Tabla de contenido
El ARP Spoofing es una técnica de ciberataque que explota la forma en que los dispositivos se comunican en una red local. Para entenderlo, primero debemos conocer el Protocolo de Resolución de Direcciones (ARP). En una red local IPv4, los dispositivos utilizan direcciones IP y direcciones MAC para identificarse. La tabla ARP es una especie de «guía» interna que cada dispositivo mantiene, donde asocia cada dirección IP de la red con su correspondiente dirección MAC.
Cuando un dispositivo (como tu ordenador) quiere enviar un paquete de datos a otro, primero busca la dirección MAC de destino en su tabla ARP. Si no la encuentra, envía una solicitud ARP a toda la red preguntando: «¿Quién tiene esta dirección IP?». El dispositivo con esa IP responde con su dirección MAC, y así la tabla se actualiza.
La Configuración del Laboratorio del Ataque
El video ilustra este ataque en un entorno de laboratorio con una red 192.168.56.0/24 que incluye tres dispositivos clave:
- Un dispositivo con la IP 192.168.56.20 y la dirección MAC terminada en 80.
- Otro dispositivo con la IP 192.168.56.19 y la dirección MAC terminada en AB.
- El gateway (la puerta de enlace, o router) con la IP 192.168.56.1 y la dirección MAC terminada en 02.
El objetivo del ataque es que el dispositivo con la IP .20 se haga pasar por el dispositivo con la IP .19 para el resto de la red.
El Proceso del Ataque de ARP Spoofing
El ataque se ejecuta enviando paquetes ARP de «respuesta» falsos. El atacante no espera a que alguien pregunte, sino que proactivamente envía información incorrecta a la red.
Envenenamiento de la tabla ARP del gateway: El dispositivo atacante envía repetidamente paquetes ARP al gateway, afirmando que la dirección MAC para la IP 192.168.56.19 ahora es la misma que la del atacante (la que termina en 80).
Envenenamiento de la tabla ARP de la víctima: De manera similar, el atacante envía paquetes ARP al dispositivo víctima (el .19), afirmando que la dirección MAC del gateway (el .1) ahora es la del atacante (la que termina en 80).
Como resultado, las tablas ARP del gateway y de la víctima se «envenenan». El gateway piensa que la IP .19 está en la dirección MAC del atacante, y la víctima piensa que el gateway está en la dirección MAC del atacante.
Esto crea un escenario de «hombre en el medio» (Man-in-the-Middle). A partir de este momento, todo el tráfico que el dispositivo .19 intente enviar al gateway (es decir, a internet) será redirigido al atacante. De igual manera, todo el tráfico que el gateway intente enviar al dispositivo .19 también será redirigido al atacante.
El atacante puede interceptar este tráfico, registrarlo, modificarlo o incluso descartarlo, todo sin que la víctima o el gateway se den cuenta. Esta técnica es especialmente peligrosa en redes Wi-Fi públicas y permite a un atacante robar credenciales de inicio de sesión, datos personales y otra información sensible.