¿Qué es la suplantación de IP?

Los paquetes de IP suplantado con direcciones fuente falsificadas suelen utilizarse en ataques con el objetivo de evitar la detección.

Share facebook icon linkedin icon twitter icon email icon

Suplantación de IP

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir la suplantación de IP
  • Describir cómo se utiliza la suplantación de IP en ataques DDoS
  • Describir una forma de defenderse de la suplantación de IP

¿Qué es la suplantación de IP?

La suplantación de IP es la creación de paquetes de protocolo de Internet (IP) que tengan una dirección fuente modificada para poder ocultar la identidad del emisor, suplantar a otro sistema de equipo o ambas cosas. Es una técnica que suelen utilizar agentes maliciosos para invocar ataques DDoS para un dispositivo de destino o la infraestructura circundante.


Enviar y recibir paquetes de IP es una de las principales formas en la que los equipos y otros dispositivos en red se comunican, y constituye la base del Internet moderno. Todos los paquetes de IP incluyen un encabezado que precede al cuerpo del paquete y contiene información de enrutamiento importante, incluida la dirección fuente. En un paquete normal, la dirección IP fuente es la dirección del emisor del paquete. Si el paquete se ha suplantado, la dirección fuente estará falsificada.

Ataque DDoS de suplantación de IP

La suplantación de IP es similar a un atacante que envía un paquete a alguien con una dirección de remitente errónea. Si la persona que recibe el paquete quiere evitar que el emisor envíe los paquetes, bloquear todos los paquetes de la dirección falsa no hará mucha diferencia, ya que la dirección del remitente es fácil de cambiar. En relación con esto, si el receptor desea responder a la dirección del remitente, su paquete de respuesta irá a otro lado. La posibilidad de suplantar la dirección de los paquetes es una vulnerabilidad clave que aprovechan muchos ataques DDoS.


Los ataques DDoS normalmente utilizarán la suplantación con el objetivo de abrumar el destino con tráfico y, al mismo tiempo, ocultar la identidad de la fuente maliciosa, evitando así los esfuerzos de mitigación. Si la dirección IP fuente se falsifica y aleatoriza continuamente, bloquear las solicitudes maliciosas se vuelve complicado. La suplantación de IP dificulta que las agencias para el cumplimiento de la ley y los equipos de seguridad puedan rastrear al autor del ataque.


La suplantación también se utiliza para hacerse pasar por otro dispositivo, de modo que las respuestas se envían a ese dispositivo de destino. Los ataques volumétricos, como la amplificación NTP y la amplificación DNS, utilizan esta vulnerabilidad. La capacidad de modificar el IP fuente es inherente al diseño de TCP/IP, lo que hace que esto sea una preocupación de seguridad constante.

En relación con los ataques DDoS, la suplantación también puede llevarse a cabo con el objetivo de suplantar otro dispositivo para poder evitar la autenticación y obtener acceso o “secuestrar” la sesión de un usuario.

Cómo protegerse de la suplantación de IP (filtrado de paquetes)

Si bien la suplantación de IP no puede prevenirse, sí se pueden tomar medidas para evitar que los paquetes falsificados se infiltren en una red. Una defensa muy común ante la suplantación es el filtrado de las entradas, descrita en el BCP38 (un documento de las Prácticas comunes recomendadas). El filtrado de las entradas es una forma de filtrado de paquetes que suele implementarse en un dispositivo del extremo de la red, el cual examina los paquetes de IP entrantes y analiza el encabezado fuente. Si el encabezado fuente de estos paquetes no coincide con su origen o parecen sospechosos de algún modo, los paquetes se rechazan. Algunas redes también implementarán la filtración de salida, la cual analiza los paquetes de IP que salen de la red, y garantiza que esos paquetes tengan encabezados fuente legítimos para evitar que alguien dentro de la red lance un ataque malicioso saliente utilizando un IP suplantado.