Suplantación de IP - Falsificación de direcciones de origen en paquetes
Lectura de 2 min aprox.
La suplantación de IP (IP spoofing) es una técnica de ataque que falsifica la dirección de origen de los paquetes IP para ocultar la identidad del atacante o suplantar a un host de confianza. Se utiliza ampliamente para amplificar ataques DDoS y para eludir la autenticación basada en direcciones IP. El diseño del protocolo TCP/IP no exige la verificación de la dirección de origen, lo cual es lo que hace posible este ataque. A fecha de 2025, la tasa de adopción de BCP38 todavía no puede considerarse suficiente, y los ataques de amplificación DDoS que explotan la suplantación de IP siguen siendo una amenaza importante.
Casos de uso reales
«En un ataque de reflexión DNS, se envió a resolutores abiertos de todo el mundo un enorme volumen de consultas DNS con la IP de origen suplantada como la dirección de nuestro servidor. Como resultado, 40 Gbps de tráfico de respuesta por segundo se concentraron en nuestro servidor, y el servicio estuvo caído durante unas dos horas.»
Cómo funciona la suplantación de IP
El atacante reescribe el campo de dirección de origen en la cabecera del paquete IP con un valor arbitrario antes de enviarlo. La comunicación basada en UDP es sin conexión, lo que facilita la suplantación, y se abusa de ella en ataques de reflexión DNS y de amplificación NTP. En la comunicación basada en TCP se requiere un protocolo de enlace de tres vías, por lo que la suplantación completa es difícil; sin embargo, resulta eficaz para ataques que no completan una conexión, como los ataques de inundación SYN.libros sobre ataques de red (Amazon) te permiten aprender los detalles técnicos.
Escenarios de ataque reales
En un ataque DDoS, se envían a un gran número de servidores DNS consultas DNS con la IP de origen suplantada como la dirección del objetivo. Las respuestas de los servidores DNS se concentran en la dirección suplantada del objetivo, saturando la red de este. En este ataque de amplificación, una consulta pequeña provoca una respuesta decenas de veces mayor, lo que permite al atacante generar más tráfico del que abarca su propio ancho de banda. También existe una técnica en la que, como fase previa a un ataque de intermediario, el atacante suplanta la IP de un host de confianza para introducirse en la red.
Detección y defensa
A nivel de ISP, el filtrado de entrada basado en BCP38/RFC 2827 puede bloquear los paquetes cuyas direcciones de origen quedan fuera del propio rango de la red. Configurar reglas antisuplantación en un cortafuegos y adoptar la seguridad de confianza cero para ofrecer una autenticación que no dependa únicamente de las direcciones IP también resultan eficaces. Proteger los equipos de red con contraseñas aleatorias robustas para impedir la manipulación de la configuración es asimismo una medida básica.guías de configuración de cortafuegos (Amazon) también son referencias útiles.
¿Te resultó útil este artículo?