Entre las técnicas de ataque en línea que son utilizadas en la actualidad por los cibercriminales se encuentra el spoofing, a primera vista la explicación puede parecer un problema complejo, pero lo esencial es que se conozca como esto puede ser utilizado para convertir la computadora donde se trabaja, en un agente de ataque de un ciberdelincuente y poder detectar los indicios que permitan determinar que se es objeto de una agresión con esta técnica. Finalmente, solo queda por decir, antes de entrar en materia, que esta técnica es utiliza en la publicación de las Fakenews (noticias falsas) tan de moda hoy día, para borrar las huellas del autor de la mentira.
El spoofing que se basa en la creación de una trama TCP/IP (protocolos unificados que se sustentan la transmisión de datos en las redes) para utilizando una IP falsa simular la identidad de otra computadora de una red y conseguir acceso a recursos de otro sistema donde se han establecido indicadores de confianza basados en el nombre o la dirección IP del host suplantado, lo que convierte a esta técnica en un ataque factible para cualquier organización.
Para comprender en toda su profundidad el problema, es necesario partir de que en este proceso entran en juego tres máquinas: atacante, atacado y suplantado, esta última tiene cierta relación con el atacado y para conseguir el objetivo de la comunicación falseada debe evitarse que el equipo suplantado interfiera el ataque. Para ello, existen diversas maneras entre las que se pueden apuntar: modificar rutas de red, realizar un filtrado de paquetes entre ambos sistemas y la más utilizada en la mayoría de los casos es un ataque de denegación de servicios.
Es importante tomar en consideración que, si se detectan dos números IP iguales en la red, el protocolo emitirá un mensaje de error que debe constituir el detonante para investigar la situación y buscar un ataque de esta tipología. Es por ello, que los atacantes que desean pasar inadvertidos esperan el momento en que el sistema suplantado está fuera de servicio por cualquier causa.
Sin embargo, se requiere de un momento culminante en el proceso de la comunicación y que se basa en el envío de una trama SYN al atacado y la recepción de un SYN + ACK por el atacante para que se establezca el enlace. En este proceso de “negociación” existen mecanismos como el envío del “número de secuencia” adecuado que garantiza que el enlace sea realizado o descartado.
Si el enlace es conseguido la tarea siguiente será el envío de datos a su objetivo con la finalidad de crear una puerta trasera que le permita una conexión normal entre las dos computadoras.
Para evitar este tipo de ataques se pueden aplicar medidas entre las que se pueden apuntar el robustecimiento para la predicción de los números de secuencia, la supresión de relaciones de confianza basadas en la dirección IP o nombres de máquinas que pueden ser sustituidas por claves criptográficas, el cifrado y filtrado de las conexiones aceptadas por las computadoras, entre otras.
Lo que se ha explicado hasta el momento es básicamente un IP spoofing, una de las tipologías de este tipo de ataques, que si bien es utilizado con frecuencia no es el único, por lo que es conveniente que se conozcan otras modalidades utilizadas: ARP spoofing, DNS spoofing, Web spoofing y email spoofing.
El ARP spoofing se encarga de suplantar las tramas ARP (protocolo de resolución de direcciones). De esta forma consiguen enviar los equipos atacados a un host en el que los datos de nuestras máquinas estarán en manos de un delincuente. Para conseguir su objetivo, el hacker conseguirá duplicar las tablas que contienen las tramas ACR. Esto permitirá forzar a enviar paquetes a un host, controlado por el atacante en lugar del destino legítimo.
La idea es sencilla, pero sus efectos suelen ser muy nocivos porque se produce denegación de servicios, intercepción de datos del tipo Man in the Middle contra ciertos protocolos cifrados, entre otros.
El DNS spoofing consiste en falsificar una IP (número que identifica a cada dispositivo en la red) para que, mediante un nombre DNS (sistema de nombres de dominio), consiga una IP. Para lograrlo se podría comprometer un servidor para que infecte la caché de otro o modificar las entradas del servidor.
El Web Spoofing se encarga de suplantar una página web real por una falsa, para conseguir datos de los usuarios. La página falsa actúa a modo de proxy, y así es posible solicitar información pedida por la víctima a cada servidor original llegando a evitar la protección SSL.
Mediante el uso de un código maligno se crea una ventana de navegador de apariencia inofensiva e, la máquina de la víctima y a partir de ahí s enrutan las páginas dirigidas al equipo atacado. El proceso implica registrar cualquier dato introducido en un formulario, cualquier clic en un enlace, entre otros.
Finalmente el e-mail spoofing, consiste en suplantar una dirección de correo electrónico. Esta técnica se usa con frecuencia para el envío de correos hoax como suplemento perfecto para el uso de phising y SPAM, cuestión esta que ha sido una táctica muy socorrida en los ataques que se vienen desarrollando hace un tiempo a buzones de correo de usuarios de la institución.