¿Qué es el "spoofing"?

Se conoce como "spoofing" como el conjunto de técnicas de suplantación de identidad en la red, generalmente con intenciones fraudulentas o de investigación.

Existen diferentes técnicas o tipos de spoofing, y todos ellos se basan en la suplantación de direcciones de red en diferentes protocolos, de lo que sugen una serie de tipos de spoofing diferentes.

Quizás el más conocido es el "IP spoofing", que se refiere precisamente a la suplantación del número IP a nivel de protocolo IP, por lo cual es quizás el más difícil de generar y actualmente los routers y firewall son muy capaces de detectar este tipo de técnica.

Otro muy conocido es el "ARP spoofing". El protocolo ARP es el que se encarga de traducir los números IP a numeros de identificación de red MAC que toda interfaz de red debe poseer (no confundir con Macintosh). En palabras cristianas ARP (Address Resolution Protocol) es el protocolo encargado de traducir una dirección IP al número MAC de su tarjeta de red ethernet, o de su dispositivo wireless (ejemplo 192.168.0.1 a 00-aa-00-62-c6-ff ). Tanto el IP spoofing como el ARP spoofing son técnicas muy poco utilizadas actualmente, ya que además de ser algo complejas, solo sirven en una dirección, es decir desde el host infectado hacia la dirección destino, y que para que funcionaran en dos sentidos (ejemplo: WEB) ambos lados de la comunicación deberían ser "infectados" por programas (casi siempre troyanos) que manipulen los paquetes de comunicación.

Empezando con algunos algo tipos de spoofing más peligrosos, está el "DNS spoofing" en donde a quien se ataca es al servidor DNS específico del dominio a victimar, y se configura para que indique a las solicitudes entrantes un número IP diferente al que no pertenece realmente al dominio, normalmente otro equipo en donde se encuentran los procedimientos engañosos y/o fraudulentos. Esta técnica se elimina fácilmente por parte de los propietarios de dominios, con la actualización de su software DNS y el uso de certificados digitales, ya que estos últimos están sembrados en el servidor correcto y no pueden ser emulados o copiados en la máquina suplantadora. Este es un caso de ataque en el que el usuario común no interviene para nada, y no necesita estar infectado para ser victima ya que el infectado es el servidor de dominio. Sin embargo puede evitar ser engañado simplemente verificando el certificado de seguridad del sitio. Lo peor de esta técnica es la propagación en otros servidores DNS de la información adulterada, llamada generalmente Envenenamiento DNS (DNS poisoning).

Otro tipo de técnica de este tipo es el "WEB spoofing", que enruta las solicitudes de un usuario a un servidor que actua de intermediario entre el usuario y el servidor destino, recibiendo la información y reenviándola, de modo que el usuario no pueda percatarse de nada (actuando como un proxy). No hay que confundir este tipo de ataque con el "phishing", ya que en este caso no se emula la página destino, solamente se filtra la información entre esta y el usuario. Normalmente este tipo de casos ocurren cuando un troyano modifica un archivo en su equipo llamado "hosts" (sin extensión). Este tipo de archivo es una extensión al servicio de búsqueda de nombres y normalmente se usa para configurar redes locales, sin embargo allí basta con escribir el nombre del host y su dirección IP (lógicamente la falsa) y el sistema asumirá dicha dirección IP sin verificar en el DNS correspondiente. Por lo tanto cada vez que usted pulse por ejemplo "www.mibanco.com" irá a una dirección falsa de donde será redirigido a la dirección definitiva.

Por último tenemos el "e-mail spoofing" que no es más que una suplantación de la dirección de e-mail. Esta técnica fué y es muy usada por los SPAMMERS, para enviar e-mail con direcciones no detectables en las listas anti-spam, o para hacer pasar una comunicación como proveniente de un usuario de cierta confianza. Actualmente se ha reducido considerablemente esta técnica (no así el SPAM) ya que los servidores de correo electrónico verifican que los usuarios y dominios que envían sean correspondientes al número IP del servidor que hace dicho envío.

En fin, como podrá apreciarse, existen una serie de técnicas, algunas muy avanzadas y complejas para las cuales el usuario común solo tiene una salida lógica: Tener un buen antivirus actualizado en el sistema, y usar el sentido común a la hora de ingresar datos confidenciales en la web. Recuerde: Ante cualquier sospecha deténgase y busque una buena asesoría, es preferible pasar por ignorante que ser víctima por incauto.