ANÁLISIS EN PROFUNDIDAD

Ataques sniffer, qué son y cómo protegerse

Un sniffer no es necesariamente malicioso. De hecho, es un software comúnmente utilizado para monitorear y analizar el tráfico de red con el fin de detectar problemas y mantener el sistema eficiente

15 Nov 2022

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

Ataque sniffer

Un sniffer es un software comúnmente utilizado para monitorear el tráfico de red con el fin de detectar problemas y mantener el sistema eficiente. Sin embargo, los ciberdelincuentes pueden utilizar los sniffers con fines ilegales, rastreando todo lo que encuentran en la red, incluidos los nombres de usuario y contraseñas no cifradas para acceder a cualquier cuenta digital.

Qué es un sniffer  y por qué utilizo un sniffer

Curiosamente, la palabra «Sniffer» con “S” mayúscula se refiere a la marca, ahora propiedad de NetScout, de una de estas herramientas de monitoreo.

Los hackers utilizan los sniffers registrando todo lo que encuentran, incluidos los nombres de usuario y las contraseñas no cifradas para robar datos, espiar las actividades de la red y recopilar información del mismo usuario.

Los piratas digitales pueden utilizar la ingeniería social o estafas de phishing para engañar a sus víctimas para que descarguen sniffers. El ataque sniffer dirige los “objetivos” a sitios web «infectados» que descargan automáticamente el sniffer cuando ellos los visitan o enviar correos electrónicos con archivos adjuntos que pueden instalar software malicioso. Alternativamente, los hackers pueden “olfatear” redes Wi-Fi públicas no seguras, atrapando el tráfico de cualquiera que las use. Los sniffers wireless son particularmente frecuentes en los ataques de spoofing, ya que los ciberdelincuentes pueden utilizar los datos capturados por el sniffer para «falsificar» un dispositivo en la red wireless.

Además, los sniffers pueden ser explotados por hackers para acceder a cualquier cuenta digital y ser instalados en cualquier ordenador conectado a una red local, sin necesidad de ser instalados en el dispositivo, haciéndolos prácticamente imposibles de detectar. De hecho, es posible que los usuarios nunca noten la presencia de un sniffer que espía los datos de su red.

Tipos de sniffers

Hay dos tipos principales de sniffer:

  • Sniffer pasivo: los hubs son dispositivos de red simples que conectan varios dispositivos en una sola red. De esta manera es posible observar todo el tráfico que pasa a través de una conexión/red. Es especialmente efectivo cuando todas las computadoras están conectadas a la misma red. De igual modo, su característica más resaltante es que es indetectable.
  • Sniffer activo: al conectar dispositivos adicionales a un hub, los niveles de tráfico más altos pueden volverse «saturados». Los switches de red regulan el tráfico dentro de una red enviando datos específicamente al dispositivo destinado a recibirlos. Para acceder a todo el tráfico que pasa a través de la red, un sniffer activo debe omitir o superar la forma en que los switches dirigen todo. Hay varias maneras de lograr esto, pero todas implican poner tráfico adicional en la red. Esto es lo que convierte un sniffer en un proceso activo y lo que lo diferencia de lo pasivo. La ventaja para las víctimas potenciales es que un sniffer activo es más fácil de detectar ya que revela su presencia.

Cómo protegerse de un posible ataque sniffer y prevención

Se puede utilizar un eficaz antivirus para encontrar y eliminar cualquier malware asociado con un sniffer instalado en la computadora. Sin embargo, para eliminar completamente un sniffer se deberá eliminar los archivos y carpetas asociados y usar un software de seguridad de Internet, incluido un escáner de red, que puede buscar cualquier problema en la red e indicar cómo resolverlo.

Prácticas recomendadas para prevenir ataques de detección de paquetes

Fuente de la imagen: https://www.spiceworks.com/it-security/network-security/

Cómo evitar los ataques sniffer

Para evitar un ataque sniffer es esencial:

  • Evitar el uso de redes no seguras: una red no segura carece de protección de firewall y software antivirus. Como resultado, la información que se transporta no está encriptada y es de fácil acceso. Los ataques de sniffer se pueden lanzar cuando los usuarios exponen sus dispositivos a redes Wi-Fi no seguras, ya que los atacantes utilizan tales redes inseguras para instalar sniffer que interceptan y leen todos los datos transferidos a través de esa red. Además, un atacante puede monitorear el tráfico de red mediante la construcción de una red Wi-Fi pública «gratuita» falsa.
  • Codificar las comunicaciones: la codificación mejora la seguridad al dificultar que los hackers descifren los datos de los paquetes. Por lo tanto, se debería codificar todas las comunicaciones entrantes y salientes antes de compartirlas a través de una Red Privada Virtual (VPN) para evitar intentos de sniffer. Cabe recordar que una VPN es un tipo de tecnología que codifica todo el tráfico de red.
  • Supervisar y analizar las redes corporativas con regularidad: los administradores de red deben proteger sus redes escaneándolas y monitoreándolas mediante la supervisión del ancho de banda o el control de dispositivos para optimizar el entorno de red y detectar ataques de sniffer. Para evitar los ataques de sniffer se debe utilizar herramientas de asignación de red, de detección de anomalías de comportamiento de red y de análisis de tráfico. También sería deseable utilizar un firewall eficaz.
  • Adoptar una aplicación de detección de sniffer: se trata de aplicaciones diseñadas especificamente para detectar y prevenir un ataque de sniffer antes de que pueda causar daños.
  • Preferir protocolos HTTPS (i.e. Protocolo de transferencia de hipertexto seguro): la actividad del usuario en dichos sitios web es segura ya que se utiliza una conexión Secure Sockets Layer (SSL) que garantiza que los datos sean codificados antes de enviarlos a un server.
  • Fortalecer las defensas a nivel de endpoint: las computadoras portátiles, las PC y los dispositivos móviles están conectados a las redes corporativas, y estos terminales podrían permitir que un sniffer penetre. Por lo tanto, es esencial instalar sea un software de seguridad de endpoint sea el uso de un eficaz programa antivirus para evitar que el malware se infiltre en una máquina y ayude al usuario a eliminarlo.
  • Implementar un sistema de detección de intrusos (IDS): se trata de un software que evalúa el tráfico de red para detectar toda actividad inesperada, con un mecanismo de alerta para posibles intrusos y, al mismo tiempo, escanea una red o sistema en busca de actividades maliciosas o violaciones de políticas.

Concluyendo, cualquier momento puede ser propicio para un ataque sniffer. Nunca debemos bajar la guardia para garantizar la ciber resiliencia.

@RESERVADOS TODOS LOS DERECHOS
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant

En posesión de la certificación de Continuidad de Negocio - AMBCI BCI, UK y CBCP DRI, USA, Risk Management FERMA Rimap, consultor de Business Continuity & Risk Management, realiza actividades de difusión y desarrollo de la cultura de resiliencia en diversas instituciones y universidades

Temas principales

Especificaciones

A
Ataques en la web
C
Ciberseguridad
P
privacidad

Nota 1 de 5