¿Qué es la falsificación de direcciones IP y cómo podemos prevenirla? | EasyDMARC

¿Qué es la falsificación de direcciones IP y cómo podemos prevenirla?

9 min de lectura
A person with a black hoodie on typing on a laptop, picture covered with the EasyDMARC logo

Podemos ser muy agradecidos y apreciar las bondades de la era digital, tanto por la velocidad para llevar a cabo múltiples labores, como por la amplitud de servicios disponibles, pero no podemos pasar por alto el constante aumento de delitos cibernéticos que son denunciados a diario. Una estafa reciente tuvo lugar a nombre de OCBC, el segundo banco más grande de Singapur, donde casi 800 clientes perdieron de forma colectiva $13,7 millones, lo cual es más que suficiente para disparar las alarmas.

Situaciones como esta intensifican la importancia de comprender cómo funciona la falsificación de IPs y así evitar que sucedan este tipo de eventos.

Antes de seguir avanzando, cabe preguntarse, ¿qué es la suplantación de identidad?

La suplantación de identidad es un acto malicioso en el que un grupo de criminales informáticos intentan engañar a personas o empleados de una empresa, imitando la identidad de una empresa u organismo legítimo para obtener acceso a información confidencial, tales como datos bancarios.

Los tipos más comunes de ataques de suplantación de identidad que puedes enfrentar incluyen:

  • Falsificación de dirección IP
  • Suplantación de identidad por correo electrónico
  • Suplantación de dominio
  • Suplantación de identidad de un dominio
  • Suplantación de identidad de llamadas
  • Falsificación de mensajes de texto
  • Suplantación de identidad ARP
  • Suplantación de DNS
  • Falsificación de GPS
  • Suplantación de identidad

De todos los eventos mencionados anteriormente, la suplantación de IP es una modalidad de ataque extremadamente común.

¿Qué es la suplantación de IP?

Sigue leyendo este blog para obtener información más detallada sobre qué es este tipo de ataque, cómo puedes detectarlo y evitar que te afecte.

¿Qué es la suplantación de IP?

Con los ataques de suplantación de IP, el pirata informático reemplaza la dirección IP de un dominio con una IP falsa para que el equipo receptor confíe y acepte los comandos de entrada, evitar este tipo de ataques requiere saber reconocer sobre suplantación de correos electrónicos para evitar ser víctima.

¿Cómo funciona la falsificación de IP?

Antes de comprender a fondo cómo funciona la suplantación de direcciones IP, es necesario entender que Internet envía y recibe datos a través flujos de pequeños paquetes que almacenan la información desde el punto de origen; para identificar estos paquetes, son necesarias las direcciones IP de origen y de destino.

Un actor malicioso que falsifica una IP altera la dirección original con una dirección IP falsa, dicho en simples términos, la suplantación de IP no es más que una forma de disfrazar una IP maliciosa haciéndola pasar por una IP benigna.

Esta clase de eventos se consiguen comúnmente en los ataques de denegación de servicio (ataques DoS), la cual es una forma de ataque cibernético destinado a provocar que un servidor cese operaciones, volviendo la red de una empresa inoperante y así prevenir que los usuarios puedan acceder a esta.

Básicamente, en los ataques de DoS, el falsificador de la IP abruma el servidor de la computadora receptora con múltiples paquetes de datos, labor que lleva cabo a través de redes de bots distribuidas en diferentes ubicaciones, lo que vuelve un desafío rastrear el ataque, ya que cientos de miles de mensajes provenientes de varias direcciones IP falsas bombardean al servidor receptor.

Otro método de suplantación de IP es aquel que hace uso de miles de dispositivos para enviar un torrencial de mensajes a múltiples destinatarios (generalmente contados en los cientos de miles) usando la misma dirección IP de suplantación, el sistema receptor percibe estas solicitudes como tráfico normal y otorga los permisos de acceso, inundando el servidor de destino.

El tercer enfoque de los ataques de falsificaciones de IP es aquel que perturba la comunicación entre dos dispositivos y altera los paquetes de datos sin notificar a la fuente del destino original.

¿Por qué son peligrosas las falsificaciones de IPs?

La suplantación de IPs ponen en riesgo la imagen de tu empresa, es una situación comprometedora, con el potencial de empeorar mucho más si los actores maliciosos atacan a tus clientes si estos llegasen a robar la información de tu base de datos. Lo más preocupante sobre este evento es que es extremadamente difícil identificar una IP falsa, ya que para el momento en que tus sistemas identifican la brecha, ya el daño está hecho; aquí te presentamos las tres razones que dificultan la localización de una falsificación de IP.

Sin señales

Generalmente, como usuarios, somos conscientes de las señales que envía nuestro sistema cuando estamos bajo ataques de phishing, pero la suplantación de IP no presenta ninguna de estas señales. Más bien convence a la víctima de seguir sus procedimientos usuales sin notificar que estás interactuando con una dirección falsificada mientras compila toda la información confidencial que recibe para usos funestos, la IP falsificada simplemente se dedica a redirigir la comunicación y permite a los piratas informáticos llevar cabo sus fechorías. 

Se necesita tiempo para notar el ataque

Por lo general, los sistemas de seguridad de cualquier red activan sus alarmas ante la presencia de la mayoría de todo tipo de ataque cibernético; desafortunadamente, la falsificación de IP permite que el equipo o ente falsificador de la IP acceda a sistemas y redes de computadoras sin levantar sospecha alguna, dado que se hace pasar por una fuente legítima, burlando las medidas de seguridad habituales, lo que hace de este modo de ataque una de las tácticas favoritas entre múltiples piratas informáticos. 

Los sistemas permiten que los falsificadores pasen por alto los sistemas de cortafuegos

Las tácticas de falsificación de IP permiten que un servidor o terminal permita el acceso a cientos de miles de mensajes desde una misma dirección IP falsificada, lo cual sirve para inundar cualquier sistema y hacer que este colapse por completo.

¿Cómo detectar la falsificación de una IP?

La suplantación de identidad de una IP se detecta examinando los encabezados de los paquetes de datos que son enviados a una dirección; los encabezados de estos paquetes son parte de una IP falsa que lleva la información necesaria para llegar a un destino específico, por lo que es necesario analizarlos para encontrar cualquier tipo de discrepancia.

Los detalles del destino previsto se validan mediante la dirección de control de acceso a medios (dirección MAC) o con la ayuda de otros sistemas de seguridad como IOS Netflow de Cisco, los cuales ofrecen una identidad específica y una marca de tiempo a cada dispositivo incluidos en una red específica, lo cual consecuentemente nos puede ayudar a encontrar el falsificador de IP.

¿Cómo prevenir la falsificación de IP?

Ahora que sabes lo qué es la suplantación de identidad de IP y cómo detectarla, podemos seguir adelante; en principio es necesario saber que es un desafío detectar la suplantación de IPs, por lo que es crucial conocer los métodos preventivos para enfrentarnos a estos eventos.

Filtrado de paquetes

Este proceso básicamente analiza el encabezado de cada paquete para así confirmar si la dirección IP coincide con la fuente, en este caso la terminal o el servidor no permiten que el paquete complete la ruta en caso de discrepancias.

Autenticación de usuarios y dispositivos a través de PKI

La infraestructura de clave pública (PKI) es un método de autenticación basado en un par de claves públicas y privadas; la clave privada encripta la comunicación y la clave pública hace la función contraria. 

Este sistema utiliza el método de clave asimétrica, lo que significa que tanto la clave pública como la privada son diferentes, por lo tanto, los falsificadores de IP no pueden determinar la clave privada para afectar tu red; este método ha demostrado ser muy eficaz en la prevención de la suplantación de IP y los ataques de intermediario. 

Monitoreo de Redes y Firewalls

El monitoreo de tus redes, te puede ayudar a localizar cualquier tipo de actividad sospechosa, mientras que implementar un buen cortafuego para tus redes, apoya el proceso de autenticación de las direcciones IP que interactúan con tu dominio, lo cual evita el ingreso de IP que estén suplantando identidades al filtrar el tráfico que no dé señales de confianza.

Configuración de enrutadores y conmutadores

Otra forma eficaz de evitar la falsificación de IPs consiste en la configuración apropiada de enrutadores y conmutadores para negar la entrada de paquetes de datos externos fuera de tu red local, esta línea de acción funciona muy bien si tenemos en cuenta que los expertos en suplantación de direcciones IP constantemente alteran la dirección para que parezca una dirección interna.

Suplantación de IP: puerta de ataques DDoS

Las direcciones IP falsas funcionan de forma similar a claves duplicadas utilizadas por el pirata informático para ingresar a tu sistema y provocar un ataque de denegación de servicio distribuido (ataque DDoS), mediante el cual el pirata informático inunda el servidor o la red de destino, interrumpiendo todo el sistema.

Puedes leer más sobre los ataques DDoS y las mejores estrategias para evitar que sucedan en nuestra publicación de blog sobre este tema.