Manual 

­ Teoría 1 
 
Spoofing: 
Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación 
de identidad generalmente con usos maliciosos o de investigación, es decir, un atacante falsea 
el origen de los paquetes haciendo que la víctima piense que estos son de un host de confianza 
o autorizado para evitar la víctima lo detecte. Por ejemplo, cuando nos comunicarnos con un 
determinado host, la dirección de ese host ocupa un lugar determinado en la cadena de datos, 
al igual que nuestra propia dirección también ocupa otra posición determinada, pues si 
conseguimos “manipular” la información de ese lugar, podremos falsear el origen de datos y 
hacer creer al host destino que somos quien realmente no somos, esto es SPOOFING. 
 

Definiciones básicas 
Para  entender  completamente  como  este tipo de ataques puede ocurrir, hay que comprender la 
estructura  de  la  suite  de  protocolo  TCP/IP.  Un  entendimiento  básico  de  estas  cabeceras  y 
protocolos de red es crucial para el proceso. 

Host 
Máquina   conectada  a  una  red  de  ordenadores  y  que  tiene  un  nombre  de  equipo  (en  inglés, 
hostname).  Es  un  nombre  único  que  se  le  da  a  un  dispositivo conectado a una red  informática. 
Puede  ser  un  ordenador,  un  servidor  de  archivos,  un  dispositivo  de  almacenamiento  por  red, 
una  máquina de  fax,  impresora,  etc.  Este  nombre  ayuda  al  administrador  de  la  red  a identificar 
las máquinas sin tener que memorizar una dirección IP para cada una de ellas. 

Protocolo De Internet – IP 
El  protocolo  de  Internet (IP) es un protocolo de red que funciona en la capa 3 (la red) del modelo 
OSI.  Esto  es  un  modelo  de  conexión,  decir  no  hay  ninguna  información  en  cuanto  al estado de 
transacción, que es usado a paquetes de ruta sobre una red. Además, no hay ningún método en 
el lugar para asegurar que un paquete correctamente es entregado al destino. 
MAC 
Todos los ordenadores de una misma red comparten  el mismo medio, por lo que debe de existir 
un  identificador  único  para  cada  equipo,  o   mejor  dicho  para  cada  tarjeta  de  red.  Cuando  se 
envían  datos  en  una  red  local,  hay  que  especificar  claramente  a  quien  van  dirigidos.   Esto   se 
consigue  mediante  la  dirección  MAC,  un  número  compuesto  por 12  dígitos  hexadecimales  que  
identifica  de  forma  única  a  cada  dispositivo  Ethernet.  La  dirección MAC se compone de 48 bits. 
Los  24  primeros  bits identifican  al  fabricante  del hardware, y los 24 bits restantes corresponden 
al  número  de  serie  asignado por el fabricante, lo que garantiza que dos tarjetas no  puedan tener 
la misma dirección MAC. Direcciones MAC duplicadas causarían problemas en la red. 

Ip Spoofing 
Suplantación  o  falseamiento  de  IP,  hacer  creer  que  somos  quien  no  somos.  No  confundir 
spoofear  una  IP con  anonimizar  una  IP.  El  spoofing  trae consigo el anonimato, pero sería como 
un anonimato “a elegir”, esto es, apropiarse de la IP de otro usuario de la red. 

Consiste  en  sustituir  la  dirección  IP origen  de  un  paquete  TCP/IP  por  otra  dirección IP a la cual 
se  desea  suplantar.  Esto  se  consigue  generalmente  gracias  a  programas  destinados  a  ello  y 
puede  ser  usado  para  cualquier  protocolo  dentro  de  TCP/IP como  ICMP,  UDP o  TCP. Hay que 
tener  en  cuenta  que  las  respuestas  del   host  que  reciba  los  paquetes  irán  dirigidas   a  la   IP 
falsificada.  Por  ejemplo  si  enviamos  un  ping  (paquete  ICMP   “echo  request”)  spoofeado,  la 
respuesta  será  recibida  por  el  host  al  que  pertenece  la  IP  legalmente.  Este  tipo  de  spoofing 
unido  al  uso de  peticiones  broadcast  a  diferentes  redes  es  usado  en  un tipo de ataque de flood 
conocido  como  smurf  ataque.  Para  poder  realizar   IP  SPOOFING  en   sesiones  TCP,  se  debe 
tener  en  cuenta  el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK  con 
su  ISN  específico  y  teniendo  en  cuenta  que  el  propietario  real  de  la IP podría (si no se le impide 
de  alguna  manera)  cortar  la  conexión  en  cualquier  momento  al  recibir  paquetes  sin  haberlos 
solicitado.  También  hay  que  tener  en  cuenta  que  los  routers  actuales  no  admiten  el  envío  de 
paquetes  con  IP  origen  no  perteneciente  a  una  de  las  redes  que  administra  (los  paquetes 
spoofeados no sobrepasarán el router). 

El  IP   Spoofing  es,  cuanto  menos,  imposible  hoy  en  día  de  cara  a  Internet,  los  proveedores  se 
han  preocupado  mucho  de  que  eso  no  ocurra.  En épocas anteriores Internet se preocupaba de 
brindar  conectividad  sin  importar  la  seguridad,  es  por   ello  que  ese  tipo  de  actividades  tenían 
éxito, hoy… es muy, muy, muy difícil. 

Veamos  cómo  se  realizaría  a bajo  nivel este ataque: Imaginemos que estamos en una LAN con 

un sniffer a la escucha y obtenemos un paquete de datos: 

El  Encabezado  IP  tiene  20  bytes  de  longitud,  supongamos  que  nuestro  esnifer  recogió  esto  y 
que ello pertenece a la parte de IP. 

45 00 00 28 43 EF 40 00 80 06 5E 86 AC 1C 00 09 AC 1C 00 19 

AC 1C 00 09 ‐‐‐‐‐> Bytes 13 al 16, Dirección IP origen en hexadecimal: 

AC = 172, 1C = 28, 00 = 00, 09 = 09, en este caso la IP sería: 172.28.0.9 

5E  86  5E  86  ‐‐‐‐‐‐>  Bytes  11  y  12,  Checksum:  Es  un método para comprobar  la  integridad  de  
los  datos,  IP  asume  que  la  corrección  la  harán  protocolos  de  nivel  superior,  aun  así,  verifica  la 
integridad de los mismos, pero no la corrige. 

Algunos tipos de ataques: 
● Non‐Blind  Spoofing:  Este  tipo  de   ataque  ocurre  cuando  el  atacante  está  sobre  la 
misma  subred  que  la  víctima.  La  secuencia  y  números  de  reconocimiento  pueden 
ser  sniffado,   eliminando  la  dificultad  de  calcularlos  con  exactitud.  La amenaza  más 
grande  de  spoofing  en  este  caso  sería  el  secuestro  de sesión.  Esto  es  logrado  por 
corrompiendo  el  paso  de datos  de  una  conexión  establecida  haciéndolo pasar por la 
máquina del atacante. 
● Blind  Spoofing:  Esto  es un ataque más sofisticado, porque la secuencia y números 
de  reconocimiento  son inalcanzables.  Para intentar esto se envían varios paquetes a 
la  máquina  objetivo  probando  varios  números  de  secuencia.  En  el  pasado,  las 
máquinas  usaban  técnicas  básicas  para  generar  estos  números  de  secuencia.  Era 
relativamente  fácil  averiguarlos  de  forma  exacta  estudiando  paquetes  y  sesiones 
TCP.  Esto  ya  no  es  posible  hoy  en  día,  la  mayor  parte   de  los  sistemas operativos 
generan  números  de  secuencia  de  manera  arbitraria,   haciendo  difícil su  predicción 
 con  exactitud.  Sin  embargo,  si  el  número  de  secuencia  fuera  comprometido,  los 
datos podrían ser enviados al objetivo. 
● Man  In  the  Middle  Attack:  En   este  ataque  una  máquina  atacante  intercepta  una 
comunicación  entre  dos  host.  La  máquina  atacante  controla  ahora  el  flujo  de  la 
comunicación  y  puede  eliminar  o  cambiar  la  información  enviada  por  uno  de  los 
participantes  originales  sin  el  conocimiento  del   remitente  original  o  del  destinatario. 
De  este   modo,  el  atacante  puede  engañar  a   la  victima  haciendo  que  le  revele 
información confidencial debido a que confía en él, usando para ello “IP spoofing”. 
● Ataque  de  Negación  de  Servicio  (DOS):  IP  spoofing  casi  siempre  es  usado  en  lo 
que  es  actualmente uno de  los ataques más difíciles de los que defenderse, este es, 
la  negación de  servicio,  o DOS.  El atacante  inunda  a  la  víctima con tantos paquetes 
como  sea  posible  en  una  cantidad  de  corta  de  tiempo.  Para prolongar la eficacia del 
ataque,  se  suplanta la  IP  de  origen  (mediante  IP  spoofing)  para hacer que el trazado 
y  posterior  detención del DoS sea tan difícil como sea posible. Cuando múltiples host 
comprometidos   (en  muchas  ocasiones  sin  que  estos  lo  sepan)  participan  en  el 
ataque,  todos  envían  trafico  spoofeado  lo  que  provoca  que  el  ataque  sea   efectivo 
rápidamente. 

Algunos casos: 
¿Qué  pasaría  si  lográsemos  enviar  un  paquete  a  un  host  destino  de  otra 
red/subred falsificando la dirección IP origen del paquete? 
Suponiendo  que  el  router  deje  salir  el  paquete  (es posible  configurar  ACL’s  en  los  routers  para 
que  esto  no  ocurra) cuando  el  destino  reciba  el  paquete de  datos,  responderá  a  la  dirección IP 
falsificada,  entonces  el  host  falsificado  recibirá  el  paquete  y  lo  descartará  puesto  que  él  no  lo 
envió.  Regla  nº  1  del  spoof,si  no  podemos  “ponernos  en  medio” de  una  comunicación  hay  que 
tumbar  el  equipo  por el que nos hacemos pasar puesto que si no responderá a los paquetes del 
objetvo desechándolos y se cerrará la conexión. 

¿Qué  pasaría  si  lográsemos  enviar  un  paquete  a  un  host  destino  de  la  misma 
red/subred falsificando la dirección IP origen del paquete? 
● Caso  a)  La  IP  del  equipo  falsificado  existe  y  está  activa  en la LAN: Que aparecerá el 
mensajito  famoso  de  que  hay  un  nombre  de  host o dirección IP duplicada en la Red, 
hay  sistemas  operativos  que  ni  tan  siquiera  controlan  eso,  pero  también  puede 
 ocurrir   que   dejemos  “frito”  por  instantes  o  para  siempre  a  la  pila  de  TCP/IP  del 
equipo, recuerda que las direcciones IP dentro de una red/subred deben ser únicas. 
● Caso b) La IP del equipo falsificado no existe o no está operativo: Pues que el destino 
actualizará   su  tabla  ARP  con  nuestra  MAC  y  la  IP  falsa,  intentará  responder  a  la  IP 
remitente y no recibirá respuesta, pasado un tiempo cerrará la conexión. 

¿Qué  pasaría  si  lográsemos  enviar  miles  de  paquetes  a  un   host  destino  de  la 
misma red/subred  falsificando  la dirección IP origen del paquete utilizando una IP 
que no existe en la LAN? 
Dependerá  de  muchos  factores,  Sistema  Operativo,  Switches,   IDS,  tipo  de  paquete  enviado,  
etc.  Pero  en   el  mejor  de  los  casos  provocaremos  un  DoS  al  equipo  destino,  cada  una  de  las 
miles  de  conexiones  se  quedan  abiertas  y  esperando  la  respuesta,  no  la  habrá  claro…  y  la  IP  
logeada… será otra que no la nuestra. 

¿Cómo evitarlo? 
Hay  algunas  precauciones  que  pueden  ser  usadas  para  limitar  los  riesgos  de sufrir IP spoofing 
en su red, como: 

● Filtrando  en  el  router:  Implementando  filtros  de  entrada  y  salida en  su  router  es  una 
buena  idea  para  comenzar  su  defensa  ante  el  spoofing.  Usted  deberá  implementar 
un  ACL  (lista   de  control  de  acceso)  que  bloquea  direcciones  de  IP  privadas  por 
debajo  de  su  interfaz.  Además,  este  interfaz  no  debería  aceptar  direcciones  de  tu 
rango  interno  como  dirección  de  origen  (técnica  común  de   spoofing  que  se  usaba 
para  engañar  a  los  cortafuegos).  Por  encima  de  la  interfaz,  usted  debería  restringir 
direcciones  de  origen  fuera  de  su  rango  válido,  esto  evitará  que  alguien  en  su  red 
envíe  tráfico   spoofeado  a  Internet.  Es  importante  que  no  se  permita  la  salida  de 
ningún  paquete  que  tenga  como  dirección  IP  de  origen  una  que  no  pertenezca  a  su 
subred. 
● El  cifrado  y  la   Autenticación:  la  Realización  del  cifrado  y   la  autenticación  también 
reducirán   amenazas  de  spoofing.  Estas  dos  características  están  incluidos  en  Ipv6, 
que eliminará las actuales amenazas de spoofing. 
Conclusión 
IP  Spoofing  es  un  problema  sin  una  solución  fácil,   ya  que  es  causa  de  un  mal  diseño  del 
protocolo  TCP/IP.  El  entendimiento  de  cómo  y  por  qué  los   ataques  de  spoofing  son  usados, 
combinado  con unos  métodos  de  prevención  simples, puede ayudar a proteger su red de estos  
ataques. 

ARP Spoofing 
En  una  red  que  sólo tuviera  el  nivel  Físico  del  modelo  OSI,  los  dispositivos  sólo se  conocerían 
entre  sí  por  medio de su dirección física y dicha dirección tiene que ser única para evitar errores 
de  envío.   Pero  como  los  protocolos  de  alto  nivel  direccionan  las  máquinas  con  direcciones 
simbólicas  (como  en  IP)   tiene  que  existir  un  medio  para  relacionar  las  direcciones  físicas  con 
las  simbólicas,  un  traductor  o manejador  de  direcciones.  Así  tenemos  la  aparición  de  ARP,  un 
protocolo  de  nivel  de  red  responsable  de  encontrar  la  dirección  hardware  (Ethernet  MAC)  que 
corresponde  a  una  determinada  dirección  IP.  Para  ello  se  envía  un  paquete  (ARP  request)  a la 
dirección  de  multidifusión  de  la  red  (broadcast  (MAC  =  ff ff ff ff ff ff)) que contiene la dirección  IP 
por  la  que  se  pregunta,  y  se  espera  a  que  esa  máquina  (u  otra)  responda  (ARP  reply)  con  la 
dirección  Ethernet  que  le  corresponde.  Cada  máquina  mantiene  una caché con las  direcciones 
traducidas  para  reducir  el  retardo  y  la  carga.  ARP  permite  a  la  dirección  de  Internet  ser 
independiente  de  la  dirección  Ethernet,   pero   esto  sólo  funciona  si  todas  las  máquinas  lo  
soportan. 

El  protocolo ARP se encuentra en el nivel de enlace  del modelo OSI, y dicho nivel se encarga de 

identificar la conexión física de una máquina para lo cual se usan las direcciones físicas de cada  
dispositivo  que  son  únicas,  aunque  pueden  ser  alteradas  permitiendo  suplantaciones  en  las 
comunicaciones. 

El  ARP  Spoofing  es  la  suplantación  de  identidad  por  falsificación  de tabla  ARP.  Se  trata  de  la 
construcción  de  tramas  de  solicitud y  respuesta  ARP  modificadas  con  el  objetivo  de  falsear  la 
tabla   ARP  (relación  IP‐MAC)  de  una  víctima  y  forzarla  a  que  envíe  los  paquetes  a  un  host 
atacante en lugar de hacerlo a su destino legítimo. 
¿Cómo evitarlo? 
Si  se  quiere  proteger  una  red  pequeña  se  puede  recurrir  al  uso  de  direcciones  IP  estáticas  y 
tablas  ARP  también  estáticas,  de  modo  que  no   haya  una  caché  dinámica.  Usando  estas 
entradas estáticas se evita que los intrusos alteren las tablas a su gusto. 

El  problema  con  esta  solución  es  la  gran  dificultad  para  mantener estas  entradas  ARP,  y  si se 
piensa  en  redes  grandes  es  casi  imposible  llevar  a  cabo  esta labor,  ya  que  cada  vez  que  una 
máquina se conecte a la red o cambie de IP se debe actualizar las entradas de las tablas ARP. 

Para  redes  grandes  se  tendría  que  analizar   las  características  de  “Port  Security”  de  los 
switches,  una  de  estas  características  permite  forzar  al  switch  a  permitir  sólo   una   dirección 
MAC para cada puerto físico en el switch, lo cual impide que alguien cambie la dirección MAC de 
su  máquina  o  que  trate  de  usar  más  de  una  dirección  a la vez. Esto último permite prevenir los 
ataques de Man­in­the­Middle. 

DNS Spoofing 
El  Domain  Name  System  (DNS)  es   una  base  de  datos  distribuida  y  jerárquica  que  almacena 
información  asociada a  nombres  de  dominio  en  redes  como  Internet.  Su  principal  función es la  
asignación  de  nombres de dominio a direcciones IP y la  localización de los servidores de correo 
electrónico  de  cada  dominio.  Por  ejemplo,  al  acceder  a www.google.com, si nuestro navegador 
no  conoce  su  dirección  IP  realizará  una  consulta  al  servidor  DNS  para  que  esté le diga cuál es 
la IP que le corresponde y así accederá a la página mediante su IP y mostrará su contenido. 

Pharming  es  la  explotación de una vulnerabilidad en el software de los servidores DNS (Domain 

Name  System)  o  en  el  de  los  equipos  de  los  propios  usuarios,  que  permite  a  un  atacante 
redirigir  un  nombre  de  dominio  (domain  name)  a  otra  máquina  distinta.  De  esta  forma,  un 
usuario  que  introduzca  un  determinado  nombre  de  dominio que haya  sido  redirigido,  accederá 
en su  explorador de internet a la página web que el atacante haya especificado para ese nombre 
de dominio. 

El  DNS  Spoofing  hace  referencia  al  falseamiento  de  una  dirección  IP  ante  una  consulta  de 
resolución  de  nombre,  es  decir,  resolver  con  una  dirección  IP  falsa  un  cierto  nombre  DNS  o 
viceversa.   Esto   se  puede  conseguir  de  diferentes  formas,  desde modificando  las  entradas  del 
servidor  encargado  de  resolver  una cierta petición para falsear las relaciones dirección­nombre, 
hasta  comprometiendo  un  servidor  que  infecte  la  caché  de  otro  (lo que se  conoce  como  DNS 
Poisoning);  incluso  sin  acceso  a  un  servidor  DNS  real,  un  atacante  puede  enviar  datos 
falseados  como  respuesta  a  una  petición  de  su  víctima  sin  más  que  averiguar  los  números de 
secuencia correctos. 

Algunos escenarios de este ataque: 

● DNS  Cache  Poisoning:  Como  imaginará,  Un  servidor  DNS  no  puede  almacenar  la  
información  de  todas  las  correspondencias  nombre/IP  de  la  red  en su memoria. Por 
ello,   los  servidores  DNS  tiene  una  caché  que  les  permite  guardar  un  registro  DNS 
durante  un  tiempo.  De  hecho,  un  Servidor  DNS  tiene  los  registros  sólo  para  las 
máquinas  del  dominio  que  tiene  autoridad  y  necesita  sobre  máquinas  fuera  de  su 
dominio  debe  enviar  una  petición  al  Servidor  DNS  que  maneje  esas máquinas. Para 
no  necesitar   estar  preguntando  constantemente  puede  almacenar  en  su  caché  las 
respuestas devueltas por otros servidores DNS. 

Virus informático 
 
Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la 
computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, 
reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden 
destruir, de manera intencionada, los datos almacenados en una computadora, aunque también 
existen otros más inofensivos, que solo se caracterizan por ser molestos. 

Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, 
no se replican a sí mismos porque no tienen esa facultad como elgusano informático, son muy 
nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde 
una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes 
informáticas generando tráfico inútil. 

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa 
que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código 
del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el 
programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los 
servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables 
que sean llamados para su ejecución. Finalmente se añade el código del virus al programa 
infectado y se graba en el disco, con lo cual el proceso de replicado se completa. 

Gusano informático 
Un gusano informático (también llamado IWorm por su apócope en inglés, I de Internet, Worm 
de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos 
utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al 
usuario.Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de 
un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los 
worms o gusanos informáticos es su capacidad para replicarse en tu sistema, por lo que tu 
ordenador podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador a 
gran escala. 

A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que 
reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en 
la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre 
infectan o corrompen los archivos de la computadora que atacan. 

 
 

Troyano 
En informática, se denomina troyano o caballo de Troya (traducción literal del inglés trojan horse 
a un software malicioso que se presenta al usuario como un programa aparentemente legítimo 
e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. 
El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de 
Homero. 

Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una 
puerta trasera  que permite la administración remota a un usuario no autorizado.