5.2. Vulnerabilidades y Amenazas en Redes Locales¶
Objetivo: Identificar los principales vectores de ataque en redes locales, comprender cómo funcionan y aprender a detectarlos con herramientas profesionales.
5.2.1. Introduccion: Por que es vulnerable una red local?¶
En una red local (LAN), solemos confiar en los dispositivos conectados. Sin embargo, esta confianza implícita es precisamente la mayor vulnerabilidad. Si un atacante accede físicamente a un punto de red, conecta un dispositivo no autorizado o infecta un equipo interno, puede comprometer toda la privacidad de las comunicaciones sin que nadie lo note.
Escenario real: Un alumno conecta su portátil personal a la red del aula. Ese portátil tiene instalado un software de captura de tráfico. Sin hacer nada más, puede ver las credenciales de cualquier compañero que acceda a un servicio sin cifrar.
Conceptos clave¶
| Concepto | Definicion | Ejemplo |
|---|---|---|
| Superficie de ataque | Conjunto de puntos donde un atacante puede intentar entrar | Puertos abiertos, servicios expuestos, usuarios con privilegios excesivos |
| Vulnerabilidad | Fallo o debilidad en el sistema que puede ser explotada | Software desactualizado, contraseña débil, protocolo sin cifrado |
| Amenaza | Accion que aprovecha una vulnerabilidad para causar daño | Ataque MitM, sniffing, fuerza bruta |
| Riesgo | Probabilidad de que una amenaza explote una vulnerabilidad | Alto si el servicio FTP está expuesto en una red con usuarios no confiables |
| Exploit | Codigo o tecnica que aprovecha una vulnerabilidad concreta | Script que explota un fallo en Apache 2.4.49 |
El modelo de defensa en profundidad¶
La seguridad no depende de una sola medida, sino de capas de proteccion que un atacante debe superar una a una:
[Internet]
|
[Firewall perimetral] <-- Capa 1: Filtrado de red
|
[DMZ / Zona desmilitarizada] <-- Capa 2: Aislamiento de servicios
|
[Firewall interno] <-- Capa 3: Segmentacion interna
|
[Sistemas y servicios] <-- Capa 4: Hardening del SO
|
[Datos cifrados] <-- Capa 5: Cifrado en reposo y en transito
Si un atacante supera la capa 1 (por ejemplo, accediendo fisicamente a la red), las capas 2, 3, 4 y 5 siguen protegiendolo. Esto es la defensa en profundidad.
5.2.2. Tipologia de Ataques en Redes Locales¶
A. Eavesdropping (Escucha Pasiva)¶
El atacante captura el trafico de red sin modificarlo ni interrumpirlo. La victima no nota absolutamente nada porque el servicio sigue funcionando con normalidad. Es el ataque mas silencioso y uno de los mas peligrosos.
Como funciona:
[Victima A] ----trafico HTTP----> [Servidor]
|
[Atacante captura
los paquetes en
modo promiscuo]
El modo promiscuo permite a una tarjeta de red capturar todos los paquetes que circulan por el segmento, no solo los dirigidos a ella.
Condiciones necesarias: - Acceso al mismo segmento de red (misma VLAN o red Wi-Fi). - En redes con switch, se necesita ademas ARP Spoofing para redirigir el trafico. - En redes Wi-Fi abiertas, cualquiera puede capturar el trafico sin tecnicas adicionales.
Herramientas:
| Herramienta | Entorno | Uso |
|---|---|---|
tcpdump |
Terminal (Linux/macOS) | Captura rapida, servidores sin GUI |
| Wireshark | GUI (multiplataforma) | Analisis detallado y visual |
tshark |
Terminal | Version de linea de comandos de Wireshark |
B. Spoofing (Suplantacion de Identidad)¶
El atacante falsifica su identidad para hacerse pasar por otro dispositivo o servicio de confianza. Existen varios tipos segun lo que se suplanta:
| Tipo | Que se falsifica | Objetivo del atacante |
|---|---|---|
| IP Spoofing | Direccion IP de origen | Evadir filtros de firewall, ataques DoS |
| MAC Spoofing | Direccion MAC del adaptador | Evadir filtros por MAC, acceder a redes restringidas |
| ARP Spoofing | Respuestas del protocolo ARP | Redirigir trafico (base del MitM) |
| DNS Spoofing | Respuestas del servidor DNS | Redirigir a webs falsas (phishing) |
Ejemplo practico de MAC Spoofing en Linux:
# Ver la MAC actual
ip link show enp0s3
# Cambiar la MAC temporalmente
sudo ip link set enp0s3 down
sudo ip link set enp0s3 address 00:11:22:33:44:55
sudo ip link set enp0s3 up
# Verificar el cambio
ip link show enp0s3
Este cambio es temporal y se revierte al reiniciar. Se usa en auditorias de seguridad para comprobar si los switches tienen configurado Port Security.
C. Man-in-the-Middle (MitM) y ARP Poisoning¶
Es el ataque mas completo en redes locales. El atacante se interpone entre la victima y el gateway, interceptando y pudiendo modificar todo el trafico en ambas direcciones.
Como funciona el ARP Poisoning:
El protocolo ARP (Address Resolution Protocol) traduce direcciones IP a direcciones MAC. No tiene mecanismo de autenticacion: cualquier equipo puede enviar respuestas ARP falsas.
Situacion normal:
[Victima] ----ARP: ¿Quien tiene 192.168.1.1?----> [Router]
[Router] ----ARP: Yo, mi MAC es AA:BB:CC:DD:EE:FF----> [Victima]
Situacion con ARP Poisoning:
[Atacante] ----ARP: Yo soy 192.168.1.1, mi MAC es 11:22:33:44:55:66----> [Victima]
[Atacante] ----ARP: Yo soy 192.168.1.X (victima), mi MAC es 11:22:33:44:55:66----> [Router]
Resultado:
[Victima] ----> [Atacante] ----> [Router] ----> [Internet]
(intercepta todo)
Consecuencias de un ataque MitM exitoso: - Captura de credenciales en texto plano (HTTP, FTP, Telnet). - Inyeccion de contenido malicioso en paginas web. - Descarga de certificados SSL falsos (SSL Stripping). - Captura de cookies de sesion para suplantar al usuario.
D. Otros ataques relevantes¶
DoS / DDoS (Denegacion de Servicio): Satura el servicio con peticiones masivas hasta dejarlo inaccesible. Ataca la Disponibilidad de la triada CIA.
# Ejemplo de como detectar un ataque DoS en curso
# (muchas conexiones desde la misma IP)
ss -tn | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head
Replay Attack: El atacante captura un paquete valido (por ejemplo, una autenticacion) y lo reenvía mas tarde para autenticarse sin conocer las credenciales.
VLAN Hopping: Tecnica para saltar entre VLANs que deberian estar aisladas, aprovechando configuraciones incorrectas en los switches.
5.2.3. Practicas Guiadas: Analizadores de Trafico¶
Para entender las amenazas, debemos aprender a usar las mismas herramientas que usan los profesionales de seguridad para detectarlas y analizarlas.
Aviso legal: Todas las practicas se realizan en entorno de laboratorio controlado (maquinas virtuales propias o red del aula con autorizacion expresa). La captura de trafico en redes ajenas sin autorizacion es un delito tipificado en el articulo 197 bis del Codigo Penal.
Practica A: Captura rapida con tcpdump (Terminal)¶
tcpdump es la herramienta estandar para servidores sin interfaz grafica. Ligera, potente y disponible en cualquier sistema Linux.
Instalacion:
sudo apt update && sudo apt install tcpdump -y
Uso basico:
# Ver las interfaces de red disponibles
ip link show
# Capturar todo el trafico de una interfaz
sudo tcpdump -i enp0s3
# Capturar solo trafico ICMP (ping)
sudo tcpdump -i enp0s3 icmp
# Capturar trafico HTTP y mostrar el contenido en ASCII
sudo tcpdump -i enp0s3 port 80 -A
# Capturar trafico FTP (incluye credenciales en texto plano)
sudo tcpdump -i enp0s3 port 21 -A
# Guardar la captura en un fichero para analizarla despues con Wireshark
sudo tcpdump -i enp0s3 -w captura.pcap
# Leer un fichero de captura
sudo tcpdump -r captura.pcap
Accion: Desde otro terminal o maquina, haz un ping a tu IP mientras tcpdump esta capturando.
Analisis: Observa como tcpdump muestra en tiempo real el origen, destino y tipo de cada paquete. Esto demuestra que cualquier dato enviado sin cifrar es completamente visible para cualquier equipo en el mismo segmento de red.
Interpretacion de la salida:
14:32:01.123456 IP 192.168.1.10 > 192.168.1.20: ICMP echo request, id 1, seq 1
^origen ^destino ^tipo de paquete
Practica B: Analisis visual con Wireshark (GUI)¶
Wireshark permite analizar el trafico de red de forma visual e interactiva. Es la herramienta de referencia en analisis forense de red.
Instalacion:
sudo apt update && sudo apt install wireshark -y
# Anadir nuestro usuario al grupo wireshark para capturar sin sudo
sudo usermod -aG wireshark $USER
# Cerrar sesion y volver a entrar para que surta efecto
Procedimiento:
- Lanza Wireshark desde el menu de aplicaciones o con
wiresharken la terminal. - Selecciona tu interfaz de red activa (ej.
enp0s3). - Haz clic en el boton azul de tiburon para iniciar la captura.
- En la barra de filtros, escribe
httpy pulsa Enter. - Abre Firefox y navega a
http://neverssl.com(web sin HTTPS, ideal para pruebas). - Detén la captura con el boton rojo.
- Busca un paquete con metodo
GEToPOST. - Clic derecho sobre el paquete → Follow → TCP Stream.
Resultado: Veras el codigo HTML, las cabeceras HTTP y, si hubiera un formulario de login, el usuario y la contrasena en texto claro.
Filtros esenciales de Wireshark:
| Filtro | Que muestra |
|---|---|
http |
Todo el trafico HTTP |
ftp |
Comandos FTP (incluye credenciales) |
ftp.request.command == "PASS" |
Solo las contrasenas FTP |
tcp.port == 23 |
Trafico Telnet |
ip.addr == 192.168.1.X |
Trafico de una IP concreta |
http.request.method == "POST" |
Formularios enviados |
dns |
Consultas y respuestas DNS |
arp |
Trafico ARP (util para detectar ARP Spoofing) |
5.2.4. Ensenanza Guiada: Analisis de Vulnerabilidades en Ubuntu 24¶
Realizaremos una serie de pasos para identificar vulnerabilidades en nuestro propio sistema y en la red local.
Paso 1: Verificacion de la tabla ARP¶
La tabla ARP almacena la relacion entre direcciones IP y direcciones MAC de los equipos con los que hemos comunicado recientemente.
# Ver la tabla ARP actual
ip neighbor show
# Alternativa clasica
arp -a
Salida esperada:
192.168.1.1 dev enp0s3 lladdr aa:bb:cc:dd:ee:ff REACHABLE
192.168.1.20 dev enp0s3 lladdr 11:22:33:44:55:66 STALE
Analisis: Si dos IPs distintas tienen la misma direccion MAC, es una senal de alerta de posible ARP Poisoning. El gateway (router) siempre debe tener una MAC unica y estable.
Deteccion automatica de ARP Spoofing:
# Instalar arpwatch para monitorizar cambios en la tabla ARP
sudo apt install arpwatch -y
sudo systemctl enable arpwatch
sudo systemctl start arpwatch
# Ver los eventos registrados
sudo journalctl -u arpwatch -f
Paso 2: Escaneo de red para detectar intrusos¶
# Descubrir todos los dispositivos activos en la red local
sudo nmap -sn 192.168.1.0/24
# Escaneo mas detallado con sistema operativo y servicios
sudo nmap -sV -O 192.168.1.0/24
# Guardar el resultado en un fichero
sudo nmap -sn 192.168.1.0/24 -oN dispositivos.txt
Reflexion: Compara la lista de dispositivos detectados con los que deberian estar en la red. Un dispositivo desconocido es una amenaza potencial que debe investigarse.
Interpretacion de los resultados:
Nmap scan report for 192.168.1.1
Host is up (0.001s latency).
MAC Address: AA:BB:CC:DD:EE:FF (Manufacturer)
La MAC permite identificar el fabricante del dispositivo, lo que ayuda a reconocer equipos desconocidos.
Paso 3: Identificacion de servicios vulnerables (Banner Grabbing)¶
El banner grabbing consiste en conectarse a un servicio y leer la informacion que devuelve sobre si mismo: version del software, sistema operativo, etc.
# Banner grabbing con netcat
nc -v 192.168.1.X 80
# Luego escribe: HEAD / HTTP/1.0
# Y pulsa Enter dos veces
# Banner grabbing con nmap (mas completo)
sudo nmap -sV --version-intensity 9 192.168.1.X
# Banner grabbing de SSH
nc -v 192.168.1.X 22
Analisis: El servidor responde con su “firma”, por ejemplo:
Server: Apache/2.4.49 (Ubuntu)
OpenSSH_8.2p1 Ubuntu-4ubuntu0.5
Un atacante usa esta informacion para buscar vulnerabilidades conocidas de esa version exacta en bases de datos como CVE Details o el NVD del NIST.
Contramedida: Ocultar o falsificar los banners de los servicios para dificultar el reconocimiento.
# Ejemplo: ocultar la version de Apache en /etc/apache2/apache2.conf
ServerTokens Prod
ServerSignature Off
Paso 4: Deteccion de escaneos de red¶
Podemos configurar nuestro sistema para detectar cuando alguien nos esta escaneando:
# Ver conexiones activas y en que puertos
ss -tulnp
# Monitorizar intentos de conexion en tiempo real
sudo journalctl -f | grep "connection"
# Ver los ultimos intentos de acceso SSH fallidos
sudo grep "Failed password" /var/log/auth.log | tail -20
5.2.5. Recursos de Apoyo y Videotutoriales¶
Videos Seleccionados¶
- Ataques MitM: Explicacion visual del ataque Man-in-the-Middle.
- Envenenamiento ARP: Como funciona el ARP Spoofing paso a paso.
- Tutorial Wireshark: Captura de contrasenas en protocolos inseguros.
Enlaces y Documentacion¶
| Recurso | Descripcion |
|---|---|
| OWASP | Top 10 vulnerabilidades y guias de seguridad |
| INCIBE | Amenazas y vulnerabilidades en la red local (guias en castellano) |
| NVD — NIST | Base de datos nacional de vulnerabilidades (CVEs) |
| CVE Details | Buscador de vulnerabilidades por software y version |
| Wireshark Sample Captures | Capturas de ejemplo para practicar el analisis |
| Tcpdump Cheat Sheet | Referencia rapida de filtros y opciones |
5.2.6. Actividades de Consolidacion¶
Actividad 1 — Investigacion: Port Security¶
Investiga el concepto de Port Security en switches gestionables.
Preguntas a responder en tu cuaderno digital:
- Que es Port Security y en que capa del modelo OSI actua?
- Como ayuda esta tecnica a prevenir ataques de MAC Spoofing y MAC Flooding?
- Que ocurre cuando un switch detecta una MAC no autorizada en un puerto? Que modos de violacion existen?
- Como podrias configurar tu Ubuntu 24 para ignorar paquetes ICMP (ping) y ser “invisible” ante escaneos basicos de red?
# Pista para la pregunta 4: investiga este comando
sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
# Para hacerlo permanente, edita /etc/sysctl.conf y añade:
# net.ipv4.icmp_echo_ignore_all = 1
Actividad 2 — Analisis de tabla ARP¶
En tu maquina Ubuntu 24:
- Ejecuta
ip neighbor showy anota todos los dispositivos de la tabla ARP. - Identifica cual es la MAC del gateway (router).
- Busca el fabricante de cada MAC en https://macvendors.com.
- Responde: ¿Reconoces todos los dispositivos? ¿Hay alguno sospechoso?
Actividad 3 — Reflexion sobre el modelo de defensa¶
Dado el siguiente escenario:
Una empresa tiene un servidor web con Apache 2.4.49 accesible desde la red interna. No tiene firewall configurado. Los empleados usan HTTP para acceder al panel de administracion. La red Wi-Fi de invitados esta en la misma VLAN que la red interna.
Identifica al menos cinco vulnerabilidades en este escenario y propón una contramedida para cada una.
Resumen de Conceptos Clave¶
| Concepto | Definicion rapida |
|---|---|
| Eavesdropping | Captura pasiva del trafico sin modificarlo |
| Spoofing | Suplantacion de identidad (IP, MAC, DNS, ARP) |
| MitM | El atacante se interpone entre victima y servidor |
| ARP Poisoning | Envenenamiento de la tabla ARP para redirigir trafico |
| Banner Grabbing | Tecnica para identificar software y versiones de servicios |
| Port Security | Funcion de switches para limitar MACs por puerto |
| Modo promiscuo | Modo de la tarjeta de red que captura todo el trafico |
| tcpdump | Herramienta de captura de paquetes por linea de comandos |
| Wireshark | Analizador de protocolos grafico |
| arpwatch | Herramienta de monitorizacion de cambios en la tabla ARP |
Practica entregable 5.2. Cazadores de Amenazas
En esta practica aplicaremos las tecnicas vistas en esta unidad para detectar y analizar amenazas reales en un entorno de red virtualizado: captura de trafico, analisis de la tabla ARP, identificacion de servicios vulnerables y deteccion de escaneos de red.