¿Qué es el spoofing en ciberseguridad?

Posted on by Rudeus Greyrat

La suplantación de identidad es una bestia completamente nueva creada mediante la fusión de antiguas estrategias de engaño con la tecnología moderna. La suplantación de identidad es un tipo de fraude en el que alguien o algo falsifica la identidad del remitente y se hace pasar por una fuente confiable, un negocio, un colega u otro contacto de confianza para obtener información personal, adquirir dinero, propagar malware o robar datos.

Tipos de suplantación de identidad:

  • Suplantación de IP
  • Suplantación de identidad ARP
  • Suplantación de identidad por correo electrónico
  • Ataque de suplantación de identidad del sitio web
  • Suplantación de DNS

Suplantación de IP:

IP es un protocolo de red que le permite enviar y recibir mensajes a través de Internet. La dirección IP del remitente se incluye en el encabezado del mensaje de cada mensaje de correo electrónico enviado (dirección de origen). Al alterar la dirección de origen, los piratas informáticos y los estafadores alteran los detalles del encabezado para ocultar su identidad original. Los correos electrónicos parecen haber venido de una fuente confiable. La suplantación de IP se puede dividir en dos categorías.

  • Ataques Man in the Middle: La comunicación entre el remitente original del mensaje y el destinatario es interceptada, como el término implica. Luego, el contenido del mensaje se cambia sin el conocimiento de ninguna de las partes. El atacante inserta su propio mensaje en el paquete. 
  • Ataques de denegación de servicio (DoS): en esta técnica, se interceptan los paquetes de mensajes del remitente y del destinatario, y se falsifica la dirección de origen. La conexión ha sido tomada. Por lo tanto, el destinatario se ve inundado con paquetes que exceden su ancho de banda o recursos. Esto sobrecarga el sistema de la víctima, apagándolo efectivamente.

Inconveniente :

En un ataque Man-in-the-middle, incluso el receptor no sabe dónde se originó la conexión. Esto es completamente un ataque ciego. Para llevar a cabo con éxito su ataque, necesitará mucha experiencia y comprensión de qué esperar de las respuestas del objetivo.

Medidas preventivas:

Deshabilitar los paquetes enrutados en origen y todos los paquetes entrantes externos con la misma dirección de origen que un host local son dos de las estrategias más frecuentes para evitar este tipo de ataques.

Suplantación de ARP: 

La suplantación de identidad ARP es un método de piratería que hace que el tráfico de la red se redirija a un pirata informático. La detección de direcciones LAN en redes LAN tanto cableadas como inalámbricas se conoce como suplantación de identidad. La idea detrás de este tipo de suplantación de identidad es transmitir comunicaciones ARP falsas a LAN Ethernet, lo que puede provocar que el tráfico se modifique o bloquee por completo.

El trabajo básico de ARP es hacer coincidir la dirección IP con la dirección MAC. Los atacantes transmitirán mensajes falsificados a través de la red local. Aquí la respuesta mapeará la dirección MAC del usuario con su dirección IP. Por lo tanto, el atacante obtendrá toda la información de la máquina víctima.  

Medidas preventivas:

Para evitar el envenenamiento por ARP, puede emplear una variedad de formas, cada una con su propio conjunto de ventajas e inconvenientes. Las entradas ARP estáticas, el cifrado, las VPN y el rastreo de paquetes son solo algunos ejemplos.

  • Entradas ARP estáticas: Consiste en crear una entrada ARP en cada ordenador para cada máquina de la red. Debido a que las máquinas pueden ignorar las respuestas ARP, mapearlas con conjuntos de direcciones IP y MAC estáticas ayuda a evitar intentos de suplantación de identidad. Lamentablemente, este enfoque solo puede defenderlo de algunos de los ataques más básicos.
  • Cifrado: los protocolos como HTTPS y SSH también pueden ayudar a reducir la probabilidad de que un intento de envenenamiento ARP tenga éxito. Cuando el tráfico está encriptado, el atacante debe realizar un esfuerzo adicional para convencer al navegador del objetivo de que acepte un certificado no válido. Sin embargo, cualquier dato enviado fuera de estos estándares seguirá siendo vulnerable.
  • VPN: las personas pueden considerar que una VPN es una protección razonable, pero rara vez es adecuada para empresas más grandes. Una VPN encriptará todos los datos que fluyen entre el cliente y el servidor de salida si solo una persona realiza una conexión potencialmente insegura, como acceder a wifi público en un aeropuerto. Dado que un atacante solo podrá ver el texto cifrado, esto ayuda a mantenerlos a salvo.
  • Filtros de paquetes: cada paquete entregado a través de una red es inspeccionado por estos filtros. Pueden detectar y prevenir transmisiones maliciosas, así como aquellas con direcciones IP sospechosas.

Para obtener más detalles sobre los ataques MITM que usan ARP spoofing, consulte el ataque MITM (Man in The Middle) usando ARP Poisoning .

Suplantación de identidad por correo electrónico: 

El tipo más común de robo de identidad en Internet es la suplantación de identidad por correo electrónico. Los phishers envían correos electrónicos a muchas direcciones y se hacen pasar por representantes de bancos, empresas y organismos encargados de hacer cumplir la ley mediante el uso de logotipos y encabezados oficiales. En los correos electrónicos que envían se incluyen enlaces a sitios web peligrosos o fraudulentos, así como archivos adjuntos cargados con software malicioso.

Los atacantes también pueden utilizar técnicas de ingeniería social para persuadir al objetivo de que revele información voluntariamente. Los sitios web falsos de banca o billetera digital se crean con frecuencia y se vinculan a ellos en los correos electrónicos. Cuando una víctima desconocida hace clic en ese enlace, se le lleva a un sitio falso donde debe iniciar sesión con su información, que luego se reenvía al usuario falso detrás del correo electrónico falso.

Método de detección manual:

  • Aunque el nombre para mostrar parece ser real, si no coincide con la dirección «De», es una indicación de suplantación de identidad por correo electrónico.
  • Lo más probable es que el correo sea falso si la dirección de «Responder a» no coincide con la dirección o el dominio del remitente original.
  • Los mensajes inesperados (como una solicitud de información confidencial o un archivo adjunto no deseado) deben abrirse con precaución o informarse de inmediato a su departamento de TI, incluso si el correo electrónico parece provenir de una fuente confiable.

Medidas preventivas:

Implemente verificaciones adicionales como el marco de política del remitente, el correo identificado con claves de dominio, el informe y la conformidad de la autenticación de mensajes basados ​​en el dominio y las extensiones de correo de Internet seguras/multipropósito.

Ataque de suplantación de identidad del sitio web: 

Los atacantes emplean la suplantación de URL/sitios web, también conocida como ciberocupación, para robar credenciales y otra información de usuarios finales desprevenidos mediante la creación de un sitio web que parece casi idéntico al sitio confiable real. Esto se hace frecuentemente con sitios que reciben mucho tráfico en línea. La clonación de Facebook es un buen ejemplo.  

Suplantación de DNS: 

Cada máquina tiene una dirección IP única. Esta dirección no es la misma que la dirección de Internet «www» habitual que utiliza para acceder a los sitios web. Cuando escribe una dirección web en su navegador y presiona enter, el Sistema de nombres de dominio (DNS) inmediatamente lo ubica y lo envía a la dirección IP que coincide con el nombre de dominio que proporcionó. Los piratas informáticos han descubierto una técnica para infiltrarse en este sistema y redirigir su tráfico a sitios dañinos. Esto se conoce como falsificación de DNS.

Medidas preventivas:

  • DNSSEC o Protocolo de extensión de seguridad del sistema de nombres de dominio es la solución de prevención de falsificación de DNS más utilizada, ya que protege el DNS al agregar capas de autenticación y verificación. Sin embargo, lleva tiempo verificar que los registros de DNS no estén falsificados, lo que ralentiza la respuesta de DNS.
  • Utilice el cifrado SSL/TLS para minimizar o mitigar el riesgo de que un sitio web sea pirateado mediante la suplantación de DNS. Esto permite que un usuario determine si el servidor es real y pertenece al propietario original del sitio web.
  • Solo confíe en las URL que comienzan con «HTTPS», lo que significa que un sitio web es legítimo. Considere el riesgo de un ataque de falsificación de DNS si el indicador de «HTTPS» parece estar cambiando.
  • La estrategia de seguridad o enfoque proactivo para prevenir un ataque DNS es el monitoreo activo. Es importante vigilar los datos de DNS y ser proactivo para detectar patrones de comportamiento inusuales, como la aparición de un nuevo host externo que podría ser un atacante.

La suplantación de identidad es la estrategia más popular utilizada por los anunciantes en estos días. Es bastante simple para ellos utilizarlo porque incluye una variedad de formas de realizarlo. Los anteriores son algunos ejemplos de suplantación de identidad y pasos preventivos que harán que nuestra organización sea más segura.

Publicación traducida automáticamente

Artículo escrito por anujeyashankar y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *