Spoofing

El Spoofing es el uso de técnicas de suplantación de identidad generalmente con fines maliciosos o de investigación. Esta técnica se puede clasificar según la tecnología empleada. Entre ellos tenemos el IP Spoofing (quizás el más conocido), ARP Spoofing, DNS Spoofing, Web Spoofing, DHCP Spoofing, Mail Spoofing, etc. A continuación describimos brevemente algunos de los mismos:

  • IP Spoofing

A modo de introducción podemos mencionar que cada dispositivo que conectamos a una red tiene una identificación lógica que se traduce a través de un número, una dirección IP.

La comunicación entre dos dispositivos se lleva adelante mediante protocolos. Un protocolo es un conjunto de reglas y convenciones utilizadas en la conversación entre dos host (equipos).

Actualmente todos los equipos permiten el uso del protocolo TCP/IP (Transmission Control Protocol / Internet Protocol) para sus comunicaciones. UDP (User Datagram Protocol) también es un protocolo de transmisión de datos. Existen diferencias técnicas entre ambos que no abordaremos.

Mediante la creación de tramas TCP/IP o UDP/IP utilizando una dirección IP falseada; la idea de este ataque -al menos la idea- es muy sencilla: desde su equipo, el atacante simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Esta técnica, IP spoofing, en muchas ocasiones es empleada para realizar ataques de denegación de servicio. O también para interceptar y manipular el tráfico IP entre dos o más sistemas informáticos. A este tipo de ataques se les conoce como Man in The Middle.

  • DNS Spoofing -Ataque al servicio de nombre de dominio-

Básicamente un DNS es un servicio de nombres de dominio. Es un sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarquía de dominios. Las redes TCP/IP, como Internet, usan DNS para buscar equipos y servicios mediante nombres descriptivos.

Este ataque hace referencia al falseamiento de una dirección IP ante una consulta de resolución de nombre (esto es, resolver con una dirección falsa un cierto nombre DNS), o viceversa (resolver con un nombre falso una cierta dirección IP). Esto se puede conseguir de diferentes formas, desde modificando las entradas del servidor encargado de resolver una cierta petición para falsear las relaciones dirección-nombre, hasta comprometiendo un servidor que infecte la caché de otro (lo que se conoce como DNS Poisoning); incluso sin acceso a un servidor DNS real, un atacante puede enviar datos falseados como respuesta a una petición de su víctima sin más que averiguar los números de secuencia correctos.

  • ARP Spoofing -Ataque al protocolo de resolución de direcciones-

Esencialmente el protocolo ARP se encarga de traducir las direcciones IP a direcciones MAC (direcciones físicas de cada dispositivo). Para realizar estas conversiones a nivel capa de enlace se utilizan las tablas ARP.

El ataque hace referencia a la construcción de tramas de solicitud y respuesta ARP falseadas, de forma que en una red local se puede forzar a una determinada máquina a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.

La idea es sencilla, y los efectos del ataque pueden ser muy negativos: desde denegación de servicio hasta interceptación de datos (Man In The Middle).

  • Web Spoofing

El ataque consiste en suplantar una página web real por una falsa, para conseguir datos de los usuarios. La página falsa actúa a modo de proxy. Por lo general, se suelen suplantar páginas de sitios populares y donde los usuarios seguramente tengan que ingresar sus credenciales (usuario y contraseña). Además los dominios  (URL) suelen ser muy parecidos. Son buenas prácticas a la hora de evitar ser víctima de spoofing en una web:

  1. Fijarse bien la URL. Si conocemos la dirección (nombre) del sitio original, lo mejor siempre es escribirlo manualmente. No hacer clic en enlaces recibidos en un correo electrónico o red social; ni tampoco buscarlo a través de un buscador.
  2. Tener en cuenta el diseño de página web, contenidos, imágenes, logos, etc.
  3. Poseer instalados y actualizados herramientas antivirus.
  4. Algunos navegadores nos proveen de plugins/extensiones que informan de ciertas anomalías detectadas en un sitio web.
  • DHCP Spoofing -Ataque al protocolo de configuración dinámica del host-

DHCP es un servicio estándar diseñado para reducir la complejidad de la administración de direcciones mediante la utilización de un equipo para administrar de forma centralizada las direcciones IP y detalles de la configuración de red.

Cada vez que un equipo se conecta a una red, solicita una dirección IP al servidor DHCP. En el caso que este haya sido suplantado por un DHCP falso (creado por el atacante) el mismo podría acceder al tráfico de los dispositivos de toda la red.

Es posible que a veces un host tome la configuración del atacante y otras las del DHCP legítimo. Por eso, el atacante debe conocer la configuración de la red para simular una asignación correcta al host (por ejemplo asignando la dirección IP que le habría asignado anteriormente el DHCP legítimo), pero indicando, como ser, que el Gateway o puerta de enlace predeterminada, sea su dirección IP (o sea la dirección IP del atacante). Así, se convierte en la puerta de enlace predeterminada del dispositivo de la victima pudiendo “ver” el tráfico que circula desde y hacia ese dispositivo a modo de intermediario (Man In The Middle).