¿Qué es un sniffer? Significado y funcionamiento

¿Qué es el sniffing? Definición

El sniffing es un tipo de ciberataque que tiene lugar cuando los paquetes que pasan por una red son monitorizados, capturados y, a veces, analizados. De por sí, no es una herramienta maliciosa, pero puede utilizarse con estos fines. Por ejemplo, el administrador de tu sistema puede utilizar el sniffing para solucionar problemas en la red, pero los hackers también pueden utilizar esta técnica para realizar ataques de intermediario y robar tus datos bancarios, credenciales de cuentas u otros datos de identificación personal.

Es posible que hayas visto ataques de sniffing en viejas películas de espías, en las que se interviene un teléfono para interceptar información sensible. Eso es un ataque de sniffer en su forma más simple. En el mundo cibernético, los hackers utilizan herramientas de rastreo más sofisticadas que pueden ser apps, scripts, software de rastreo o dispositivos de hardware a nivel de red o de host. ¿Esas son palabras demasiado técnicas para entender qué es el sniffing? Traducción: con el sniffing Wi-Fi, te pueden robar cualquier dato que envíes por internet sin encriptación, incluyendo:

• Correos electrónicos
• Tráfico web
• Contraseñas de FTP
• Contraseñas de Telnet
• Configuración del router
• Sesiones de chat
• Tráfico DNS

¿Cómo funciona el sniffing?

Para entender cómo funciona el sniffing, primero tenemos que entender cómo viaja la información por internet. Cualquier dato que se envíe online se divide en paquetes, que se envían de forma fragmentada desde tu dispositivo y luego se ensamblan en su punto de destino. Estos paquetes de datos tienen que pasar por muchos nodos antes de llegar a su destino. Cada uno de esos nodos puede ser utilizado para el sniffing de paquetes.

Tipos de ataques de sniffing

• El sniffing pasivo recoge los datos que pasan a través de un nodo, mientras el hacker permanece inactivo. Cuando se coloca un dispositivo de rastreo en un hub de internet, el hacker puede capturar el tráfico que pasa a través de él. Afortunadamente, los hubs están siendo sustituidos gradualmente por los switches. Sin embargo, los hackers también se están adaptando a este cambio y están pasando a realizar ataques de sniffing activo.
• El sniffing activo se centra sobre todo en inundar la memoria de direcciones de contenido (CAM) del switch, que redirige el tráfico legítimo hacia otros puertos. Esto permite al hacker espiar el tráfico del switch. Los ataques de sniffing activo incluyen ataques de spoofing, envenenamiento de DNS, ataques de DHCP, MAC Flooding, MAC spoofing, etcétera.

Ejemplo de ataque de sniffing

Las plataformas de e-commerce han detectado un aumento de los ataques de sniffing mediante JavaScript. Ticketmaster y Feedify son algunas de las plataformas que han sido víctimas de estos ataques. Vamos a ver cómo funcionan.

1. Un hacker inyecta un trozo de código malicioso en una página de pago. Puede crear el código él mismo, o comprarlo en un foro de hacking clandestino.
2. Un usuario introduce los datos de su tarjeta de crédito en la página de pago. El script diseñado por el hacker registra esta información en secreto y se la envía al hacker.
3. El hacker utiliza entonces los datos de la tarjeta de la víctima para robar su dinero, o los vende en la dark web, para que luego los puedan usar otros hackers o cualquier otra clase de delincuente.

¿Cómo evitar los ataques de sniffing?

Recuerda evitar las redes Wi-Fi públicas siempre que puedas, ya que son una de las plataformas favoritas de los hackers para realizar ataques de intermediario. Si necesitas utilizar una Wi-Fi pública, asegúrate de contar con un servicio VPN que encripte tu tráfico y te proteja de este tipo de ataques.

• Utiliza plataformas de mensajería y correo electrónico encriptadas. Una VPN encripta tu tráfico de internet, pero puede no ser suficiente si tus apps o plataformas de mensajería no están encriptadas de extremo a extremo. Busca siempre apps que protejan tu privacidad y seguridad.
• Visita siempre webs que comiencen por HTTPS. Presta atención a las webs que visitas. Fíjate si empiezan por HTTPS o HTTP y si tienen un candado verde junto a sus URL. Las webs HTTPS tienen los llamados certificados SSL/TLS que verifican la autenticidad de la web y que su tráfico esté cifrado.
• Realiza escaneos regulares en tus redes informáticas para identificar a cualquier intruso. Los administradores de la red pueden emplear diversas técnicas para descubrir y atrapar a los intrusos antes de que puedan causar cualquier tipo de daño. Por ejemplo, pueden supervisar el ancho de banda o monitorizar los dispositivos que estén configurados de forma incorrecta.