¿Qué es la suplantación de IP?

Los paquetes de IP suplantado con direcciones fuente falsificadas suelen utilizarse en ataques con el objetivo de evitar la detección.

Share facebook icon linkedin icon twitter icon email icon

Suplantación de IP

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir la suplantación de IP
  • Describir cómo se utiliza la suplantación de IP en ataques DDoS
  • Describir una forma de defenderse de la suplantación de IP

¿Qué es la suplantación de IP?

La suplantación de IP es la creación de paquetes de protocolo de Internet (IP) con una dirección fuente modificada para poder ocultar la identidad del emisor, suplantar a otro sistema informático o ambas cosas. Esta técnica la suelen utilizar actores perjudiciales para invocar ataques DDoS contra un dispositivo o su infraestructura circundante.


El envío y la recepción de paquetes de IP es la forma principal en la que se comunican los ordenadores en red y otros dispositivos, y esto constituye la base del Internet moderno. Todos los paquetes de IP incluyen un encabezado que precede al cuerpo del paquete y que contiene información importante del enrutamiento, incluida la dirección de origen. En un paquete normal, la dirección IP de origen es la dirección del remitente del paquete. Si se ha falsificado el paquete, la dirección de origen estará falsificada.

IP Spoofing DDoS Attack

La suplantación de IP es comparable con un atacante que envía un paquete a alguien con la dirección de retorno incorrecta. Si la persona que recibe el paquete quiere evitar que el remitente le envíe paquetes, no servirá de mucho bloquear todos los paquetes que provengan de la dirección fraudulenta, ya que la dirección de devolución se puede cambiar con facilidad. A su vez, si el receptor quiere responder a la dirección de devolución, su paquete de respuesta irá a un lugar diferente al del remitente real. La capacidad de suplantar las direcciones de los paquetes es una vulnerabilidad básica de la que se aprovechan muchos ataques DDoS.


Los ataques DDoS utilizarán a menudo suplantación de identidad con el objetivo de sobrecargar a un objetivo con tráfico a la vez que enmascaran la identidad de la fuente maliciosa, lo que previene los esfuerzos de mitigación. Si se falsifica y se hace aleatoria de forma continua la dirección IP de origen, será más complicado el bloqueo de solicitudes maliciosas. La suplantación de IP también dificulta que los equipos de fuerzas policiales y de ciberseguridad puedan localizar al autor del ataque.


La suplantación también se utiliza para hacerse pasar por otro dispositivo para que las respuestas se envíen al dispositivo que se está atacando. Los ataques volumétricos como la Amplificación de NTP y la Amplificación de DNS se aprovechan de esta vulnerabilidad. La capacidad de modificar la IP de origen es inherente al diseño de TCP/IP, lo que hace que esto sea un problema de seguridad permanente.

En relación con los ataques DDoS, la suplantación también puede llevarse a cabo con el objetivo de suplantar otro dispositivo para poder eludir la autenticación y obtener acceso o “apoderarse” de la sesión de un usuario.

Cómo protegerse de la suplantación de IP (filtrado de paquetes)

Aunque es imposible evitar la suplantación de IP, sí que es posible tomar medidas para evitar que los paquetes falsificados se infiltran en una red. Una defensa habitual contra la suplantación es el filtrado de entrada, descrito en el BCP38 (un documento de prácticas recomendadas). El filtrado de entrada es una forma de filtrado de paquetes que se suele implementar en un dispositivo en el extremo de la red que examina los paquetes de IP entrantes y analiza sus encabezados de origen. Si los encabezados de origen de esos paquetes no coinciden con su origen o parecen sospechosos, se rechazarán los paquetes. Algunas redes también implementarán el filtrado de salida, que analiza los paquetes IP que salen de la red, y asegura que esos paquetes tengan encabezados de origen legítimos para evitar que alguien de dentro de la red lance un ataque malicioso saliente mediante el uso de la suplantación de IP.