Introducción al arte del sniffing

¿Qué es un sniffer y cómo pude protegerse?

Un sniffer es una herramienta de software o hardware que guarda todo movimiento o trafico de internet en tiempo real a disposición del usuario y registran toda entrada y salida de datos del equipo. 



¿Qué hacen los sniffer?

Los administradores utilizan estas herramientas para mantener un flujo constante en sus redes. La palabra "Sniffer" con S mayúscula referencia a la marca registrada, NetScout.

El ataque de sniffer se conoce también como sondas e red, sniffers inalámbricos, sniffers Ethernet, sniffers de paquetes o analizadores de paquetes, no importa como se llame, todos tienen los mismos propósitos, que es el espionaje.

Los sniffers capturan e inspeccionan los "paquetes" datos que viajan a través de la red. 



¿Para qué se utiliza el software de sniffing?

En su inicio y ahora son útiles herramientas para que los ingenieros administren sus redes, estas permiten ver todo el trafico de la red así pudiendo diagnosticar problemas y evaluar el rendimiento.

Primero habrá que saber como utiliza el sniffing los administradores de red, el equipo solo inspeccionar los paquetes dirigidos específicamente a el, el software de sniffing cambia la configuración de red de la equipo par poder inspeccionar cada paquete, no solo los destinados al propio equipo, y los copia para investigarlos después. Los sniffer no entran directamente al equipo sino que están incluidos en los paquetes. Este software controla cada uno o puede solo investigar algunos de los paquetes que entran n el equipo,. es decir, un sniffer en modo no filtrado puede recoger todo el trafico de la red o puede configurarlo para que filtre paquetes que contengan datos concretos.

Usos legítimos del software de sniffing

Los técnicos expertos los  introducen n la red para interceptar su trafico y rastrear lo que se envía. Pueden usar un sniffer de red los siguientes:

-     Ingenieros de red: Mediante el análisis del tipo y nivel de trafico de una red, los ingenieros pueden optimizar la estructura de esta para mejorar su eficiencia y su velocidad

-     Administradores del sistema: Estos pueden investigar la entrada de los sniffers y ralentizar su entrad para averiguar el problema.

-   Empresas: Los técnicos de TI de oficinas corporativas pueden utiliza sniffers para supervisar a los empleados mientras trabajan. Las empresas pueden saber que sitios visitan sus trabajadores, cuanto tiempo pasan en ellas y si están viendo o descargando algo que no debería.

-   Profesionales de la seguridad: Estos pueden identificar los patrones de uso atípicos de la red que podría avisar de la presencia de un hacker o malware.

Usos delictivos del software de sniffing

Los ciberdelincuentes pueden pinchar una red para ver todo el trafico que se envía a través de la misma. Al supervisar el uso de Internet, incluyendo los correos electrónicos y los mensajes instantáneos, un hacker podría acceder a las credenciales de inicio de sesión, información privilegiada y datos financieros.

Los ciberdelincuentes utilizan trucos de ingeniería social o estafa de phising para persuadir as sus victimas de que descarguen sus sniffers. Pueden dirigirles a sitios web infectados que descarguen automáticamente el sniffer cuando los vistan, o enviar correos electrónicos con archivos adjuntos que instalen el software malicioso.

Los hacker pueden detectar redes públicas no seguras e interceptar el trafico que cualquiera la use. Los sniffer inalámbricos son populares por los ataques de suplantación ya que los ciberdelincuentes puede utilizar sus datos para suplantar un dispositivo de la red inalámbrica.



Existen el modo promiscuo que es un modo de operación en el que una computadora conectada a una red compartida captura todos los paquetes, incluyendo los paquetes destinados a otras computadoras.

El modo promiscuo es muy útil para supervisar la red, pero presenta un riesgo de seguridad dentro de una red de producción.

Muchas interfaces normales permiten utilizar este modo, aunque hay algunas tarjetas como las Token Ring de IBM que no permiten este funcionamiento por defecto.

¿Cómo funciona un sniffer?

Tras hablar de que hacen, lo siguiente es como funcionan, existen dos técnicas de sniffing, activas y pasivas. Su técnica dependerá de la estructura de la red.

¿Qué es el sniffing pasivo?

 Funciona con concentradores, que son dispositivos de red que interconectan varios dispositivos en una sola. No existen mecanismo reguladores que dirijan el trafico a su destinatario, po llo, todos los dispositivos reciben el trafico y determinan si es relevante o no.

Como todos los dispositivos del concentrador reciben el trafico, el sniffer puede absorber de forma pasiva todo lo que se envía, haciendo el sniffing difícil de detectar.

¿Y que pasa con el snifing activo?

Cuanto mas dispositivos conectas al concentrador el tráfico se vuelve mas abrumador, por ello, los conmutadores regulan el trafico de la red enviando los datos al dispositivo al que están destinados. Un sniffer pasivo en un concentrador solo podrá ver los datos que entran y salgan de esa.

 El sniffer activo accede al trafico que circula a través de la red y este debe superar la forma de direccionamiento de los conmutadores. Para superarlo, pueden inyectar trafico adicional en la red, las ventaja d esto es que es mas fácil de detectar porque delata su presencia. 



¿Cómo protegerse del sniffing?

Se puede mantener las comunicaciones del snifing fuera del alcance de las personas mediante las siuintes medidas:

Instale una herramienta antivirus potente, así se mantiene los sniffers alejados de sus dispositivos con protección de ciberseguridad. Los hackers utilizan virus, troyanos y gusanos para inyectar un sniffer en el equipo.

Cifra sus datos con una VPN, una vez instalado un antivirus, sucede el cifrado, que es la mejor protección contra el sniffing ya que aunque se vea afectada, sus datos no tendrá utilidad. Si no deshacen el cifrado, los datos obtenidos resultan inútiles. Una VPN, o red privada virtual, cifra todo su trafico en línea, Cuando se conecta con una VPN, todo el trafico pasa a través de un túnel cifrado de forma segura protegiéndolo de de los ciberdelincuentes.

 


No visites sitios web sin cifrar, en la URL puede mostrar ua HTTPS, esa S significa "seguro", esos sitios web están cifrados y su actividad esta protegida y puede aparecer un icono de candado, que significa que el sitio web es o no seguro.

Lo sitios HTTP no ofrece el mismo nivel de seguridad, y no existe garantía de que no haya nadie espiando. Si hay que visitar un sitio sin protección HTTPS no introduzca ningún dato personal ni credenciales.

Es necesario mencionar que El cifrado HTTPS, solo protege en el sitio web en concreto, para un cifrado completo de datos en línea es necesario utilizar una VPN

Evite las Wi-Fi públicas, si estas no están protegidas por una VPN, cualquier usuario podría acceder a sus datos con solo estar conectado a ese punto, usar una red Wi-Fi publica desprotegida es como apostar que nadie este usando un sniffer que pueda acceder a sus datos personales.



No utilice aplicaciones de mensajería sin cifrado, estos resultan ser un cebo fácil para los sniffers, algunas de las aplicaciones de chat con cifrado de mensajería son WhatsApp, Viber, LINE y Telegram, estos están protegidos de punto a punto evitando que los sniffer accedan a esos datos.

¿Cómo puedo encontrar un sniffer en mi red?

La mejor forma para defenderse d ella es usar un software antivirus potente junto con un cifrador VPN que le inmunizara contra la gran mayoría de los ataques de sniffing. No es fácil detectar la presencia de u  sniffer pasivo que en una red WI-FI son casi invisibles, por ello, su mejor defensa contra esta es el cifrado y si esta en una re conmutada, se enfrentara al sniffing activo, que deja rastros. Los administradores están preparados para detectarlas y saben como responder. 

¿Puedo detectar un sniffer en mi propio equipo?

No siempre es fácil detectarlo, por ello, se puede buscar las señales de: proceso sin explicación, porque muchos sniffer se ejecutan a nivel e usuario de un equipo y muchos usuarios pueden verlo funcionar, y la disminución repentina de la capacidad de almacenamiento, ya que muchos sniffer se pueden ocultar por rootkit, y se puede detectar una perdida sin sentido de espacio de almacenamiento porque los sniffer necesitan espacio para guardar sus datos.



Comentarios

Entradas populares de este blog

UNIÓN EUROPEA