Suplantaci贸n

La suplantaci贸n de identidad[1][2][3] o spoofing (no confundir con sniffing) en t茅rminos de seguridad de redes, hace referencia al uso de t茅cnicas a trav茅s de las cuales un atacante, generalmente con usos maliciosos o de investigaci贸n, se hace pasar por una entidad distinta a trav茅s de la falsificaci贸n de los datos en una comunicaci贸n.

Tipos de suplantaciones

Suplantaci贸n de IP

Consiste b谩sicamente en sustituir la direcci贸n IP origen de un paquete TCP/IP por otra direcci贸n IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados ir谩n dirigidas a la IP original. Por ejemplo si se env铆a un ping (paquete icmp echo request) suplantado, la respuesta ser谩 recibida por el host al que pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones de difusi贸n a diferentes redes es usado en un tipo de ataque de inundaci贸n conocido como ataque smurf. Para poder realizar la suplantaci贸n de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el env铆o de paquetes SYN y ACK con su SYN espec铆fico y teniendo en cuenta que el propietario real de la IP podr铆a (si no se le impide de alguna manera) cortar la conexi贸n en cualquier momento al recibir paquetes sin haberlos solicitado. Tambi茅n hay que tener en cuenta que los enrutadores actuales no admiten el env铆o de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasar谩n el enrutador).

Suplantaci贸n de ARP

La suplantaci贸n de identidad por falsificaci贸n de tabla ARP se trata de la construcci贸n de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relaci贸n IP-MAC) de una v铆ctima y forzarla a que env铆e los paquetes a un host atacante en lugar de hacerlo a su destino leg铆timo.

El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicaci贸n pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la direcci贸n de difusi贸n pidiendo la MAC del anfitri贸n poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local con la relaci贸n IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante que imita tramas ARP-Reply indicando su MAC como destino v谩lido para una IP espec铆fica, como por ejemplo la de un enrutador, de esta manera la informaci贸n dirigida al enrutador pasar铆a por el ordenador atacante quien podr谩 escanear dicha informaci贸n y redirigirla si as铆 lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta t茅cnica s贸lo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de protegerse de esta t茅cnica es mediante tablas ARP est谩ticas (siempre que las IP de red sean fijas), lo cual puede ser dif铆cil en redes grandes.

Otras formas de protegerse incluyen el uso de programas de detecci贸n de cambios de las tablas ARP (como Arpwatch) y el uso de la seguridad de puerto de los conmutadores para evitar cambios en las direcciones MAC.

Suplantaci贸n de DNS

Suplantaci贸n de identidad por nombre de dominio. Se trata del falseamiento de una relaci贸n entre nombre de dominio y una IP ante una consulta de resoluci贸n de nombre, es decir, resolver con una direcci贸n IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relaci贸n nombre de dominio e IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables (DNS Rogue). Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) la cach茅 DNS de otro servidor diferente (envenenamiento de DNS).

Suplantaci贸n de web

Suplantaci贸n de una p谩gina web real (no confundir con phishing). Enruta la conexi贸n de una v铆ctima a trav茅s de una p谩gina falsa hacia otras p谩ginas web con el objetivo de obtener informaci贸n de dicha v铆ctima (p谩ginas web vistas, informaci贸n de formularios, contrase帽as etc.). La p谩gina web falsa act煤a a modo de proxy, solicitando la informaci贸n requerida por la v铆ctima a cada servidor original y salt谩ndose incluso la protecci贸n SSL. El atacante puede modificar cualquier informaci贸n desde y hacia cualquier servidor que la v铆ctima visite. La v铆ctima puede abrir la p谩gina web falsa mediante cualquier tipo de enga帽o, incluso abriendo un simple enlace. La suplantaci贸n de web es dif铆cilmente detectable; quiz谩 la mejor medida es alg煤n complemento del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes p谩ginas web significar谩 que probablemente se est茅 sufriendo este tipo de ataque. Este ataque se realiza mediante una implantaci贸n de c贸digo el cual robar谩 la informaci贸n. Usualmente se realizan p谩ginas fantasmas en las cuales se inyectan estos c贸digos para poder sacar informaci贸n de las v铆ctimas.

Suplantaci贸n de correo electr贸nico

Suplantaci贸n de la direcci贸n de correo electr贸nico de otras personas o entidades. Esta t茅cnica es usada con asiduidad para enviar bulos por correo electr贸nico como complemento perfecto para la suplantaci贸n de identidad y para enviar mensajes basura, ya que es sencilla y solo requiere utilizar un servidor SMTP configurado para tal fin. Para protegerse se deber铆a comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la direcci贸n del servidor SMTP utilizado. Las medidas recomendadas para prevenir estos ataques son crear registros SPF y firmas digitales DKIM.

Suplantaci贸n de GPS

Un ataque de suplantaci贸n de GPS intenta enga帽ar a un receptor de GPS transmitiendo una se帽al ligeramente m谩s poderosa que la recibida desde los sat茅lites del sistema GPS, estructurada para parecerse a un conjunto normal de se帽ales GPS. Sin embargo estas se帽ales est谩n modificadas de tal forma de que causar谩n que el receptor determine una posici贸n diferente a la real, espec铆ficamente alg煤n lugar determinado por la se帽al atacante. Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una se帽al el viajar entre el sat茅lite y el receptor, una suplantaci贸n exitosa requiere que el atacante conozca con precisi贸n donde se encuentra el blanco de tal forma que la se帽al falsa pueda ser estructurada con el retraso apropiado.

Un ataque de suplantaci贸n de GPS comienza con la transmisi贸n de una se帽al ligeramente m谩s poderosa que la que entrega la posici贸n correcta, y luego se comienza a desviar lentamente hacia la posici贸n deseada por el atacante, ya que si esto se hace demasiado r谩pido el receptor atacado perder谩 la fijaci贸n en la se帽al, en cuyo momento el ataque de suplantaci贸n solo funcionar铆a como un ataque de perturbaci贸n. Se ha sugerido que la captura de un Lockheed RQ-170 en el noreste de Ir谩n en diciembre de 2011, fue el resultado de un ataque de este tipo.[4] Previamente los ataques de suplantaci贸n de GPS hab铆an sido predichos y discutidos en la comunidad GPS, pero a煤n no han sido confirmado un ejemplo conocido de un ataque de suplantaci贸n malicioso.[5][6][7]

Una prueba de concepto de este ataque se realiz贸 con 茅xito en junio de 2013, cuando el yate de lujo White Rose fue mal dirigido con se帽ales GPS falsificadas desde M贸naco a la isla de Rodas por un grupo de estudiantes de ingenier铆a aeroespacial de la Escuela de Ingenier铆a Cockrell de la Universidad de Texas en Austin. Los estudiantes estaban a bordo del yate, lo que permiti贸 a su equipo de suplantaci贸n dominar progresivamente la intensidad de se帽al de los sat茅lites GPS reales, alterando el curso de la embarcaci贸n.[8][9] Previamente, en el a帽o 2012, este mismo grupo de estudiantes fue capaz de cambiar el curso de vuelo de un veh铆culo a茅reo no tripulado mediante el uso de la misma t茅cnica de suplantaci贸n de GPS.[10]

V茅ase tambi茅n

Referencias
  1. 芦Suplantaci贸n de identidad (spoofing, suplantaci贸n de direcci贸n IP)禄. technet.microsoft.com. Consultado el 21 de diciembre de 2017.
  2. 芦Suplantaci贸n de Identidad Telef贸nica (Spoofing) y C贸mo Evitarla禄. Federal Communications Commission. 26 de julio de 2016. Consultado el 21 de diciembre de 2017.
  3. 芦Suplantaci贸n - CCN-STIC 401禄. www.dit.upm.es. Consultado el 21 de diciembre de 2017.
  4. Scott Peterson; Payam Faramarzi (15 de diciembre de 2011). 芦Exclusive: Iran hijacked US drone, says Iranian engineer禄. Christian Science Monitor.
  5. Wen, Hengqing; Huang, Peter; Dyer, John; Archinal, Andy; Fagan, John (2004). 芦Countermeasures for GPS signal spoofing禄. University of Oklahoma. Archivado desde el original el 15 de marzo de 2012. Consultado el 16 de diciembre de 2011.
  6. Humphreys, T.E.; Ledvina, B. M.; Psiaki, M.; O'Hanlon, B. W.; Kintner, P.M. (2008). 芦Assessing the Spoofing Threat: Development of a Portable GPS Civilian Spoofer禄. ION GNSS. Consultado el 16 de diciembre de 2011.
  7. Jon S. Warner; Roger G. Johnston (diciembre de 2003). GPS Spoofing Countermeasures. Homeland Security Studies and Analysis Institute. Archivado desde el original el 7 de febrero de 2012.
  8. 芦Students Hijack Luxury Yacht禄. Secure Business Intelligence Magazine.
  9. 芦UT Austin Researchers Successfully Spoof an $80 million Yacht at Sea禄. The University of Texas at Austin. Consultado el 5 de febrero de 2015.
  10. 芦T茅cnica de GPS Spoofing hace que hackear drones sea muy barato禄. www.xdrones.es. Consultado el 30 de agosto de 2016.

Enlaces externos
Este art铆culo ha sido escrito por Wikipedia. El texto est谩 disponible bajo la licencia Creative Commons - Atribuci贸n - CompartirIgual. Pueden aplicarse cl谩usulas adicionales a los archivos multimedia.