Tema 10

Ataques a redes: sniffing, spoofing, man-in-the-middle, DoS y DDoS

Las redes transportan datos, autenticaciones, servicios y decisiones críticas. Esta unidad explica cómo pueden ser observadas, manipuladas o saturadas por atacantes que buscan interceptar tráfico, suplantar identidades o interrumpir la comunicación.

Objetivo Entender ataques a la comunicación
Enfoque Intercepción, suplantación e interrupción
Resultado Reconocer riesgos de capa de red
Clave Si la red se controla, gran parte del entorno queda expuesto

10.1 Introducción

La red es el medio por el que circulan datos, credenciales, órdenes, respuestas y servicios. Si un atacante consigue observarla, manipularla o degradarla, puede afectar simultáneamente confidencialidad, integridad y disponibilidad. Por eso los ataques de red siguen siendo una parte central del panorama ofensivo.

Algunos buscan escuchar el tráfico de forma pasiva. Otros se apoyan en engaños para redirigir comunicaciones. Otros saturan recursos hasta impedir que el servicio responda. Todos tienen algo en común: explotan la dependencia que existe entre sistemas y conectividad.

10.2 Qué significa atacar una red

Atacar una red no implica solamente “tumbar Internet”. Incluye cualquier acción orientada a interferir, espiar, manipular o suplantar la comunicación entre dispositivos, usuarios y servicios.

  • Interceptar tráfico.
  • Alterar rutas o respuestas.
  • Suplantar identidades de red.
  • Desviar conexiones hacia destinos controlados.
  • Saturar enlaces, servicios o recursos de infraestructura.
Muchas intrusiones no se entienden completamente si solo se mira el servidor final. La red puede ser el espacio donde se obtiene visibilidad, persistencia o capacidad de manipulación.

10.3 Sniffing

El sniffing es la captura o inspección de tráfico que circula por una red. Puede tener fines legítimos, como diagnóstico y monitoreo, pero también puede usarse con intención maliciosa para observar comunicaciones, credenciales, cookies, consultas o datos sensibles.

Su peligrosidad depende de qué se esté transmitiendo y de si esa información viaja protegida o no.

  • Puede ser pasivo o apoyarse en técnicas para forzar que el tráfico pase por un punto controlado.
  • Resulta especialmente peligroso cuando hay protocolos inseguros o mala segmentación.
  • Puede utilizarse como paso previo a robo de credenciales o secuestro de sesión.

10.4 Qué puede capturarse con sniffing

Si el tráfico no está correctamente protegido, el atacante puede extraer información de alto valor:

  • Credenciales enviadas en texto claro.
  • Cookies o tokens de sesión.
  • Consultas DNS.
  • Información de servicios internos.
  • Metadatos sobre quién se comunica con quién.
  • Documentos, mensajes o archivos en tránsito.

Aun cuando el contenido vaya cifrado, los metadatos pueden revelar estructura del entorno, patrones de uso y servicios críticos.

10.5 Spoofing

El spoofing es la suplantación de una identidad técnica para engañar a sistemas o usuarios. Esa identidad puede ser una dirección IP, una dirección MAC, un servidor DNS, un remitente de correo o cualquier elemento usado para generar confianza o enrutar tráfico.

El objetivo suele ser obtener una posición ventajosa en la comunicación, saltar controles o inducir a la víctima a confiar en una fuente falsa.

10.6 Tipos comunes de spoofing

Tipo Qué suplanta Objetivo habitual
IP spoofing Dirección IP de origen Ocultar origen o engañar filtros y respuestas
ARP spoofing Mapeo IP-MAC en redes locales Redirigir tráfico dentro de la LAN
DNS spoofing Respuestas de resolución de nombres Enviar a la víctima a un destino falso
Email spoofing Remitente aparente del correo Phishing y fraude de identidad

10.7 ARP spoofing

En redes locales, el ARP spoofing o ARP poisoning consiste en enviar respuestas ARP falsas para asociar la dirección IP de un equipo legítimo con la dirección MAC del atacante. De ese modo, el tráfico destinado a otro host puede redirigirse hacia el equipo controlado por el adversario.

Esto puede utilizarse para espiar, modificar o bloquear tráfico dentro de la red local, y es una técnica clásica para habilitar escenarios de man-in-the-middle.

10.8 DNS spoofing y manipulación de resolución

El DNS spoofing busca alterar la relación entre un nombre de dominio y la dirección a la que debería resolver. Si la víctima cree estar accediendo a un servicio legítimo pero es enviada a un destino controlado por el atacante, puede entregar credenciales, descargar malware o navegar por una réplica falsa.

Este tipo de ataque demuestra que la confianza en un nombre conocido no alcanza si la resolución fue alterada o secuestrada.

10.9 Man-in-the-middle

Un ataque man-in-the-middle, o MITM, ocurre cuando el atacante logra ubicarse entre dos partes que creen estar comunicándose directamente entre sí. Desde esa posición, puede observar, modificar o redirigir el tráfico.

El valor del MITM está en la posición intermedia. Si esa posición se consigue y la protección es insuficiente, el atacante puede:

  • Capturar credenciales o tokens.
  • Alterar mensajes en tránsito.
  • Inyectar contenido malicioso.
  • Desviar a servicios fraudulentos.

10.10 Cómo se habilita un MITM

Existen múltiples caminos para colocarse en medio de una comunicación:

  • ARP spoofing en una red local.
  • Puntos de acceso Wi-Fi maliciosos o inseguros.
  • Manipulación de DNS.
  • Proxies maliciosos o configuraciones forzadas.
  • Compromiso de infraestructura intermedia.
El verdadero riesgo del man-in-the-middle no es solo ver datos, sino la capacidad de cambiar activamente lo que cada parte cree estar recibiendo.

10.11 Redes Wi-Fi y riesgo de intercepción

Las redes inalámbricas abiertas o mal configuradas pueden facilitar sniffing y MITM, especialmente si los usuarios confían en cualquier red disponible y no validan el contexto. Los atacantes pueden crear puntos de acceso con nombres convincentes o aprovechar redes sin protección fuerte.

En estos entornos, el usuario puede no advertir que todo su tráfico está pasando por infraestructura controlada por terceros.

10.12 DoS

Un ataque de denegación de servicio o DoS busca impedir que un servicio atienda correctamente a usuarios legítimos. Esto puede lograrse saturando recursos de red, CPU, memoria, conexiones o lógica de aplicación.

El objetivo no es necesariamente penetrar el sistema, sino volverlo inaccesible o inestable. Esto afecta principalmente la disponibilidad, aunque también puede generar impacto reputacional, económico y operativo.

10.13 DDoS

Cuando la denegación de servicio se ejecuta de forma distribuida desde múltiples sistemas coordinados, se habla de DDoS o denegación de servicio distribuida. Esto hace que el volumen de tráfico o solicitudes sea mucho mayor y más difícil de bloquear desde un único punto.

Las botnets suelen ser un componente importante de este tipo de ataques, ya que permiten generar tráfico desde miles de orígenes comprometidos.

10.14 Tipos de DoS y DDoS

Tipo Qué satura o explota Ejemplo conceptual
Volumétrico Ancho de banda o capacidad del enlace Gran cantidad de tráfico para congestionar la red
De protocolo Recursos asociados a conexiones o manejo de protocolos Consumo de tablas de estado o conexiones parciales
De aplicación Lógica o recursos del servicio Peticiones costosas a páginas o APIs específicas

10.15 Impacto de los ataques de denegación

  • Caída total o parcial del servicio.
  • Latencia excesiva y degradación de experiencia.
  • Pérdida de ventas o interrupción de atención.
  • Consumo de recursos internos y distracción del equipo técnico.
  • Uso del DDoS como cobertura para otras acciones maliciosas.

En algunos escenarios, un DDoS no busca solamente tumbar el servicio, sino crear caos mientras se ejecuta fraude, exfiltración o intrusión por otro vector.

10.16 Ataques de amplificación y reflexión

En ciertos DDoS, el atacante aprovecha servicios intermedios para amplificar el volumen de respuesta hacia la víctima. También puede reflejar tráfico de forma que parezca provenir de otra fuente. Estas estrategias aumentan la potencia del ataque y complican atribución y filtrado.

Este tipo de técnica muestra cómo una mala configuración de servicios abiertos puede ser explotada incluso cuando el verdadero objetivo es un tercero.

10.17 Señales de alerta en ataques de red

  • Tráfico inusualmente elevado o inesperado.
  • Aumento de latencia y pérdida de conectividad.
  • Resoluciones DNS inconsistentes o sospechosas.
  • Cambios extraños en tablas ARP o rutas.
  • Conexiones simultáneas o paquetes anómalos.
  • Picos de solicitudes contra un mismo recurso o endpoint.

10.18 Controles de prevención e integridad de red

La defensa frente a ataques de red combina arquitectura, monitoreo y protocolos seguros:

  • Cifrado del tráfico sensible.
  • Segmentación de redes y aislamiento de entornos críticos.
  • Uso de protocolos y configuraciones seguras.
  • Protección de resolución DNS y validación de respuestas.
  • Monitoreo de comportamiento de red y anomalías.
  • Control de dispositivos autorizados y hardening de infraestructura.

10.19 Defensa frente a DoS y DDoS

  • Escalabilidad y redundancia de infraestructura.
  • Balanceadores, CDN y servicios anti-DDoS cuando corresponda.
  • Rate limiting y filtrado por comportamiento.
  • Protección específica en capas de red y aplicación.
  • Planes operativos para continuidad durante saturación.
  • Coordinación con proveedores de conectividad y nube.

La preparación previa es determinante. Un ataque de saturación no se improvisa bien en tiempo real si la arquitectura no estaba pensada para resistirlo.

10.20 Errores comunes

  • Suponer que el cifrado de contenido resuelve todos los ataques de red.
  • No monitorear cambios en infraestructura o resolución.
  • Tratar el DDoS solo como un problema de volumen y no de continuidad del negocio.
  • No segmentar redes internas.
  • Usar redes Wi-Fi o canales inseguros sin controles adicionales.
  • No contemplar que la red puede ser usada como vector para otras fases del ataque.

10.21 Qué debe quedar claro

  • El sniffing busca observar tráfico y obtener información útil.
  • El spoofing suplanta identidades técnicas para engañar o redirigir.
  • Un man-in-the-middle permite ver y alterar comunicaciones.
  • DoS y DDoS afectan principalmente la disponibilidad, pero pueden tener impacto estratégico mayor.
  • La defensa exige cifrado, segmentación, monitoreo y capacidad de resiliencia operativa.

10.22 Conclusión

Los ataques de red muestran que la comunicación misma puede ser el objetivo o el vehículo del compromiso. Observar, desviar o saturar tráfico permite al atacante obtener información, suplantar confianza e interrumpir servicios críticos. Proteger la red implica cuidar tanto la confidencialidad e integridad del tránsito como la disponibilidad de la conectividad.

En el próximo tema se abordarán las vulnerabilidades en sistemas operativos, servicios y configuraciones inseguras, ampliando el análisis hacia la superficie técnica del entorno.

Volver al índice