haya sido autorizado previamente.

VPNs

Las redes privadas virtuales (VPN) proporcionan comunicaciones seguras a través de Internet. Cuando los usuarios utilizan las VPN, su tráfico de Internet se encripta y pasa por un túnel a través de un servidor intermediario. La encriptación hace muy difícil que los atacantes puedan espiar las comunicaciones. La mayoría de las VPN modernas implementan una protección contra fugas de DNS, lo que garantiza que no se filtre tráfico a través de sus consultas de DNS.

Codificación

La encriptación es una de las mejores maneras de protegerse de la suplantación de ARP. Puedes usar VPNs o servicios encriptados como HTTPS, SSH y TLS. Sin embargo, estos métodos no son infalibles y no proporcionan una fuerte protección contra todo tipo de ataques.

Conclusión

La combinación de tecnologías de prevención y detección es la estrategia ideal si quiere proteger su red del riesgo de envenenamiento ARP. Incluso el entorno más seguro puede sufrir un ataque, ya que las estrategias de prevención suelen tener fallos en circunstancias concretas.

Si las tecnologías de detección activa también están en su lugar, usted será consciente de envenenamiento ARP tan pronto como se inicia. Normalmente puede detener estos ataques antes de que se produzcan muchos daños si el administrador de la red responde rápidamente después de ser informado.

Para protegerse contra otros tipos de ataques de suplantación de identidad, como la suplantación directa de dominio, puede utilizar un analizador DMARC para autorizar a los remitentes y tomar medidas contra los mensajes de correo electrónico incorrectos.