¿Qué es la suplantación de IP?

¿Qué es la suplantación de IP?

La suplantación de IP es la creación de paquetes de protocolo de Internet (IP) con una dirección de origen modificada para poder ocultar la identidad del emisor, suplantar a otro sistema informático o ambas cosas. Es una técnica que suelen utilizar los agentes maliciosos para implementar ataques DDoS contra un dispositivo de destino o la infraestructura circundante.

El envío y la recepción de paquetes de IP es una de las principales formas de comunicación de los ordenadores y otros dispositivos en red, y constituye la base del Internet moderno. Todos los paquetes de IP incluyen un encabezado que precede al cuerpo del paquete y contiene información de enrutamiento importante, incluida la dirección de origen. En un paquete normal, la dirección IP de origen es la dirección del emisor del paquete. Si el paquete se ha suplantado, la dirección de origen estará falsificada.

La suplantación de IP es comparable con un atacante que envía un paquete a alguien con la dirección de retorno incorrecta. Si la persona que recibe el paquete quiere evitar que el remitente le envíe paquetes, no servirá de mucho bloquear todos los paquetes que provengan de la dirección fraudulenta, ya que la dirección de devolución se puede cambiar con facilidad. A su vez, si el receptor quiere responder a la dirección de devolución, su paquete de respuesta irá a un lugar diferente al del remitente real. La capacidad de suplantar las direcciones de los paquetes es una vulnerabilidad básica de la que se aprovechan muchos ataques DDoS.

Los ataques DDoS utilizarán a menudo suplantación de identidad con el objetivo de sobrecargar a un objetivo con tráfico a la vez que enmascaran la identidad de la fuente maliciosa, lo que previene los esfuerzos de mitigación. Si se falsifica y se hace aleatoria de forma continua la dirección IP de origen, será más complicado el bloqueo de solicitudes maliciosas. La suplantación de IP también dificulta que los equipos de fuerzas policiales y de ciberseguridad puedan localizar al autor del ataque.

La suplantación también se utiliza para hacerse pasar por otro dispositivo, de modo que las respuestas se envían a ese dispositivo atacado. Los ataques volumétricos, como la amplificación NTP y la amplificación DNS, utilizan esta vulnerabilidad. La capacidad de modificar la IP de origen es inherente al diseño de TCP/IP, así que constituye una preocupación de seguridad constante.

En relación con los ataques DDoS, la suplantación también puede llevarse a cabo con el objetivo de suplantar otro dispositivo para poder eludir la autenticación y obtener acceso o “apoderarse” de la sesión de un usuario.

Cómo protegerse de la suplantación de IP (filtrado de paquetes)

Si bien la suplantación de IP no puede prevenirse, sí se pueden tomar medidas para evitar que los paquetes falsificados se infiltren en una red. Una defensa muy común ante la suplantación es el filtrado de las entradas, descrito en el BCP38 (un documento de prácticas recomendadas comunes). El filtrado de las entradas es una forma de filtrado de paquetes que suele implementarse en un dispositivo del perímetro de la red, el cual examina los paquetes de IP entrantes y analiza los encabezados de origen. Si los encabezados de origen de los paquetes no coinciden con su fuente o parecen sospechosos de algún modo, los paquetes se rechazan. Algunas redes también implementarán la filtración de salida, la cual analiza los paquetes de IP que salen de la red, y garantiza que esos paquetes tengan encabezados de origen legítimos para evitar que alguien dentro de la red lance un ataque malicioso saliente utilizando un IP suplantado.