Suplantación del protocolo de resolución de direcciones (ARP): Qué es y cómo prevenir un ataque ARP

La suplantación del protocolo de resolución de direcciones (ARP, por sus siglas en inglés) o el envenenamiento de ARP es una forma de ataque de suplantación que los hackers emplean para interceptar datos. Un hacker lanza un ataque de suplantación de ARP engañando a un dispositivo para que envíe mensajes al hacker en lugar de al destinatario previsto. De este modo, el hacker obtiene acceso a las comunicaciones del dispositivo, lo que incluye datos confidenciales, como contraseñas e información de tarjetas de crédito. Por suerte, puedes protegerte contra estos ataques de varias maneras.

Protocolo de resolución de direcciones y suplantación de ARP

La suplantación de ARP ocurre en una red de área local (LAN) mediante un ARP, que es un protocolo de comunicación que conecta una dirección de protocolo de Internet (IP) dinámica a una dirección de máquina física. Esta última se denomina dirección de control de acceso al medio (MAC). El protocolo de resolución de direcciones dirige la comunicación en la LAN.

Cada dispositivo de red tiene una dirección IP y una dirección MAC. Para enviar y recibir mensajes, el host de una red debe conocer las direcciones de los demás en esa red. Al hacerlo, un host conectará una dirección IP (normalmente dinámica) a una dirección MAC física.

Por ejemplo, el host A en una red de ordenadores desea conectar su dirección IP a la dirección MAC del host B. Por lo tanto, envía una solicitud ARP a todos los demás hosts en la LAN. Tras esta solicitud, recibe una respuesta ARP del host B con su dirección MAC. A continuación, el host solicitante guarda esta dirección en su caché ARP, que se asemeja a una lista de contactos. A esta memoria caché a veces se la denomina tabla ARP, ya que las direcciones se almacenan con formato de tabla.

La suplantación de ARP la realiza un ciberdelincuente con acceso a la LAN que se hace pasar por el host B. Este envía mensajes al host A con el objetivo de engañarle para que guarde la dirección del criminal como si fuese la del host B. El host A acabará por enviar al ciberdelincuente las comunicaciones destinadas al host B. Una vez que el criminal asume este papel de intermediario, cada vez que el host A se comunique con el host B, este en realidad se estará comunicando primero con el ciberdelincuente. Generalmente, el host B será la puerta de enlace predeterminada o el router.

Propósito de un ataque de suplantación de ARP

Un ataque de suplantación de ARP puede tener varios objetivos. Los ciberdelincuentes pueden utilizar la suplantación de ARP para espiar o llevar a cabo ataques de intermediario u otros ciberataques, como ataques de denegación de servicio.

¿Qué son los ataques de espionaje y de denegación de servicio?

El espionaje ocurre cuando el ciberdelincuente no modifica las comunicaciones entre el host A y el host B, sino que solo las consulta y luego las reenvía al host pertinente. En un ataque de intermediario, en cambio, el ciberdelincuente modifica la información antes de remitirla al host oportuno.

Con todo, estos actos de espionaje y modificación de mensajes suelen formar parte de un ciberataque más elaborado que implica movimiento lateral. Uno de tales ataques es el de denegación de servicio, en el que el ciberdelincuente impide que se envíen comunicaciones entre dos o más hosts. Asimismo, es posible que el ciberdelincuente también envíe archivos maliciosos entre los hosts.

¿Quién recurre a la suplantación de ARP?

Los hackers han utilizado la suplantación de ARP desde la década de 1980. Estos ataques pueden ser planificados u oportunistas. Los ataques planificados incluyen ataques de denegación de servicio, mientras que un ejemplo de oportunismo sería robar información de una red Wi-Fi pública. Aunque estos ataques se pueden prevenir, aún se lanzan con frecuencia porque son fáciles de llevar a cabo desde un punto de vista financiero y técnico.

Con todo, la suplantación de ARP también puede realizarse con fines altruistas. Los desarrolladores también recurren a ella para depurar el tráfico de la red insertando deliberadamente un intermediario entre dos hosts. Los hackers éticos también pueden simular ataques de envenenamiento de caché ARP para garantizar que las redes estén a salvo de estos ataques.

Efectos de la suplantación de ARP

La suplantación de ARP tiene efectos similares a otras formas de suplantación, como la suplantación de correo electrónico. Los efectos notables de la suplantación de ARP pueden variar desde ninguno hasta una pérdida total de la conexión a la red si el ciberdelincuente implementa un ataque de denegación de servicio. Los efectos del ataque se harán patentes o no en función de los objetivos del hacker. Si solo se pretende espiar o modificar información entre hosts, es muy posible que el ataque pase desapercibido. Lo mismo sucederá si se busca iniciar otro ataque, como suele ser el caso con los ataques de suplantación de ARP. No obstante, estos ataques se harán evidentes una vez que se alcance su objetivo final. Por ejemplo, tu sistema puede estar sobrecargado por comunicaciones de malware o tu máquina podría estar infectada con ransomware.

¿Por qué es peligrosa la suplantación de ARP?

La suplantación de ARP puede ser peligrosa por muchos motivos. Principalmente, lo es porque otorga a los hackers acceso no autorizado a información privada. Un hacker puede luego usar este acceso para diversos fines maliciosos, como acceder a contraseñas, datos de identificación o información de tarjetas de crédito. Estos ataques también pueden utilizarse para introducir software malicioso, como ransomware.

Cómo saber si alguien suplanta tu ARP

Para saber si están suplantando tu ARP, comprueba tu programa de gestión de configuración y automatización de tareas. Aquí podrás encontrar tu caché ARP. Si hay dos direcciones IP con la misma dirección MAC, podrías ser víctima de un ataque. Los hackers suelen utilizar un software de suplantación de identidad que envía mensajes indicando que su dirección es la del portal predeterminado.

Sin embargo, también es posible que este software engañe a su víctima para que sobrescriba la dirección MAC de la puerta de enlace predeterminada con la suya. En este caso, tendrás que revisar el tráfico ARP para detectar cualquier elemento inusual. El tráfico anormal suele consistir en mensajes no solicitados que afirman poseer la dirección IP o MAC del router. Por lo tanto, los mensajes no solicitados pueden ser una señal de un ataque de suplantación de ARP.

Cómo tratan de permanecer ocultos los ciberdelincuentes

Los ciberdelincuentes que suplantan el ARP a menudo quieren pasar desapercibidos. De este modo, pueden recopilar información o infiltrarse aún más en la red en la que se encuentran para lanzar un ataque mayor. Si los hosts de la red se dieran cuenta de que las solicitudes ARP recibidas son falsas, la suplantación podría mitigarse.

Las víctimas normalmente no detectarán una caché ARP envenenada; seguirán recibiendo sus comunicaciones con normalidad. No obstante, el ciberdelincuente interceptará estas comunicaciones enviadas a través del ARP, como los nombres de usuario y las contraseñas de las víctimas.

Cómo proteger tus sistemas de la suplantación de ARP

Afortunadamente, puedes implementar una serie de procedimientos y herramientas como parte de tu plan de respuesta a incidentes a fin de evitar la suplantación de ARP. Estos métodos incluyen la certificación de solicitudes ARP, el filtrado de paquetes, software antisuplantación de ARP y cifrado.

Herramientas para validar solicitudes ARP

Las entradas ARP estáticas representan la forma más sencilla de validar direcciones IP y MAC. Una entrada ARP estática se introduce o acepta manualmente, lo que elimina la posibilidad de que un dispositivo modifique automáticamente la caché ARP siguiendo el protocolo ARP. Esto se puede hacer únicamente para algunas entradas (por ejemplo, las direcciones de la puerta de enlace predeterminada), mientras que otras siguen siendo dinámicas. Es probable que la mayoría de las direcciones deban permanecer como dinámicas, ya que de lo contrario el mantenimiento de la memoria caché en muchas redes sería demasiado exigente.

También existe software para validar las solicitudes ARP, lo que te ayuda a protegerte contra la suplantación de ARP. Este software certifica direcciones IP y MAC, y bloquea activamente las respuestas sin certificar. Existe otro software que notifica a un host cuando se ha modificado una entrada de la tabla ARP. Hay numerosas opciones de software, algunas de las cuales operan a nivel de kernel, mientras que otras pueden formar parte del protocolo de configuración de host dinámico de la red o del conmutador de la red.

Herramientas para prevenir la suplantación de ARP

Una forma bastante sencilla de protegerse contra la suplantación de ARP es utilizar firewalls de filtrado de paquetes. Estos firewalls marcan los paquetes de datos que provienen de una dirección que se encuentra dos veces en la red, ya que esta duplicación sugiere la presencia de alguien que se disfraza de otro host.

Con todo, el cifrado es probablemente la manera más relevante de protegerse contra un ataque ARP. Debido al uso generalizado de protocolos de comunicación cifrados en la actualidad, piratear el ARP se ha vuelto una labor mucho más complicada. Por ejemplo, la mayor parte del tráfico del sitio web está encriptado mediante HTTPS, lo que evita que el hacker lea los mensajes tras interceptarlos. Por ende, la forma más importante de mitigar este tipo de ataques es evitar enviar datos no cifrados.

El software también puede ayudarte a garantizar tu protección. Muchos programas de software de protección de ciberseguridad notifican a los usuarios si están en un sitio donde, por ejemplo, los datos no están cifrados.

Otra herramienta de cifrado que vale la pena destacar es la red privada virtual (VPN). Cuando te conectas a una VPN, todos tus datos ingresan mediante un túnel cifrado.

Por último, aunque no es exactamente una "herramienta", puedes simular la suplantación de ARP en tu propia red para buscar posibles fallos en tu sistema de ciberseguridad. De hecho, la mayoría de las herramientas empleadas para iniciar estos ataques están disponibles para el público general y son fáciles de usar, lo que hace que el hacking ético sea una estrategia viable para protegerse contra este tipo de ataques.