Tema 4

4. Amenazas de red: sniffing, spoofing, MITM, DoS y lateral movement

La red no solo conecta sistemas: también ofrece caminos para observar, engañar, interrumpir y propagarse. Comprender estas amenazas es fundamental para diseñar controles eficaces y para interpretar incidentes con criterio técnico.

Objetivo Reconocer amenazas típicas de red
Enfoque Técnico, defensivo y práctico
Resultado Entender cómo operan y cómo contenerlas

4.1 Introducción

Las amenazas de red aprovechan el hecho de que los sistemas necesitan comunicarse. Cada protocolo, servicio publicado, relación de confianza y flujo entre segmentos crea una oportunidad potencial de abuso. Algunas amenazas buscan espiar el tráfico, otras manipular rutas o identidades, otras interrumpir disponibilidad y otras expandirse dentro de la infraestructura.

En seguridad defensiva no alcanza con saber que estas técnicas existen. Es necesario entender qué condiciones las facilitan, qué señales pueden delatarlas y qué controles reducen su probabilidad o su impacto.

En este tema veremos cinco familias de amenazas que aparecen una y otra vez en incidentes reales: sniffing, spoofing, ataques Man in the Middle, denegación de servicio y movimiento lateral.

4.2 Cómo clasificar una amenaza de red

Una amenaza de red puede analizarse desde varios ángulos. Esta clasificación ayuda a pensarla mejor:

  • Por objetivo: observar, engañar, interrumpir o expandirse.
  • Por capa: enlace, red, transporte o aplicación.
  • Por posición del atacante: externo, interno, comprometido o intermediario.
  • Por efecto: pérdida de confidencialidad, integridad o disponibilidad.
  • Por persistencia: acción puntual o campaña sostenida.
Entender una amenaza no es memorizar un nombre. Es reconocer qué debilidad explota, qué necesita para funcionar y qué consecuencias provoca.

4.3 Sniffing: captura y observación del tráfico

El sniffing consiste en observar paquetes que circulan por una red para extraer información útil. Puede utilizarse con fines legítimos de diagnóstico, pero también como técnica ofensiva cuando se realiza sin autorización.

Un atacante busca detectar datos sensibles como credenciales, sesiones, nombres de hosts, relaciones entre sistemas, protocolos utilizados, metadatos de tráfico y comportamiento de usuarios.

El sniffing resulta más viable cuando:

  • El tráfico viaja sin cifrado.
  • La red local permite observar tráfico de otros equipos.
  • Existen puntos de acceso no controlados o redes Wi-Fi débiles.
  • El atacante logró ubicarse en una posición intermedia dentro del flujo.

4.4 Riesgos del sniffing

La captura de tráfico no siempre revela inmediatamente contenido legible, pero incluso los metadatos pueden ser muy valiosos. Saber quién se comunica con quién, en qué horarios, mediante qué protocolos y contra qué servicios ayuda a preparar ataques posteriores.

Dato observado Utilidad para el atacante Impacto potencial
Credenciales en claro Acceso directo a servicios Compromiso de cuentas
Cookies o tokens Secuestro de sesión Acceso no autorizado
Consultas DNS Mapeo de servicios internos y externos Reconocimiento avanzado
Patrones de tráfico Identificación de activos críticos Priorización de objetivos
Protocolos inseguros Detección de oportunidades inmediatas Explotación rápida

4.5 Controles contra sniffing

  • Usar cifrado en tránsito mediante protocolos seguros.
  • Reducir la exposición local con segmentación y controles de acceso.
  • Evitar protocolos inseguros como Telnet, FTP o HTTP en contextos sensibles.
  • Fortalecer redes Wi-Fi con autenticación y cifrado robustos.
  • Monitorear comportamientos anómalos en LAN, como intentos de interceptación.

El cifrado no elimina todos los riesgos, pero reduce drásticamente el valor del tráfico capturado para un atacante oportunista.

4.6 Spoofing: suplantación de identidad en la red

El spoofing consiste en falsificar un identificador para hacerse pasar por otro actor dentro de la comunicación. Según la capa, el identificador suplantado puede ser una dirección MAC, una IP, un nombre DNS, un remitente de correo o incluso un servicio aparentemente legítimo.

La finalidad del spoofing puede ser variada:

  • Evadir controles.
  • Ganarse la confianza de otros sistemas.
  • Redirigir tráfico.
  • Confundir registros y análisis.
  • Preparar un ataque Man in the Middle o una denegación de servicio.

4.7 Formas comunes de spoofing

Tipo Qué se suplanta Para qué se usa
MAC spoofing Dirección física Evitar controles locales o imitar un host confiable
IP spoofing Dirección IP de origen Ocultar origen, generar confusión o apoyar ataques volumétricos
ARP spoofing Resolución IP-MAC en LAN Redirigir tráfico local hacia el atacante
DNS spoofing Resolución de nombres Enviar a la víctima hacia un destino falso
Email spoofing Remitente aparente Fraude, phishing o ingeniería social

4.8 Man in the Middle: interceptar y alterar la comunicación

Un ataque Man in the Middle, o MITM, ocurre cuando un atacante logra colocarse entre dos extremos que creen estar comunicándose directamente. Desde esa posición puede observar, redirigir, bloquear o modificar el tráfico.

El MITM puede construirse de varias maneras: mediante ARP spoofing en una LAN, DNS manipulado, redes Wi-Fi falsas, proxies engañosos, certificados mal gestionados o servicios intermediarios no confiables.

Sus efectos posibles incluyen:

  • Captura de credenciales y sesiones.
  • Alteración de respuestas o contenidos.
  • Inserción de código o redirecciones maliciosas.
  • Degradación deliberada del cifrado.
  • Recolección silenciosa de información para ataques posteriores.

4.9 Condiciones que favorecen un MITM

  • Falta de validación adecuada de identidad del servidor.
  • Uso de protocolos sin cifrado o cifrado débil.
  • Redes compartidas o poco controladas.
  • Usuarios que aceptan alertas de certificados sin verificarlas.
  • Segmentación débil en redes internas.
  • Servicios de resolución o acceso administrados sin protección suficiente.
Un MITM no siempre requiere romper el cifrado. A veces basta con lograr que la víctima confíe en el destino equivocado.

4.10 Denegación de servicio: degradar o interrumpir disponibilidad

Los ataques de denegación de servicio, o DoS, buscan impedir que una red, un servicio o una aplicación respondan correctamente. Esto puede lograrse saturando recursos, explotando debilidades del protocolo o forzando a los sistemas a procesar más carga de la que pueden manejar.

Cuando la agresión proviene de muchas fuentes coordinadas se habla de DDoS. En ambos casos, el objetivo principal es afectar la disponibilidad.

Los impactos más comunes son:

  • Lentitud severa o interrupción total de un servicio.
  • Caída de portales, APIs, VPN o enlaces de comunicación.
  • Consumo excesivo de ancho de banda, CPU, memoria o tablas de conexión.
  • Pérdida de productividad, ventas, atención o reputación.

4.11 Tipos frecuentes de DoS y DDoS

Tipo Mecanismo general Objetivo
Volumétrico Envío masivo de tráfico Saturar el ancho de banda
Protocolo Abuso de características de TCP, ICMP u otros Agotar recursos de red o estado
Aplicación Solicitudes dirigidas a funciones costosas Consumir recursos del servicio
Reflexión o amplificación Uso de terceros para aumentar el volumen Multiplicar impacto sobre la víctima

4.12 Controles defensivos frente a DoS

  • Capacidad de absorción y redundancia en infraestructura crítica.
  • Rate limiting, filtros y mecanismos de mitigación perimetral.
  • Segmentación y priorización de servicios esenciales.
  • Uso de proveedores o plataformas con protección anti-DDoS.
  • Monitoreo temprano de picos anómalos y planes de respuesta.
  • Reducción de superficie expuesta y optimización de servicios.

En disponibilidad, la preparación previa es decisiva. Durante un ataque volumétrico importante, improvisar suele ser demasiado tarde.

4.13 Movimiento lateral: propagarse dentro de la red

El movimiento lateral ocurre cuando un atacante, luego de obtener un acceso inicial, intenta avanzar hacia otros sistemas dentro de la infraestructura. No busca solo entrar; busca expandir control, alcanzar activos de mayor valor y consolidar permanencia.

En muchos incidentes graves, el daño principal no proviene del primer acceso, sino de lo que el atacante logra hacer después dentro de la red.

El movimiento lateral se ve favorecido por:

  • Redes planas o mal segmentadas.
  • Credenciales reutilizadas o privilegios excesivos.
  • Accesos administrativos expuestos a segmentos amplios.
  • Falta de monitoreo interno y trazabilidad.
  • Servicios internos inseguros o sin endurecimiento.

4.14 Cómo progresa el movimiento lateral

Desde un punto de vista general, el avance lateral suele seguir una secuencia parecida:

  1. Ingreso inicial a un equipo, cuenta o servicio.
  2. Reconocimiento de la red y descubrimiento de activos.
  3. Búsqueda de credenciales, sesiones activas o servicios accesibles.
  4. Acceso a otros sistemas con mayor nivel de privilegio o valor.
  5. Persistencia, extracción de información o preparación del impacto final.

Cuanto menos segmentada está la red y menos visibles son los flujos internos, más sencillo resulta este proceso.

4.15 Indicadores de estas amenazas

No todos los ataques dejan la misma huella, pero existen señales que pueden orientar una detección temprana.

  • Cambios inesperados en resoluciones ARP o rutas locales.
  • Aparición de tráfico hacia destinos no habituales.
  • Escaneos internos de puertos o servicios.
  • Aumento súbito de errores, retransmisiones o saturación.
  • Sesiones desde equipos no usuales hacia sistemas administrativos.
  • Conexiones concurrentes extrañas o patrones repetitivos de autenticación.

4.16 Estrategia defensiva integral

Estas amenazas no se resuelven con una sola herramienta. La defensa efectiva combina arquitectura, endurecimiento, cifrado, autenticación, monitoreo y respuesta.

Amenaza Controles prioritarios Objetivo defensivo
Sniffing Cifrado, segmentación, Wi-Fi segura Reducir valor del tráfico capturado
Spoofing Validación, controles L2/L3, autenticación Evitar suplantación de identidad técnica
MITM TLS, verificación de certificados, protección LAN Impedir la interceptación confiable
DoS Mitigación, redundancia, filtrado, capacidad Sostener disponibilidad
Movimiento lateral Segmentación, mínimo privilegio, monitoreo interno Contener expansión dentro de la red

4.17 Errores frecuentes al defender la red

  • Concentrar toda la protección en el perímetro e ignorar la red interna.
  • Suponer que el cifrado por sí solo elimina cualquier riesgo de interceptación.
  • Descuidar la gestión de identidades técnicas y administrativas.
  • No documentar flujos normales y por lo tanto no detectar desviaciones.
  • Permitir conectividad amplia entre segmentos por comodidad operativa.
  • No probar planes de respuesta frente a saturaciones o incidentes internos.
La mayoría de estas amenazas se vuelven más peligrosas cuando coinciden tres factores: visibilidad insuficiente, confianza excesiva y segmentación débil.

4.18 Qué debes recordar de este tema

  • Sniffing busca observar tráfico y extraer información útil.
  • Spoofing suplanta identidades técnicas para engañar o evadir controles.
  • Un MITM coloca al atacante entre dos extremos para observar o alterar la comunicación.
  • DoS y DDoS afectan disponibilidad saturando recursos o explotando debilidades del protocolo.
  • El movimiento lateral convierte un acceso inicial en un compromiso más amplio dentro de la red.

4.19 Conclusión

Las amenazas de red no deben verse como una lista aislada de técnicas, sino como formas recurrentes de abuso sobre la conectividad. Algunas buscan espiar, otras engañar, otras interrumpir y otras expandir el alcance del ataque. Comprenderlas permite diseñar defensas más coherentes y reaccionar mejor ante señales tempranas.

En el próximo tema veremos los principios de segmentación, aislamiento y zonas de confianza, que son fundamentales para limitar estas amenazas y reducir su impacto.

Volver al índice