Si no has estado siguiendo lo que sucede en el mundo corporativo, notarás ahora que ha habido un aumento en los ataques de suplantación de ubicación. Se han descubierto muchos de estos casos durante auditorías, revisiones de cumplimiento y verificaciones de clientes.
La suplantación de IP ocurre cuando alguien disfraza su dirección IP y la hace parecer una fuente confiable. Engaña a tu sistema para que acepte paquetes maliciosos como legítimos y termina eludiendo firewalls y todo tipo de autenticación basada en IP. En esta guía, te explicaremos exactamente cómo funciona la suplantación de IP, cómo detectar ataques de suplantación de IP y cómo prevenir la suplantación de direcciones IP.
.jpg)
¿Por qué es importante prevenir la suplantación de IP?
La prevención de la suplantación de IP es importante porque no quieres inundar tus sistemas con tráfico malicioso y hacer imposible bloquear las fuentes reales. Los atacantes pueden convertir rápidamente cualquier servicio legítimo en un arma contra otros.
La suplantación de direcciones IP permite a los ciberdelincuentes ocultar su verdadera identidad ante las fuerzas del orden y los equipos de seguridad. Si realizan actividades ilegales utilizando tu red IP para cometer un delito, puedes ser implicado erróneamente.
La suplantación de direcciones IP también puede permitir a los atacantes interceptar, leer y modificar comunicaciones privadas que se realizan entre múltiples direcciones IP y dispositivos de confianza, así como suplantarlos. Pueden eludir relaciones de confianza que dependen de direcciones IP y pasar desapercibidos a pesar de las protecciones de inicio de sesión para redes internas.
Impacto de la suplantación de IP en las organizaciones
La suplantación de direcciones IP puede socavar gravemente la confianza fundamental de tu red y habilitar ciberataques de alto impacto. En 2026, los ciberdelincuentes están utilizando diversas herramientas de automatización basadas en IA y ampliando los servicios de ataque aprovechando los modelos de trabajo remoto y las redes 5G.
La suplantación de IP servirá como puerta de entrada para lanzar ataques más devastadores y a una escala mucho mayor. Pueden inundar tus servidores con tráfico y dificultar la filtración de paquetes maliciosos de los legítimos. La suplantación de direcciones IP puede provocar tiempos de inactividad operativa y caídas totales del servicio.
También puede causar filtraciones de datos y exponer secretos comerciales sensibles sin que ninguna de las partes lo note. Todo esto combinado puede causar graves pérdidas financieras a largo plazo, robo directo y ser el catalizador de otros tipos de actividades financieras fraudulentas, especialmente transferencias bancarias no autorizadas.
Un suplantador de IP puede lograr que tu dirección IP sea incluida ilegalmente en listas negras a nivel global y dañar la reputación digital de tu marca. El incumplimiento de políticas de cumplimiento puede llevar a la imposición de fuertes multas a tu marca.
Técnicas comunes utilizadas en la suplantación de IP
Los ataques de suplantación de IP pueden variar y explotar diferentes vulnerabilidades en la arquitectura de tu red. Los ciberdelincuentes continúan perfeccionando estos métodos a medida que evolucionan las defensas de red:
Suplantación no ciega
La suplantación no ciega ocurre cuando un atacante tiene visibilidad directa de la comunicación de red entre un objetivo y una fuente confiable. Puede ver números de secuencia, números de acuse de recibo y otros datos críticos que fluyen entre sistemas en tiempo real.
Los atacantes pueden crear respuestas que se alinean perfectamente con el comportamiento esperado de la red, haciendo que los paquetes maliciosos sean casi indistinguibles del tráfico legítimo. Estos ataques persisten más tiempo sin ser detectados porque mantienen el flujo natural de comunicación mientras inyectan instrucciones maliciosas.
Suplantación ciega
La suplantación ciega ocurre cuando un atacante no tiene visibilidad de la comunicación real de red entre dos partes. Debe predecir números de secuencia críticos y valores de acuse de recibo sin observar el tráfico real. A pesar de esta dificultad, la suplantación ciega sigue siendo peligrosa porque los atacantes pueden lanzarla desde cualquier lugar de internet sin acceso directo a la red.
Los atacantes simplemente inundan un objetivo con paquetes suplantados que contienen números de secuencia predichos, esperando que al menos algunos coincidan con la comunicación real.
Enrutamiento de origen
El enrutamiento de origen permite a los atacantes especificar la ruta exacta que los paquetes de red deben tomar a través de internet. En lugar de dejar que los routers determinen las rutas, los atacantes insertan instrucciones de enrutamiento directamente en las cabeceras de los paquetes. Esto les permite eludir firewalls y controles de seguridad ubicados en los puntos de entrada normales.
Ataques de reflexión/amplificación
Los ataques de reflexión y amplificación convierten servicios de red legítimos en armas al suplantar la dirección IP del objetivo en solicitudes enviadas a servidores de terceros. El atacante envía una solicitud suplantada que parece provenir de la red de la víctima. El servidor que responde inunda a la víctima con respuestas, rebotando el ataque a través de terceros inocentes.
La amplificación ocurre cuando las respuestas son significativamente más grandes que las solicitudes originales. Una pequeña solicitud puede desencadenar respuestas diez o veinte veces mayores, permitiendo a los atacantes lanzar inundaciones devastadoras con un ancho de banda mínimo. Los servidores DNS, NTP y otros servicios públicos se convierten en armas involuntarias. Una sola solicitud suplantada puede generar cientos de gigabytes de tráfico no deseado cuando se multiplica entre miles de reflectores.
Man-in-the-Middle (MitM)
Los ataques Man-in-the-Middle que utilizan suplantación de IP colocan al atacante en la ruta de comunicación entre dos partes legítimas. Al suplantar las direcciones IP tanto del remitente como del receptor, los atacantes mantienen la ilusión de que cada parte se comunica con la otra, cuando en realidad se comunican con el atacante.
Esto otorga visibilidad completa de datos sensibles—contraseñas, información financiera, comunicaciones propietarias—antes de llegar al destinatario previsto. Los atacantes pueden modificar selectivamente mensajes o inyectar nuevos, redirigiendo transacciones, robando credenciales o insertando contenido malicioso. Los usuarios permanecen completamente ajenos porque su tráfico parece normal desde su perspectiva.
Inundación TCP SYN
La inundación TCP SYN explota el proceso de tres vías que establece las conexiones TCP. Un atacante envía miles de solicitudes de conexión TCP suplantadas (paquetes SYN) con direcciones IP de origen falsificadas a un servidor objetivo. El servidor intenta responder a cada solicitud pero espera acuses de recibo que nunca llegan porque las direcciones de origen eran falsas.
Estas conexiones semiabiertas consumen recursos del servidor, incluyendo memoria, ciclos de procesador, tablas de conexión, hasta que el servidor ya no puede aceptar intentos legítimos. Los usuarios experimentan tiempos de espera y falta de disponibilidad mientras el servidor se agota gestionando solicitudes falsas. El atacante no necesita acceso directo ni mantener los ataques desde una sola ubicación; simplemente inunda el objetivo usando direcciones suplantadas. Incluso ataques de tamaño moderado pueden dejar servicios fuera de línea, y atacantes sofisticados usan botnets para generar volúmenes de tráfico que dificultan enormemente la mitigación.
Enmascaramiento de botnet
El enmascaramiento de botnet oculta el origen real del atacante (sus dispositivos en una botnet). El operador de la botnet controla miles o millones de dispositivos comprometidos y los dirige para enviar paquetes suplantados hacia un objetivo, creando un ataque distribuido que parece originarse en muchas ubicaciones simultáneamente.
Cada máquina comprometida suplanta su dirección IP al participar en el ataque, añadiendo otra capa de ofuscación. Los defensores no pueden simplemente bloquear las direcciones IP atacantes porque son demasiadas, y la mayoría no pertenece a la infraestructura real del atacante. Los operadores de botnets pueden alquilar sus servicios a otros ciberdelincuentes o usarlos para sus propias campañas.
¿Cómo detectar posibles intentos de suplantación de IP?
Puedes detectar ataques de suplantación de IP utilizando diversas técnicas. Las técnicas de filtrado de paquetes como el filtrado de ingreso y egreso funcionan. Pueden examinar los paquetes entrantes y el tráfico saliente para verificar si las IP de origen coinciden con las redes y para ver si tu empresa utiliza únicamente IP legítimas asignadas a la red. Esto puede evitar que los dispositivos internos sean comprometidos y no permitir que lancen ataques de suplantación entre sí.
El otro método de detección de suplantación de IP es la monitorización basada en red y la detección de anomalías. Los modelos de aprendizaje profundo pueden detectar tráfico suplantado con hasta un 99% de precisión y encontrar patrones complejos en los flujos de datos que los diferencian de los comportamientos legítimos de los usuarios.
Los valores de análisis Time-to-Live (TTL) también se ven influenciados por los sistemas operativos de los hosts y las distancias de red, lo que revela si los paquetes provienen de fuentes esperadas o suplantadas.
Existen herramientas que pueden ayudarte a detectar cuando los números de secuencia en los paquetes se desincronizan, lo que puede prevenir ataques de suplantación no ciega. También puedes utilizar herramientas de Control de Acceso a la Red (NAC) para detectar dispositivos zombi que intentan enviarte tráfico suplantado. Las soluciones SIEM avanzadas pueden marcar eventos de inicio de sesión imposibles (como una IP que aparece activa en dos ubicaciones geográficas diferentes simultáneamente), ayudando así a detectar bien los ataques de suplantación de IP.
Mejores prácticas para prevenir la suplantación de IP
Comienza filtrando paquetes, luego añade autenticación más allá de las direcciones IP y después cifra las conversaciones. Ninguna defensa por sí sola será suficiente. Deberás implementar estas mejores prácticas para prevenir la suplantación de direcciones IP a lo largo del camino:
1. Implementa filtrado de ingreso y egreso
El filtrado de ingreso examina cada paquete entrante y descarta cualquier cosa que afirme provenir de una IP de origen que no coincida con su ruta legítima. Esto sigue la BCP 38, que requiere que las organizaciones y los ISP verifiquen las direcciones de origen de los paquetes antes de que ingresen a tu red. Esto se realiza en tu router y firewall.
El filtrado de egreso hace lo mismo para el tráfico saliente. Detiene los paquetes que salen de tu red a menos que la IP de origen pertenezca a tu rango interno. Si un dispositivo comprometido dentro intenta enviar paquetes suplantados hacia afuera, el filtrado de egreso lo detiene. Juntas, estas dos prácticas bloquean los ataques de suplantación más básicos.
2. Habilita Unicast Reverse Path Forwarding (uRPF)
uRPF es una función de router que verifica que la dirección IP de origen de un paquete sea alcanzable a través de la misma interfaz por la que llegó. El router busca la IP de origen en su tabla de enrutamiento. Si no hay una ruta válida de regreso a esa fuente por esa misma interfaz, el router asume que el paquete es suplantado y lo descarta. Esto es automático y rápido. Los ISP lo usan ampliamente porque detiene la suplantación a gran escala sin actualizaciones manuales de reglas.
3. Ve más allá de la autenticación basada en IP
Nunca confíes en una dirección IP. Probablemente tu organización aún otorga acceso según si una conexión proviene de una IP "confiable". Los atacantes suplantan esas IP de forma rutinaria ahora.
La autenticación multifactor (MFA) rompe esta dependencia. Incluso si un atacante suplanta tu IP confiable, aún necesita un segundo factor—un código de su teléfono, un token físico, una notificación push. No lo tendrá.
El Control de Acceso a la Red (NAC) va más allá. Verifica la identidad y el estado del dispositivo antes de permitir cualquier acceso. NAC comprueba que un dispositivo tenga antivirus actualizado, parches instalados y cumpla con tus estándares de seguridad. La identidad del dispositivo importa, pero la IP que afirma poseer no.
4. Implementa protocolos de comunicación seguros (IPsec y TLS)
La criptografía hace que la suplantación dentro de una conexión establecida sea casi imposible. IPsec autentica y cifra cada paquete IP, por lo que los atacantes no pueden inyectar paquetes suplantados en una conversación en curso sin las claves criptográficas. TLS/SSL funciona de la misma manera para el tráfico de aplicaciones.
Obliga el uso de HTTPS para todo el tráfico web. Usa SMTPS para correo electrónico, no SMTP sin cifrar. Usa IMAPS, no IMAP sin cifrar. Esto previene la interceptación y manipulación. También previene la suplantación una vez que la conexión segura está abierta.
5. Deshabilita el enrutamiento de origen IP
El enrutamiento de origen permite que un remitente especifique la ruta exacta que un paquete toma a través de tu red. Los atacantes usan esto para eludir controles de seguridad o hacer que el tráfico parezca provenir de dentro de tu red confiable. Si no necesitas esta función (y casi nadie la necesita ahora), desactívala en todos los routers y firewalls.
6. Implementa sistemas de detección y prevención de intrusiones (IDS/IPS)
Existen herramientas que pueden ayudarte a monitorear el tráfico en tiempo real, buscando cabeceras de paquetes y patrones que no coinciden con tu línea base. Señalan ráfagas repentinas de tráfico de direcciones que normalmente nunca se comunican contigo. Señalan tráfico de rangos de IP privadas que aparecen en tu enlace de internet público. Comparan secuencias de paquetes con firmas de ataques conocidos.
Los sistemas IDS/IPS modernos en 2026 utilizan análisis de comportamiento impulsado por IA. Aprenden tus patrones normales de tráfico y señalan desviaciones automáticamente. Esto detecta lo que tu firewall pasa por alto porque estos sistemas comprenden patrones de ataque, no solo reglas.
7. Gestiona las listas de control de acceso (ACL)
Las ACL son reglas explícitas en tus routers y firewalls. Manténlas para denegar tráfico de rangos de IP privadas (RFC 1918: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) que provengan de internet pública. Si un paquete de internet dice que proviene de dentro de tu red, está suplantado. Descártalo. Configura tus dispositivos perimetrales para rechazar estos paquetes automáticamente.
8. Asegura los sistemas de nombres de dominio (DNSSEC)
Los atacantes combinan la suplantación de IP con ataques DNS. Suplantan la respuesta DNS para que parezca provenir de tu servidor DNS legítimo. Los usuarios terminan en una versión falsa de tu sitio. DNSSEC añade firmas digitales a los datos DNS, demostrando que la respuesta proviene del servidor DNS real y no ha sido modificada. Sin DNSSEC, no puedes confiar en la dirección IP devuelta para un dominio.
9. Realiza auditorías de red y pruebas de penetración periódicas
Pon a prueba tus defensas. Programa auditorías regulares para revisar reglas de firewall, configuraciones de routers y firmas IDS. Asegúrate de que estén actualizadas frente a amenazas conocidas. Realiza pruebas de penetración en entornos controlados usando herramientas como Scapy o Hping para simular ataques de suplantación. Si tus filtros no detectan el tráfico de prueba, no detectarán ataques reales. Usa estos hallazgos para cerrar brechas.
10. Implementa Resource Public Key Infrastructure (RPKI)
Para organizaciones grandes y proveedores de servicios de internet, RPKI asegura el enrutamiento global validando que un prefijo de dirección IP se origine en el Sistema Autónomo (AS) correcto. Esto previene el secuestro de BGP y otros ataques de suplantación de enrutamiento a gran escala que afectan segmentos enteros de internet. Si eres un ISP o gestionas infraestructura mayor, esto es fundamental.
Prevención de la suplantación de IP en entornos cloud e híbridos
Las redes en la nube rompen el modelo tradicional de filtrado. No eres dueño de los routers. No puedes aplicar uRPF porque el tráfico pasa por balanceadores de carga, proxies y CDN que reescriben las cabeceras IP. La IP del intermediario se convierte en la dirección de origen en el paquete, no la IP real del cliente.
Necesitas defensas diferentes en la nube como:
Microsegmentación
Divide tu red en la nube en segmentos más pequeños y aislados usando Redes Virtuales (Azure VNets, AWS VPCs). Da a cada segmento sus propias reglas de acceso de red. Una instancia comprometida en un segmento no puede acceder fácilmente a instancias en otro. Usa Network Security Groups (NSG) en Azure o Security Groups en AWS para definir explícitamente qué tráfico se permite entre segmentos.
Utiliza cabeceras específicas de la plataforma para validación de IP
Los balanceadores de carga y CDN en la nube añaden cabeceras HTTP personalizadas con la IP real del cliente porque la IP de origen en el paquete ahora es la del proxy. La cabecera X-Forwarded-For se usa comúnmente, pero cualquier proxy puede escribir en ella. Eso la hace suplantable.
Mejor: lee cabeceras específicas de la plataforma de tu CDN o balanceador de carga. Cloudflare escribe CF-Connecting-IP. Fastly escribe Fastly-Client-IP. AWS CloudFront escribe CloudFront-Viewer-Address. Estas se originan en tu edge y se establecen una sola vez, antes de que la solicitud se reenvíe internamente, por lo que son más difíciles de suplantar. Restablece la cabecera genérica X-Forwarded-For en tu edge (el balanceador de carga o CDN) para evitar usos indebidos posteriores.
Obliga TLS en todas las capas
En redes locales, el tráfico interno suele ir sin cifrar porque se asume que está dentro del firewall. La nube rompe esta suposición. Las llamadas API internas en la nube deben usar TLS incluso si no cruzan internet pública. Cada paquete se cifra y autentica. Esto previene la suplantación de la comunicación interna entre servicios.
Implementa Entra ID e IAM para entornos híbridos
Si gestionas infraestructura local y en la nube, utiliza Microsoft Entra ID para la gestión de identidades. Entra ID aplica MFA consistente, políticas de acceso condicional y gestión de privilegios en ambos entornos. Las políticas de acceso condicional requieren pasos de autenticación adicionales si un inicio de sesión proviene de una ubicación inesperada. Incluso si un atacante suplanta una IP de tu rango "confiable", no podrá iniciar sesión sin el segundo factor.
Implementa seguridad de red nativa en la nube
Utiliza Azure Firewall o AWS Network Firewall en el perímetro de tu nube. Estos servicios inspeccionan todo el tráfico que entra y sale de tu infraestructura cloud. Bloquean tráfico de IPs maliciosas conocidas. Filtran protocolos de alto riesgo (RDP, SSH). Limitan que protocolos internos como SMB y Kerberos lleguen a internet pública. Muchos también soportan prevención de intrusiones para detectar y bloquear patrones de paquetes que coinciden con ataques conocidos.
Utiliza ExpressRoute o AWS Direct Connect
Para datos sensibles, enruta el tráfico a través de conexiones de red dedicadas en lugar de internet pública. Azure ExpressRoute y AWS Direct Connect crean conexiones privadas y cifradas entre tu red local y la infraestructura cloud. Esto reduce la superficie donde puede ocurrir la suplantación porque el tráfico evita internet pública, donde operan los atacantes.
¿Cómo ayuda EDR/XDR a prevenir intentos de suplantación de IP?
Las herramientas de detección y respuesta en endpoints (EDR) no pueden detener la suplantación de IP en la capa de red—eso lo hacen los firewalls y routers. Pero detectan cuando el tráfico suplantado llega a un dispositivo y desencadena actividad maliciosa.
Cuando un atacante suplanta una IP para eludir reglas de firewall y llegar a tu endpoint, las herramientas EDR detectan lo que sucede después. El atacante puede suplantar la cabecera del paquete. No puede suplantar el proceso malicioso que se ejecuta en tu equipo. Las herramientas EDR monitorizan todos los procesos en tiempo real, buscando comportamientos que indiquen compromiso: un servicio del sistema lanzando una shell, software legítimo realizando conexiones de red inesperadas, un proceso accediendo a archivos sensibles. Cuando la suplantación de IP conduce a inyección de comandos o movimiento lateral, EDR detecta el proceso antes de que cause daño.
¿Cómo puede SentinelOne ayudar a prevenir ataques de suplantación de IP?
SentinelOne utiliza análisis de comportamiento impulsado por IA para separar la actividad normal de los ataques. La plataforma correlaciona eventos en una línea de tiempo visual usando la tecnología Storyline para mostrar toda la secuencia de un ataque. Si un atacante suplanta una IP interna confiable para eludir firewalls y luego inyecta un comando en una aplicación web, SentinelOne ve ambos eventos y reconstruye lo sucedido.
Aísla automáticamente el endpoint comprometido, detiene el proceso malicioso y revierte los cambios no autorizados. La función de reversión con un solo clic es importante para ataques de ransomware donde un atacante utiliza suplantación y movimiento lateral para cifrar archivos; porque SentinelOne puede deshacer esos cambios sin intervención manual.
SentinelOne también detecta endpoints no gestionados que aparecen en tu red sin autorización. Si un atacante utiliza suplantación de IP para hacer que un dispositivo no autorizado parezca parte de tu red interna confiable, Network Discovery de SentinelOne lo detecta igualmente porque el dispositivo no tiene el agente de SentinelOne y no coincide con tu inventario de dispositivos conocidos. Combinado con el Control de Acceso a la Red (NAC), esto previene que dispositivos no autorizados se comuniquen incluso si su IP suplantada normalmente sería permitida.
Detección y respuesta extendida (XDR)
XDR amplía la visibilidad más allá de los endpoints a los registros de firewalls, routers y sistemas IDS/IPS de red. Si tu IDS detecta patrones de paquetes sospechosos y tu EDR detecta ejecución de procesos maliciosos en el mismo endpoint en segundos, XDR correlaciona estas señales y confirma un ataque activo. Esta visibilidad cruzada de capas detecta ataques sofisticados donde la suplantación, el movimiento lateral y la entrega de cargas útiles ocurren en múltiples capas de seguridad. Obtienes una visión completa de cómo progresó el ataque en lugar de alertas aisladas de herramientas individuales.
Conclusión
Ahora tienes un desglose completo sobre cómo prevenir la suplantación de IP. Esperamos que nuestra guía te ayude, así que asegúrate de comenzar a incorporar las mejores prácticas de prevención de suplantación de IP. No esperes hasta que sea demasiado tarde y actúa ahora porque tus actores de amenazas no se detendrán. Puedes prevenir la suplantación de IP con éxito adoptando una postura de seguridad proactiva. Si no estás seguro de cómo hacerlo, contacta al equipo de SentinelOne para obtener más orientación.
Preguntas frecuentes
El spoofing ocurre cuando un atacante falsifica direcciones de origen o credenciales para aparentar ser una fuente legítima. Modifican paquetes de red o comunicaciones para que el tráfico parezca provenir de un origen confiable. Existen diferentes tipos de spoofing: spoofing de IP, spoofing de correo electrónico, spoofing de DNS y spoofing de dirección MAC. El funcionamiento del spoofing consiste en que los atacantes utilizan herramientas para falsificar el origen de los datos antes de enviarlos a sus sistemas. Una vez que sus sistemas los procesan como legítimos, pueden ejecutar ataques sin ser detectados.
Los firewalls pueden ayudar a prevenir el IP spoofing, pero no lo detendrán completamente por sí solos. Un firewall filtrará el tráfico según las reglas que configure y las direcciones IP que marque como confiables. Si un atacante suplanta una dirección IP interna o de confianza, el firewall podría permitir ese tráfico porque parece legítimo. Combinados con otras herramientas de seguridad como los sistemas de detección de intrusiones, los firewalls se vuelven mucho más efectivos para detectar tráfico suplantado.
La suplantación de IP funciona cuando los atacantes modifican la dirección IP de origen en los paquetes de red para que parezcan provenir de una ubicación diferente o de un dispositivo de confianza. Utilizan herramientas para crear paquetes personalizados con direcciones de origen falsas antes de enviarlos al objetivo. Sus sistemas recibirán estos paquetes y los procesarán como si provinieran de una fuente legítima.
Existen tres tipos principales de suplantación de IP. La suplantación directa envía paquetes directamente al objetivo y recibe respuestas de vuelta. La suplantación indirecta envía paquetes a un tercero y las respuestas se dirigen a la dirección suplantada. La suplantación ciega ocurre cuando el atacante no ve las respuestas en absoluto. Una vez que los paquetes llegan a su sistema, pueden utilizarse para lanzar ataques DDoS, envenenamiento de DNS o intentos de acceso no autorizado.
La prevención más eficaz combina múltiples medidas de seguridad que trabajan en conjunto. Debe implementar filtrado de ingreso y egreso en sus firewalls y routers para bloquear paquetes con direcciones de origen sospechosas. Implemente un sistema de detección de intrusiones (IDS) para monitorear el tráfico de red e identificar paquetes suplantados. Habilite búsquedas inversas de DNS para verificar que el tráfico proviene de donde afirma provenir. También debe utilizar protocolos de cifrado y autenticación como HTTPS y SSH, que dificultan la suplantación. Si dispone de herramientas de seguridad como SentinelOne o plataformas XDR similares, pueden detectar intentos de suplantación. El monitoreo regular de la red y las auditorías de seguridad le ayudarán a detectar tráfico suplantado antes de que cause daños.
Los atacantes utilizarán suplantación de IP para hacer que su tráfico parezca provenir de fuentes internas confiables o direcciones externas legítimas. Esto engaña a su firewall para permitir el paso del tráfico sin bloquearlo. También pueden suplantar las direcciones de servidores de comando o sitios web legítimos para evadir los sistemas de detección. Una vez que superan su firewall, los atacantes pueden lanzar ataques DDoS, ejecutar ataques de intermediario o inyectar comandos maliciosos en su red. La suplantación de correo electrónico es otro método: falsificarán los encabezados de correo para que los correos de phishing parezcan provenir de su organización o de socios. También es posible el secuestro de sesiones, donde los atacantes suplantan paquetes para tomar el control de conexiones de red existentes.
A continuación, se presentan diferentes formas en que debe configurar los firewalls para bloquear el tráfico suplantado:
- Para el filtrado de ingreso, configure su firewall para bloquear cualquier tráfico entrante con direcciones de origen que no pertenezcan a sus redes externas esperadas.
- Para el filtrado de egreso, bloquee el tráfico saliente que tenga una dirección de origen fuera de su red.
- Debe habilitar las búsquedas inversas de DNS para verificar que las direcciones de origen coincidan con sus orígenes declarados. Configure reglas que rechacen paquetes con direcciones IP privadas provenientes de internet.
- Si dispone de un firewall de hardware, habilite las funciones de antispoofing que verifican patrones sospechosos de direcciones.
- Supervise regularmente los registros de su firewall para detectar intentos de suplantación. También puede utilizar la segmentación de red para aislar sistemas críticos, de modo que, incluso si el tráfico suplantado logra pasar, no pueda alcanzar sus activos más sensibles.
