Blog

Conceptos básicos de un ataque de sniffing

Conceptos básicos de un ataque de sniffing

Mediante herramientas de software o dispositivos de hardware se pueden interceptar datos en bruto a medida que se transmiten a través de una red y decodificarlos en un formato legible para humanos.En muchos casos, los profesionales de TI, utilizan herramientas de rastreo para mantener un flujo constante de tráfico en una red corporativa.

Hay rastreadores de paquetes tanto para redes wifi, como para redes cableadas, sin embargo, todos tienen un objetivo en común: capturar todo el tráfico que entra y sale de un dispositivo conectado a una red para almacenarlo.

Con un rastreador, es posible capturar casi cualquier información, por ejemplo, qué sitios web visita un usuario, el contenido y el destino de cualquier correo electrónico, junto con detalles sobre los archivos descargados.

Las empresas también suelen utilizar analizadores de protocolo para realizar un seguimiento del uso de la red por parte de los empleados.

  • Para poner freno a los acaparadores de ancho de banda, que por ejemplo descargan torrents en horas de oficina.
  • Optimizar el tráfico de la red.
  • Prevenir intrusiones e infecciones de malware.
  • Identificar problemas, como cuellos de botella.
  • Descubrir aplicaciones que ralentizan el sistema.

Para algunos administradores de TI, la resolución de problemas de red es posiblemente una de las tareas más frustrantes y que requieren más tiempo.

Sin embargo, estos analizadores se pueden utilizar con fines maliciosos.

En pocas palabras: para husmear en redes de forma ilegal.

Solo hace falta instalarlo en un dispositvo conectado a la red y empezar a analizar paquetes.

Su propósito es robar todo tipo de información, como por ejemplo ID de los usuarios o contraseñas sin cifrar.

El sniffing es un tipo de ataque silencioso y generalmente pasivo en el que los atacantes pueden permanecer casi invisibles.

Esto hace que sea difícil de detectar y, por tanto, es bastante peligroso.

El software utilizado para estos menesteres contiene su propio controlador de red que conecta el rastreador a la red objetivo para capturar una gran cantidad de paquetes.

Wireshark

Algunas herramientas son mejores que otras, unas son de pago y otras gratuitas o tienen diferentes características.

A continuación se enumeran algunos de los Packet Sniffers más utilizados.

  • SolarWinds Network Packet Sniffer: aplicación de pago que puede recopilar datos de más de 1200 aplicaciones incluidas las de redes sociales.
  • Wireshark: anteriormente llamado Ethereal, es un proyecto  de código abierto bastante veterano (comenzó en 1998) que es prácticamente el estándar de la industria. 
  • Paessler PRTG: otra solución de pago potente y relativamente fácil de usar, adecuada para empresas de todos los tamaños.
  • Tcpdump: especialmente pensado para los que son de la vieja escuela y por lo tanto adictos a la línea de comandos.
  • NetworkMiner: herramienta de código abierto, con una versión gratuita y otra de pago, que posiblemente es uno de los mejores analizadores de nivel de paquetes que podemos encontrar.
  • Fiddler: herramienta gratuita personalizable mediante scripts que tiene un historial largo y distinguido.
  • BruteShark: herramienta de análisis forense (NFAT) que se puede utilizar para procesar e inspeccionar el tráfico de red.
  • Wifi Explorer: si todo lo que necesitamos es análizar redes wifi esta aplicación nos facilitará la vida.

A la hora de escoger un rastreador de paquetes, es importante tener en cuenta el uso que le vamos a dar, y si merece la pena pagar por el software.

En este sentido, la mayoría de las herramientas gratuitas o de código abierto funcionan tan bien o mejor que cualquier software de pago.

Cómo se instala un rastreador

El usuario medio puede encontrarse con rastreadores si visita sitios web inseguros que descargan automáticamente la aplicación, ser víctima de un correo electrónico de phishing con archivos adjuntos o enlaces maliciosos, o si usa redes wifi falsas o no seguras en sitios públicos.

Imagina que estás en tu bar favorito, sacas tu teléfono móvil y te pones a buscar la red wifi que el dueño del establecimiento ofrece de forma gratuita a sus clientes.

El problema es que, detrás de esta red wifi puede estar un perpetrador que ha creado un punto de acceso falso con un nombre similar al legítimo, a la espera de que algún incauto se conecte a ella para actualizar su muro de Facebook o consultar el saldo de su cuenta bancaria.

Para ello solo necesita un portátil con una tarjeta de red inalámbrica, un programa como Aircrack-ng que sirve para hacer auditorías inalámbricas y una herramienta como RogueSploit.

Tipos de olfateo (Sniffer)

Puede que toda esta terminología especializada cuyo significado raras veces se explica por sí misma, a los usuarios domésticos nos suene a afrikaans, pero en cualquier caso, hay dos tipos de olfateo: activo y pasivo.

Rastreo activo: para capturar tráfico entre los objetivos, los sniffers tienen que inyectar tráfico activamente en la red LAN para inundar la tabla de memoria de direcciones de contenido (CAM) del conmutador (dispositivo que nos permite interconectar los distintos equipos y nodos en una red cableada).

Esto, a su vez, redirigirá el tráfico legítimo a otros puertos, lo que permitirá al atacante rastrear el tráfico del conmutador.

Las técnicas de rastreo activo incluyen ataques de suplantación de identidad, ataques DHCP y envenenamiento de DNS, entre otros.

Rastreo pasivo: implica solo escuchar y generalmente se implementa en redes conectadas por concentradores (los dispositivo que permiten centralizar el cableado de una red).

En este tipo de red, el tráfico es visible para todos los ordenadores y otros dispositivos (tablets, móviles, portátiles) conectados a una red.

Algunas formas de rastrear una red.

Estos son los métodos que utilizan los piratas informáticos para obtener lo que quieren.

Olfateo (Sniffer) de LAN

Un rastreador implementado en una LAN interna puede escanear todo el rango de IP de manera promiscua (captura todo el tráfico que circula por ella).

Esto ayuda a proporcionar detalles en tiempo real, como los dispositivos conectados, los puertos abiertos, hacer un inventario de los servidores, etc.

Una vez que se recopila una lista con los puertos abiertos, es posible perpetrar un ataque de vulnerabilidad específico para cada uno de ellos.

Olfateo (Sniffer) de protocolo

Este método implica rastrear datos relacionados con los protocolos de red.

Primero, se crea una lista de protocolos basada en los datos capturados.

Esto se segrega aún más para crear rastreadores especiales para cada ataque.

Por ejemplo, en una captura de rastreo de red, si no se ve el protocolo ICMP, se supone que está bloqueado.

Sin embargo, si se ven paquetes UDP, se inicia un rastreador UDP separado para capturar y descifrar Telnet, PPP, DNS y otros detalles de la aplicación relacionados.

Olfateo (Sniffer) de ARP

El pirata informático captura una gran cantidad de datos para crear un mapa de las direcciones IP de los dispositivos y sus direcciones MAC asociadas.

Dicho mapa se utiliza además para crear ataques de envenenamiento ARP, ataques de suplantación de paquetes o para profundizar en vulnerabilidades basadas en enrutadores.

Robo de sesiones TCP

Es una forma muy básica de rastreo, en la que una interfaz de red en modo promiscuo captura el tráfico entre una dirección IP de origen y de destino.

En informática, el modo promiscuo es aquel en el que un dispositivo conectado a una red tanto basada en cable como inalámbrica captura todo el tráfico que circula por ella.

Los detalles como los números de puerto, los tipos de servicio, los números de secuencia de TCP y los datos en sí son de interés para los piratas informáticos.

Al capturar suficientes paquetes, los piratas informáticos avanzados pueden crear sesiones TCP diseñadas para engañar al origen y al destino, y situarse como intermediario para hacerse cargo de la sesión TCP.

Detección a nivel de aplicación

Por lo general, a partir de los paquetes de datos rastreados y capturados se descubren algunos detalles de las aplicaciónes para robar información o crear más ataques.

Por ejemplo, el archivo de captura se puede analizar para obtener huellas digitales del sistema operativo, el software instalado, análisis de consultas SQL, revelar información de datos de puertos TCP específicos de un programa en concreto, etc.

En otro enfoque, crear una mera lista de aplicaciones que se ejecutan en un servidor es lo suficientemente bueno para planificar una ataque específico.

Que se puede interceptar.

  • Tráfico de correo electrónico.
  • Contraseñas FTP.
  • Tráfico web.
  • Contraseñas Telnet.
  • Configuración del enrutador.
  • Sesiones de chat.
  • Tráfico DNS.

Prevención contra rastreadores

Reconocer a un sniffer no es una tarea sencilla, ya que, como hemos dicho antes, actúa de forma furtiva, siendo casi imperceptible para el usuario medio.

Sin embargo, existen algunas medidas que podemos tomar para evitar ser presa de los rastreadores.

Evita las redes wifi públicas.

El Wi-Fi público es una de las plataformas favoritas de los piratas informáticos para realizar ataques de Man in the Middle .

Muchos incautos se conectan a ellas sin comprender los peligros potenciales. Si necesitas usar una red wifi pública, usa un servicio VPN que cifrará tu tráfico y te protegerá de tales ataques.

Y no se te ocurra iniciar sesión en tus redes sociales o en tu banca en línea desde este tipo de conexiones.

Utiliza plataformas de correo electrónico y mensajería cifradas.

Una VPN cifra tu tráfico de Internet, pero no siempre resuelve todos los problemas, especialmente si las aplicaciones o plataformas de mensajería no están encriptadas de un extremo a otro.

Utiliza solamente las que protejan tu privacidad y seguridad.

Visita los sitios web mediante  HTTPS.

Presta atención a los sitios web que visitas. Asegurate de que su URL tenga un encabezado  HTTPS.

Los sitios web que utilizan el protocolo HTTPS tienen instalados certificados SSL /TLS que si bien no garantizan la autenticidad la página web (muchos sitios de phishing utilizan este tipo de certificados), si que aseguran que su tráfico está cifrado.

Usa una buena VPN

Esta herramienta como ya hemos comentado en artículos anteriores, es un gran aliado para la protección contra los rastreadores.

Una Red Privada Virtual también protege contra el acceso remoto, bloquea en gran medida los ataques de fuerza bruta,  y entre otras cosas permite el acceso a contenido con restricciones geográficas.

Realizar exploraciones periódicas en las redes informáticas para identificar a cualquier intruso.

Los administradores de red y  el equipo de TI pueden utilizar varias técnicas para detectar a los rastreadores antes de que causen algún daño.

Por ejemplo, pueden monitorear el ancho de banda o auditar dispositivos que están configurados en modo promiscuo.

¿Cuánto tráfico pasa a través de una red? ¿Qué aplicaciones utilizan la mayoría del ancho de banda?

También es fundamental proteger nuestro router con una buena contraseña, tener su firmware actualizado y configuralo adecuadamente para mantener a salvo los dispositivos conectados, de forma inalambrica o mediante cable.

¿Qué piensas?

¡Envianos tus comentarios!

Temas: ,
También te puede interesar
Principales tipos de ciberacoso que todos los padres deben conocer

Principales tipos de ciberacoso que todos los padres deben conocer

El ciberacoso se lleva a cabo utilizando dispositivos digitales y puede...

Aplicaciones gratuitas para auditar redes WiFi

Aplicaciones gratuitas para auditar redes WiFi

La seguridad WiFi es un elemento que en ocasiones recibe poca atención por parte...

Por qué la copia de seguridad es tan importante

Por qué la copia de seguridad es tan importante

Tener una copia de seguridad de nuestra información más importante guardada en un...

Riesgos de seguridad al escanear códigos QR

Riesgos de seguridad al escanear códigos QR

El humilde código QR, ignorado en gran medida durante casi dos décadas, ha vuelto...