024.2 Lección 1

La capa de enlace es la segunda capa del modelo OSI de redes. Se encarga de los aspectos físicos y de enlace de datos de la comunicación en red. Esta capa es responsable de la forma en que se transmiten los datos a través de un segmento de red local, y gestiona aspectos como la transmisión de tramas, la detección de errores y el control de flujo. Los dispositivos de una red se comunican a través de la capa de enlace mediante protocolos como Ethernet o Wi-Fi. El acceso a esta capa es fundamental para controlar la forma en que se transmiten los datos entre dispositivos de la misma red local.

Sin embargo, el acceso no autorizado a la capa de enlace puede suponer importantes riesgos de seguridad. Un atacante que obtenga acceso a esta capa podría interceptar, manipular o inyectar tráfico en la red. Esto podría permitirle realizar una variedad de ataques, como el sniffing de paquetes, en el que el atacante captura y analiza paquetes de datos, o un ataque de intermediario, en el que intercepta y posiblemente altera las comunicaciones entre dos dispositivos sin que las partes se den cuenta. Estos ataques pueden provocar filtraciones de datos, acceso no autorizado a información confidencial o incluso la interrupción de los servicios de red.

Para mitigar los riesgos asociados con el acceso a la capa de enlace es necesario proteger la infraestructura de red física, implementar mecanismos de autenticación sólidos y utilizar cifrado. Por ejemplo, se puede habilitar la seguridad de puertos en los conmutadores para limitar el acceso a los dispositivos autorizados y se puede emplear la segmentación de red para limitar el alcance de posibles ataques.

Todavía existe un riesgo inherente en la capa de datos, que es el envenenamiento del protocolo de resolución de direcciones (ARP). El ARP se utiliza para asignar direcciones IP a direcciones MAC en una red local, y un atacante puede aprovechar esto enviando mensajes ARP falsificados para asociar su dirección MAC con la dirección IP de otro dispositivo. Esto le permite al atacante interceptar o alterar el tráfico destinado a ese dispositivo.

En las redes Wi-Fi, los desafíos de proteger la capa de datos y de enlace son aún mayores debido a la física de la comunicación inalámbrica, donde los datos se transmiten a través de ondas de radio abiertas.

Las redes Wi-Fi ofrecen comodidad y flexibilidad, ya que permiten que los dispositivos se conecten a Internet de forma inalámbrica. Sin embargo, también presentan riesgos de seguridad importantes, especialmente cuando no están protegidas adecuadamente. Una de las principales preocupaciones surge con las redes Wi-Fi públicas y sin cifrar, que suelen encontrarse en espacios públicos como cafeterías, aeropuertos y hoteles. Estas redes suelen proporcionar acceso abierto a cualquier persona que se encuentre dentro del alcance y, como carecen de cifrado, los datos que se transmiten a través de ellas son vulnerables a la interceptación. Los atacantes pueden supervisar fácilmente el tráfico de la red y capturar información confidencial, como credenciales de inicio de sesión, datos personales o detalles financieros, utilizando técnicas como el rastreo de paquetes. Las redes Wi-Fi públicas son un objetivo principal para los ciberdelincuentes que buscan explotar estas vulnerabilidades.

Para mitigar estos riesgos, se debe implementar la seguridad y el cifrado de Wi-Fi para garantizar que los datos transmitidos entre los dispositivos y la red estén protegidos. El cifrado codifica los datos de modo que, incluso si son interceptados, no se pueden leer ni entender sin la clave de descifrado correcta. Con el tiempo, se han desarrollado varios estándares de cifrado para mejorar la seguridad de las redes Wi-Fi. Uno de los primeros fue Wired Equivalent Privacy (WEP), pero rápidamente se descubrió que no era seguro debido a fallas que permitían a los atacantes vulnerar su cifrado fácilmente. Como resultado, WEP ahora se considera obsoleto y no se debe utilizar.

La introducción del Acceso Protegido Wi-Fi (WPA) mejoró la seguridad al abordar muchas de las debilidades de WEP. WPA utilizaba el Protocolo de Integridad de Clave Temporal (TKIP) para cambiar dinámicamente la clave de cifrado con cada paquete, lo que dificultaba su descifrado por los atacantes. Sin embargo, WPA aún tenía vulnerabilidades, lo que llevó al desarrollo de WPA2, el estándar de cifrado más utilizado en la actualidad. WPA2 utiliza el Estándar de cifrado avanzado (AES), que ofrece un nivel de cifrado mucho más fuerte que sus predecesores y sigue siendo el estándar de la industria para la seguridad Wi-Fi.

A pesar de la solidez de WPA2, no es totalmente inmune a los ataques y, con el aumento de amenazas cibernéticas más sofisticadas, se han introducido estándares más nuevos como WPA3. WPA3 proporciona un cifrado aún más fuerte y una mejor protección contra ataques de fuerza bruta. En entornos seguros, el uso del último estándar de cifrado y contraseñas seguras es crucial para garantizar la confidencialidad e integridad de los datos transmitidos a través de redes Wi-Fi. Actualizar periódicamente los enrutadores y el equipo de red para que admitan los protocolos de seguridad más recientes también ayuda a protegerse contra amenazas emergentes, lo que garantiza que las redes inalámbricas permanezcan seguras frente al acceso no autorizado.

La interceptación de tráfico se produce cuando un usuario no autorizado, conocido como atacante, se introduce entre los puntos de comunicación de los nodos de una red. Esto también se puede denominar ataque de intermediario. Las formas de interceptación de tráfico pueden ser un ataque pasivo o activo contra los hosts de la red.

La denegación de servicio (DoS) es una forma de ataque activo que se produce cuando se niega a los usuarios autorizados el acceso a un sistema informático, una red o información específica. Esto se debe a un ataque a la red o a un sistema en particular. Para llevar a cabo este ataque, un atacante puede explotar una vulnerabilidad conocida en una aplicación específica del sistema o en el sistema operativo que se ejecuta en el host. La explotación suele adoptar la forma de que el atacante inunde el sistema con tantas solicitudes que la máquina se sobrecarga y bloquea el sistema, lo que lo deja fuera de línea o lo deja inutilizable para los usuarios autorizados.

Cuando se lanza un ataque de denegación de servicio en un host específico, el objetivo podría ser impedir el acceso al host o, cuando se combina con otras acciones, comprometer el sistema informático. También podría usarse para obtener acceso no autorizado al sistema informático o a la red. Algunos ejemplos de ataques DoS incluyen la inundación SYN (SYN flooding) y el Ping de la muerte (Ping of Death).

En el caso de la inundación SYN, un ataque aprovecha el protocolo TCP/IP utilizado para la comunicación entre dos hosts. Básicamente, el ataque consiste en inundar el host con solicitudes para que no tenga tiempo de descartar las solicitudes no respondidas en la secuencia de comunicación SYN, SYN/ACK y ACK. La solicitud ACK completa el protocolo de enlace de tres vías, pero como la conexión inicial proviene de una dirección IP falsa, el host no emite una respuesta ACK y continúa esperando. Pronto, se acumulan más solicitudes hasta que el host ya no puede manejar más solicitudes, lo que impide que se procesen en ese host las solicitudes genuinas de los usuarios autorizados.

Ping of Death es otro ataque DoS que envía paquetes ICMP (Internet Control Message Protocol) de gran tamaño a un host objetivo. Los paquetes de datos normalmente deberían tener menos de 65.536 bytes (o 64 kilobytes), pero cuando el tamaño del paquete es mayor que esto y se envía a un host que no puede manejar un tamaño de paquete tan grande, el sistema se congelará o bloqueará y no estará disponible para los usuarios autorizados.

Los ataques DoS suelen ejecutarse por un único sistema atacante. Sin embargo, cuando se han empleado varios sistemas para atacar al objetivo, se habla de denegación de servicio distribuida (DDoS). En los ataques DDoS, el atacante infecta varios sistemas y hace que realicen funciones nefastas en su nombre. Esto puede ocurrir cuando los usuarios han sido engañados para que instalen software en su ordenador que permanece inactivo durante un tiempo sin que se den cuenta. El ataque también puede aprovecharse de sistemas que no han sido parcheados o actualizados contra las últimas vulnerabilidades conocidas. En cuanto se han infectado suficientes hosts, se lanza el ataque. Este ataque podría ser una inundación SYN, en la que varios hosts infectados envían solicitudes de comunicación falsas a un servidor objetivo hasta que este se desgasta.

Una de las formas de prevenir un ataque DoS de inundación SYN es modificar el tiempo que un host espera antes de descartar solicitudes no utilizadas. También es una buena práctica asegurarse de que los sistemas estén parcheados con las últimas actualizaciones de seguridad. Existen herramientas que pueden detectar y deshacerse del software “zombi” inactivo, como algunos paquetes anti-spyware o antivirus. Si bien bloquear el protocolo ICMP podría ayudar a prevenir el Ping of Death, también podría ser un obstáculo para herramientas legítimas y útiles de resolución de problemas.

Un bot es un software que ejecuta tareas bajo el control de otro programa. Un grupo de bots que se operan y controlan a través de la red se denomina botnet. Una botnet se puede utilizar para realizar acciones legítimas y requeridas a través de la red, por ejemplo, al distribuir cargas de trabajo informáticas. Sin embargo, una botnet también se puede utilizar para acciones maliciosas y dañinas en la red, como los ataques DDoS analizados en la sección anterior. Las botnets también se pueden utilizar como software espía para robar información mediante registradores de pulsaciones de teclas a través de la red. Las botnets se pueden utilizar para enviar correos electrónicos no deseados, es decir, enviar mensajes no solicitados a un objetivo.

Por lo general, cuando un equipo está infectado por un malware de tipo bot, el usuario no es consciente de ello y puede propagar la infección a otros hosts de la red. Esto puede crear una gran red de bots que luego se utiliza para lanzar un ataque masivo contra un objetivo específico. Los desarrolladores de bots también son capaces de modificar sus bots para evadir las medidas de seguridad, como las listas negras de IP y las medidas de control de acceso, tomando direcciones IP de zonas residenciales y utilizándolas en diferentes ocasiones para evitar ser detectados. Todos los usuarios de Internet deberían instalar un software de seguridad dedicado, como paquetes antispyware y antivirus, y actualizarlos periódicamente. Estas herramientas deberían realizar comprobaciones de rutina para ayudar a prevenir una infección o un ataque. También es una buena práctica de seguridad no hacer clic en enlaces ni abrir mensajes de correo electrónico de fuentes poco claras, desconocidas o que no sean de confianza.

Los filtros de paquetes pueden desempeñar un papel crucial en la mitigación de diversos ataques de red, como inundaciones SYN, denegación de servicio (DoS), denegación de servicio distribuida (DDoS), botnets y ataques de intermediarios. Un filtro de paquetes es un mecanismo de firewall que inspecciona los paquetes entrantes y salientes en la capa de red, analizando sus encabezados para determinar si se deben permitir o bloquear según reglas de seguridad predefinidas.

Los filtros de paquetes pueden mitigar los ataques de inundación SYN, en los que un atacante sobrecarga un servidor enviando una cantidad masiva de solicitudes de conexión incompletas, limitando la cantidad de solicitudes SYN entrantes o implementando cookies SYN, que permiten que el servidor gestione más conexiones sin sobrecargar los recursos. Los filtros de paquetes también pueden detectar y bloquear las direcciones IP de atacantes conocidos, lo que impide que su tráfico llegue al servidor.

Para evitar ataques DoS y DDoS, los filtros de paquetes pueden identificar patrones de tráfico anormales (como una cantidad inusualmente alta de solicitudes desde una sola dirección IP o múltiples fuentes en un escenario DDoS) y bloquear o limitar la velocidad de ese tráfico. Esto evita que el servidor se vea sobrecargado por tráfico malicioso, mientras que las solicitudes legítimas continúan siendo procesadas.

En el caso de las botnets, que son redes de dispositivos infectados que se utilizan para lanzar ataques coordinados, los filtros de paquetes pueden detectar el tráfico procedente de direcciones IP de botnets conocidas o bloquear las comunicaciones de dispositivos que se comportan de forma sospechosa. Al bloquear el tráfico de comando y control (C2) que utilizan los operadores de botnets para gestionar los dispositivos infectados, los filtros de paquetes pueden reducir significativamente la eficacia de los ataques de botnets.

Por último, los filtros de paquetes pueden evitar los ataques de intermediario, en los que un atacante intercepta las comunicaciones entre dos dispositivos, al imponer conexiones seguras mediante protocolos como HTTPS o SSL/TLS, que cifran el tráfico. Los filtros también se pueden configurar para descartar paquetes sospechosos que parezcan ser parte de un ataque de intermediario, como aquellos con encabezados alterados o que se originan en fuentes no confiables.

Al configurar correctamente los filtros de paquetes, las organizaciones pueden reducir significativamente el riesgo de diversos tipos de ataques, mejorando la seguridad y la integridad de sus redes.