¿Qué es el spoofing y cómo prevenir un ataque?

7min

Desafortunadamente, en el mundo digital es cada vez más frecuente la aparición de ataques de seguridad de diversos tipos con el objetivo de robar información sensible mediante la cual se pueda realizar algún tipo de operación ilícita. Debemos, por tanto, permanecer prevenidos, y para ello, uno de los primeros pasos es estar informados sobre los tipos de ataques de los delincuentes digitales. En este post os vamos a hablar del spoofing y cómo podemos estar protegidos ante él.

Índice

¿Qué es el spoofing?

Spoofing es un tipo de ataque de seguridad mediante la suplantación de identidad que tiene la intención de robar información sensible, con la cual se pueda luego realizar algún tipo de operación fraudulenta. Los objetivos de estos ataques pueden ser la obtención de usuarios y claves o de identidades, mediante las cuales luego hacer operaciones de traspaso de fondos o cualquier otra actividad ilícita.

La clave de los ataques de spoofing consiste en que los delincuentes realizan técnicas por las cuales pretenden engañar al receptor de los mensajes, falsificando las comunicaciones de modo que parezcan lícitas.

¿Cuál es la diferencia entre spoofing y phishing?

Seguro que más de una vez hemos oído hablar de phishing y tengamos bastante claro el concepto. Spoofing es un tipo de ataque similar al phishing, por lo que es fácil confundir ambos términos.

Ambos tipos de ataques tienen como objetivo robar información del usuario mediante la suplantación de identidad para luego usarla en alguna operación fraudulenta. La diferencia consiste en que los mensajes de phishing simplemente están diseñados para parecer como si fueran de una fuente confiable, mientras que en spoofing existe alguna técnica más avanzada de ciberseguridad mediante la cual el remitente realiza la falsificación de la identidad de los mensajes para que lleguen como si fueran de una fuente legítima.

Por tanto, spoofing es un tipo de ataque más avanzado, que puede incluir la manipulación de direcciones IP, correos electrónicos o páginas web

Tipos de spoofing

Veamos ahora los principales tipos de spoofing que se encuentran en la actualidad.

Spoofing de IP

En el spoofing de IP, como su nombre indica, existe una falsificación de la dirección IP de un servidor en la red, de modo que parezca que los mensajes vienen desde otra dirección de red. 

El spoofing de IP se utiliza habitualmente para ocultar la identidad del atacante y evadir sistemas de seguridad.

Spoofing de DNS

Los DNS son servidores que convierten nombres de dominio en direcciones IP y forman parte de las bases mediante las que funciona Internet. Pues bien, en el spoofing de DNS, el atacante manipula las respuestas de estos sistemas de traducción de nombres de dominios para redirigir a los usuarios a sitios web maliciosos en lugar de los sitios originales.

Spoofing de ARP (Address Resolution Protocol)

En este tipo de ataque se procura interceptar, modificar o bloquear datos destinados a un dispositivo. Para ello se envían mensajes ARP falsificados que permitan asociar su dirección MAC con la dirección IP de otro dispositivo en la red.

Spoofing de correo electrónico

En el spoofing de correo electrónico se envía mensajes de email que falsifican alguno de los datos del remitente para hacer parecer legítimos. Es habitual encontrar algún tipo de spoofing en los ataques de phishing que todos habremos recibido alguna vez. La clave aquí es que en spoofing se envían los mensajes con una dirección del remitente falsificada, haciendo como si fueran enviados por una fuente legítima. Por tanto, y para que nos aclaremos, en los mensajes de correo de Phishing pueden incorporarse técnicas de Spoofing para que los emails parezcan que vienen desde una dirección confiable.

Spoofing de identidad en redes sociales

También puede existir Spoofing mediante la suplantación de identidad en redes sociales. En este tipo de ataques se crea un perfil falso en cualquier plataforma de red social que imita a ser de una empresa legítima o una persona conocida. Mediante esos perfiles falsos los atacantes ganan la confianza de las víctimas para conseguir sus objetivos con mayor facilidad.

Cómo detectar el spoofing

El problema del spoofing es que se realiza de manera que los mensajes parezca que provienen de direcciones o entidades reales, por ello son más difíciles de detectar.

Un primer consejo es siempre mantenerse alerta y desconfiar de cualquier tipo de comunicación, sobre todo aquellas que pretenden que entreguemos información sensible. Los bancos, por ejemplo, nunca nos van a enviar mensajes para solicitar nuestros datos de acceso a la banca electrónica.

Además de nuestro propio sentido común, podemos analizar los mensajes en busca de indicios que nos puedan ayudar a identificar los ataques. Por ejemplo, puede haber inconsistencias en las direcciones de correo electrónico y las cabeceras de los mensajes.

Si detectamos un comportamiento inusual de la red como un aumento excesivo del tráfico o un rendimiento lento de la red, también nos puede indicar un ataque de spoofing ARP o IP.

Asimismo, podemos seguir las alertas de seguridad de herramientas anti-malware o de sistemas de detección de intrusiones, así como las recomendaciones de las entidades financieras, que son el blanco más habitual de los ataques de spoofing.

¿Cómo evitar el spoofing? Técnicas anti-spoofing

Para tener una disposición activa contra el spoofing podemos seguir las siguientes técnicas anti-spoofing.

Filtrado de paquetes por origen (Ingress Filtering)

Esta técnica realiza el filtrado de paquetes, de modo que se impide que los paquetes de datos con direcciones IP de origen falso entren en una red. Se implementa a nivel de router o firewall, y ayuda a asegurar que solo se realice el tráfico de datos proveniente de direcciones IP legítimas.

Verificación de la autenticidad del correo electrónico (DKIM)

En los servidores de correo electrónico y los filtros antispam se usa habitualmente DKIM (DomainKeys Identified Mail), que es un método de autenticación de correo electrónico que utiliza criptografía para verificar la autenticidad de los remitentes de los correos electrónicos.

Este tipo de técnicas son esenciales para prevenir el spoofing de correo electrónico, asegurando la integridad y la autenticidad del remitente de los mensajes.

Monitoreo activo de tráfico ARP (ARP Spoofing Detection)

También existen herramientas de detección de spoofing ARP. Ellas monitorean activamente la red en busca de signos de actividad ARP sospechosa.

Utilización de protocolos seguros (HTTPS)

También muy importante es usar siempre protocolos de acceso a los sitios web seguros, mediante HTTPS, de modo que los datos transmitidos entre el navegador del usuario y el servidor se encuentren debidamente encriptados a la vez que se autentica la fuente de la información. Ello nos permite reducir el spoofing de un sitio web, y reduce también el riesgo de spoofing de DNS.

Implementación de SPF (Sender Policy Framework)

En el segmento del correo electrónico también tenemos la protección SPF. Consiste en la validación de los mensajes de email, de modo que se pueda prevenir el spoofing de correo electrónico. Básicamente permite verificar la dirección IP del remitente contra la lista de IPs autorizadas para enviar correos desde ese dominio.

Uso de certificados digitales para autenticación

Los certificados digitales son útiles para prevenir el spoofing de identidad. Mediante el certificado se puede autenticar la identidad de los sitios web y los usuarios, garantizando que la entidad con la que se está comunicando es quien dice ser.

Actualización y parcheo regular de sistemas

Además de todas las técnicas anteriores es siempre importante mantener los sistemas operativos, aplicaciones y dispositivos de red actualizados debidamente. Esto es, con las versiones recientes y con los últimos parches de seguridad instalados. De este modo se puede tener más certeza que los sistemas que usamos en el día a día estén libres de vulnerabilidades conocidas, lo que impedirá que se usen esos agujeros para realizar ataques de spoofing.

Sergio Arias

Productos relacionados: