¿Qué es la suplantación de IP?

Los paquetes de IP suplantada con direcciones de origen falsificadas suelen usarse en ataques con el propósito de evitar la detección.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir la suplantación de IP
  • Describir cómo se usa la suplantación de IP en los ataques DDoS
  • Describir una manera de defenderse ante la suplantación de IP

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es la suplantación de IP?

La suplantación de IP es la creación de paquetes de protocolo de Internet (IP) con una dirección de origen modificada para esconder la identidad del remitente, hacerse pasar por otro sistema informático o ambos. Es una técnica que suelen usar actores maliciosos para invocar ataques DDoS contra un dispositivo fijado como objetivo o la infraestructura circundante.

Enviar y recibir paquetes IP es la principal forma en que las computadoras en red y otros dispositivos se comunican, y constituye la base de la Internet moderna. Todos los paquetes IP contienen un encabezado que precede al cuerpo del paquete y cuentan con información de redireccionamiento importante, incluida la dirección de origen. En un paquete normal, la dirección IP de origen es la dirección del remitente del paquete. Si se ha suplantado el paquete, se falsificará la dirección de origen.

Ataque DDoS de suplantación de IP

La suplantación de IP es análoga a un atacante que envía un paquete a alguien con la dirección del remitente equivocada. Si la persona que recibe el paquete quiere impedir que el remitente envíe paquetes, bloquear todos los paquetes de la dirección falsa no ayudará mucho, ya que esta puede cambiarse con facilidad. En relación con lo anterior, si el receptor quiere responder a la dirección del remitente, su paquete de respuesta no irá al verdadero remitente, sino a otra parte. La capacidad de suplantar las direcciones de los paquetes es una de las vulnerabilidades principales que explotan muchos ataques DDoS.

A menudo, los ataques DDoS utilizarán la suplantación con la meta de abrumar al objetivo con tráfico, mientras ocultan la identidad del origen malicioso y evitan los esfuerzos de mitigación. Si la dirección IP de origen se falsifica y se aleatoriza continuamente, se dificulta el bloqueo de las solicitudes maliciosas. La suplantación de IP también complica el trabajo de la justicia y los equipos de seguridad cibernética para rastrear al perpetrador del ataque.

También se usa la suplantación para hacerse pasar por otro dispositivo, así se envían las respuestas al dispositivo fijado como objetivo. Los ataques volumétricos, como la amplificación de NTP y la amplificación de DNS hacen uso de esta vulnerabilidad. La capacidad de modificar la IP de origen es inherente al diseño de TCP/IP y una inquietud constante en materia de seguridad.

De forma tangencial a los ataques DDoS, la suplantación puede realizarse con el objeto de hacerse pasar por otro dispositivo para esquivar la autenticación e “interceptar” u obtener acceso a la sesión de un usuario.

Cómo protegerse contra la suplantación de IP (filtrado de paquetes)

Si bien no se puede evitar la suplantación de IP, pueden tomarse medidas para evitar que los paquetes suplantados se infiltren en una red. Una defensa muy habitual contra la suplantación es el filtrado de entrada, descrito en BCP38 (un documento sobre las mejores prácticas habituales). El filtrado de entrada es una forma de filtrado de paquetes que suele implementarse en un dispositivo del extremo de la red que examina los paquetes IP entrantes y observa sus encabezados de origen. Si los encabezados de origen de esos paquetes no coinciden con su origen o lucen sospechosos de algún otro modo, se rechazan los paquetes. Algunas redes también implementarán el filtrado de salida, que observa los paquetes IP existentes en la red y se asegura de que tengan encabezados de origen legítimos para evitar que alguien dentro de la red lance un ataque malicioso saliente mediante el uso de la suplantación de IP.