Caso de suplantación de identidad y Fortalecimiento
de Organización de la Seguridad de la Empresa
“Seguridad
Universidad Segura”
Chalabe Jimenez Nasser Segundo
Nacional Abierta y a Distancia Colombia-UNAD
Cartagena, Colombia
nschalabej@unadvirtual.edu.co

Resumen— En este documento se describe en base a estudios de
casos relacionado a la empresa “Seguridad Segura” referente a
las problemática que está pasando, relacionada a distintos
ataques de spoofing y suplantación de identidad, donde a través
de un equipo de expertos de profesionales de seguridad
informática demuestran como se puede llevar a cabo un ataque
de este estilo y establecer las mejores soluciones de mecanismo,
políticas y prevención de seguridad a nivel de redes para
mitigar cualquier tipo de ataque llamado Spoofing.
Palabras clave— Spoofing, suplantación, políticas.
Abstract—
This document describes on the basis of case studies related to
the company "Seguridad Segura" referring to the problems that
are happening, related to different spoofing attacks and identity
theft, where through a team of experts from Computer security
professionals demonstrate how an attack of this style can be
carried out and establish the best solutions for security
mechanisms, policies and prevention at the network level to
mitigate any type of attack called Spoofing
Keywords— Spoofing, impersonation, policies.
I. INTRODUCCIÓN
En el desarrollo de la presente actividad se establecerán guías
para la demostración de los ataques de suplantación de
identidad, especialmente cualquiera de las amenazas que
afecta a la empresa “Seguridad Segura” donde se tuvo como
opción el DNS Spoofing, en el cual a partir de este se
generaría mecanismos de seguridad, recomendaciones para
evitar estos tipos de ataques de spoofing, además de reconocer
los distintos que existen a nivel de red. Con esto se logra una
protección de conexiones al protocolo TCP/IP de la empresa
para disminuir los riesgos que se pueden presentar.
1. SPOOFING, TIPOS DE ATAQUES DE SUPLANTACIÓN
DE IDENTIDAD

Primero se define la palabra spoofing como la técnica de
envió de paquetes con información falsa, donde puede parecer
que el origen del paquete proviene de una red que se
encuentra protegida por el firewall. En cuanto a lo que se
refiere IP-spoofing no es el ataque, sino solo un pasó en el
ataque y que se convierte como una técnica compleja porque
está constituida en varias partes. El ataque es actualmente un
aprovechamiento de la relación entre dos trusted host.
Para llevar a cabo un ataque de este estilo se requiere llevar
varios pasos como los siguientes:
 Se elige host objetivo, para descubrir un indicio
de confianza con otro host, lo cual no lleva lo
que el segundo pasó.
 Trusted-host de la victima
 Desactivar el trusted host.
 Hacer un muestreo de los números secuenciales
de TCP del objetivo.
 Usurpar la personalidad del trusted host para
ejecutar el ataque.
Antes de hacer la demostración técnica del ataque se indagan
sobre diferentes tipos de ataques de suplantación de identidad
que existen para tratar de engañar al usuario y obtener
información confidencial o vulnerar los sistemas si es el caso.
Arp Spoofing: Ataque que se lleva a cabo a través de la red
LAN, donde el atacante y la victima deben estar en la misma
red y utilizar el protocolo IPv4 para el intercambio de datos.
El protocolo ARP permite a los elementos de una red conocer
la dirección física del resto, partiendo del conocimiento de
una dirección IP. De esta manera cuando se ejecuta todo el
envío de tráfico que realice la victima a internet pasaran por
la máquina del atacante, capturando cookies, credenciales,
información de navegación y todo ese tráfico no cifrado,
comprometiendo la privacidad y la confidencialidad del
usuario.
Phishing: como uno de los métodos más usados a través de
técnica de ingeniería social como arte de engaños para
obtener datos personales, como por ejemplo simular una
página falsa de algún banco que llegue al correo de la víctima
y este a su vez, diligencia el requisito sobre esta.
Pharming: otra técnica de suplantación de identidad en
conjunto con el phishing que consiste en alterar el servidor
DNS, para redirigir el tráfico a páginas web maliciosa,
creyendo que son las consultada por el usuario para robar
datos.

Mail Spoofing: Se origina la suplantación de correo

electrónico de otras personas o entidades, esta técnica
prácticamente es usada para él envió de spam y phishing.

II. SIMULACIÓN DE ATAQUE SPOOFING.

Mapa de Red

Figura.2. Búsqueda de host vivos a través de la interface

Eth0 de la maquina atacante Se digita el comando
netdiscover –i eth0 –r 192.168.1.0/24

Ilustración. Mapa de red de la arquitectura usada en el

laboratorio Fuente: Nasser Chalabe J

2.1. ELECCIÓN DE UN HOST VICTIMA

El sistema victima elegido es un Windows server 2003

(192.168.0.14) el cual contiene varios servicios una vez
identificados a través de las herramientas. El objetivo es
Figura. 3. Se identifica IP_Victima 192.168.1.14 y se utiliza
demostrar y hacer un ataque tipo DNS Spoofing que
Nmap para el escaneo de servicios e identificación de
demuestre la investigación.
sistema operativo de la máquina. Comando usado
nmap -sS -sV –O 192.168.1.14
2.2. BUSQUEDA DEL TRUSTED HOST
Una vez identificado la IP atacante a través de comando
Ifconfig, se procede a identificar el nombre del servidor o la
IP de la víctima obteniendo información mediante procesos de
búsquedas avanzados con un simple Netdiscover sobre la
interfaz de red en la que se encuentra el atacante. Ver figura
2.

Figura 1. Identificación de IP Atacante

Figura. 4. Nombre del servidor o servicio host

BENOTO.BENOTO.SAS

El Host BENOTO.BENOTO.SAS tiene servicios de FTP,
SSH, mysql, ldap entre otros.
2.3. DESACTIVACIÓN DEL TRUSTED HOST
Para esta fase se utilizó Hping3, la cual es una aplicación que
nos permite analizar y ensamblar fácilmente paquetes TCP/IP,
es una herramienta más eficiente y avanzada en cuestiones de
seguridad. Una vez que se ha encontrado el trusted-host,
debemos desactivarlos. Dado que el atacante va hacerse pasar
por él, debe asegurarse de que este host no reciba ningún
tráfico de la red, para ello se establece la técnica de TCP SYN
flooding, a través de envión de paquetes tipo SYN.
Figura. 6. Comando utilizado
hping3 -c 10000 -d 120 -S -w 64 -p 80 --flood
--rand-source 192.168.1.14
2.4. NÚMEROS SECUENCIALES (ISN) DE LA
VÍCTIMA
Ahora el atacante debe conocer o tener una idea de donde se
encuentra el TCP del host objetivo, nuevamente haciendo uso
de la herramienta Hping3, se trabajará con banderas o flags
para poder llevar a cabo el objetivo de números secuenciales.
Para sacar los ISN, se envían flags SYN a los puertos en
estado escucha de la máquina de confianza y luego esta a su
vez enviara un SYN/ACK, al atacante con los números
secuenciales de la siguiente manera.
Figura. 7. Comando utilizado
hping3 -c 1 -i -S -Q -P 80 192.168.1.14
La letra Q, le indicada a la herramienta hping3 que busque
números secuenciales en la IP_Victima.
2.5. SPOOFEARSE O SUPLANTACIÓN DE
IDENTIDAD
Se demostrará la técnica de DNS spoofing para esta ocasión,
desde la maquina atacante se hace la edición del archivo
etter.dns del aplicativo ettercap para redirigir a la víctima al
sitio que vamos a suplantar.
Figura.8. comando = vi /etc/ettercap/etter.dns
Luego nos mostrara la siguiente ventana donde se tomó por
ejemplo la página de Facebook como objetivo a implementar
debido a la problemática presenta en la empresa “seguridad
segura” en las cuentas sociales de algunos usuarios. Ver
figura 9.
Figura.9. página de Facebook más la IP_Atacante asignada
 Figura.13. opción 3, método de ataques de recolección de
Una vez hecho el cambio en el archivo DNS asociado con la
credenciales para obtener la contraseña de usuarios.
página de Facebook, se utiliza la herramienta de setoolkit ,
para la clonación del sitio a suplantar.

Figura 10. setoolkit

Figura. 11. Se escoge la opción 1, de ataques de ingeniería

social.

Figura.14. opción 2, clonación de sitio web.

Figura. 12. Opción 2, vector de ataques a nivel sitio web.

Figura.15. El atacante establece su IP_maquina= El atacante llegado a este punto solo requiere de habilitar la
192.168.1.13 herramienta de ettercap, la cual es un interceptor, sniffer o
registrador para LANs por switch. Hace el escaneo de lo host
sobre la red para la identificación de estos.

Figura.18. Ettercap

Figura.16. proceso de clonación realizado y a la espera de

las credenciales de la víctima. Se muestra los hosts detectados sobre la red, donde
192.168.1.1 es el Gateway como objetivo 1 y la IP_Victima=
192.168.1.15 objetivo 2. Además de requerir el apoyo en la
técnica MITM utilizando ARP poisoning.ver Figura.19.

Ahora verificamos que se haya clonado bien la dirección web.

Figura.17. Sitio web de Facebook clonado.

Figura.20. para la ejecución final del ataque en la pestaña
Pluggins, habilitamos el dns_spoof
El usuario visita el sitio web falso a través de la IP_Atacante e
ingresa a la página de Facebook la cual esta clonada y
esperando que este inserte las credenciales para la obtención
de las misma. Ver Figura 21.
Figura.21. Obtención de credenciales del usuario.
III. ATAQUE REALIZADO EN LA GUÍA DNS SPOOFING.
El ataque demostrado en el guía anterior conocido como DNS
Spoofing, prácticamente es una técnica que consiste en
falsear los resultados de las consultas DNS de una víctima, es
decir, ocurre cuando los registros de un servidor DNS son
falsificados o alterados para redirigir el trafico al atacante.
Cuando la víctima busca la página afectada usualmente es
una dirección IP falsa a la que se conectara, esta redirección
de tráfico permite propagar malware, robar datos entre otros.
Ver figura alusiva al ataque.
IV. MECANISMO DE SEGURIDAD PARA LA EMPRESA
“SEGURIDAD SEGURA”
No hay soluciones seguras para este tipo de ataques de
envenenmiento DNS más conocido como DNS Spoofing, solo
tratar de establecer medidas de seguridad frente a los
dispositivos de red, sistemas operativos, software y usuarios
de tomar conciencia frente a lo que consultan o visitan en la
internet.
 Para los dispositivos Router cambiar la contraseña en
caso que de que, establecida por defecto, colocar una
robusta, además de desactivar la gestión de opción
remota.
 Actualización del sistema operativo y los programas
principalmente los más conocidos donde se genera
este tipo de ataque como pdf, java entre otros.
 Minimizar en la medida de lo posible, la posibilidad
de intromisión con elementos de protección bien a
nivel de sistema operativo o desde la propia
aplicación web
 Uso de lista de control de acceso y filtrado de IP
Existe una solución que es de difícil implementación, pero ha
sido eficaz para contrarrestar y eliminar estas amenazas,
DNSSEC1.
DNSSEC, es considerado un mecanismo para evitar el
spoofing y manipulación de mensajes en el protocolo DNS,
debido que en su arquitectura base proporciona criptografía
de clave pública PKI y en el uso de firmas digitales para
establecer autenticidad de las fuentes y validez de los
mensajes. En gran medida de sus capacidades comprueba la
autenticidad de origen, integridad y no existencia.
V. CONCLUSIONES
Para la empresa Seguridad Segura es importante establecer
distintos mecanismos de seguridad para asegurar las
conexiones e información que manejan, a través de las
distintas herramientas que existen y métodos de cifrados, de
tal manera que sus sistemas de gestión cumplan con todos los
pilares de la seguridad previniendo los riesgos y peligros que
se presenten, mejorando los procesos de calidad y redes
informática de la organización. Por eso a través de la guía
realizada por los profesionales de la seguridad informática se
demostró que es importante ver esos puntos débiles y
aprender de estos ataques para fortalecer las desventajas que
se tiene cuando no se finaliza una configuración, instalación
de dispositivos y no cumplir con el plan de programación
establecido.
.
VI. AGRADECIMIENTOS
1
DNSSEC, del inglés Domain Name System Security Extensions, es un
conjunto de especificaciones destinadas a autenticar el origen de los datos en los
mensajes DNS.
Un agradecimiento especial a la UNAD, por proveer o
brindar el material y el apoyo necesario para la elaboración de
este documento.

VII. REFERENCIAS

1- ciyi, C. (2018). Hablemos de Spoofing. [online] Hacking Ético.

Recuperado de: https://hacking-etico.com/2010/08/26/hablemos-de-
spoofing/

2- Anon, (n.d.). [PDF] IP Spoofing. Índice del documento - Free

Download PDF. [online] Recuperado de:
https://slidex.tips/download/ip-spoofing-indice-del-documento

3- Daniel (F.P). [PDF] Guía de seguridad en servicios DNS. [online]

Recuperado-de:
https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGu
ias/guia_de_seguridad_en_servicios_dns.pdf

VIII. BIOGRAFÍA

I. Nasser Chalabe nació en Colombia –

Cartagena, el 22 de septiembre de 1989. Se graduó
de la Universidad Tecnológico Comfenalco en el
año 2013, en ingeniería de Sistemas, y estudia en la
universidad nacional abierta y a distancia UNAD su
especialización en Seguridad Informática.
Su experiencia profesional está enfocada en las
eficientes labores que demanden responsabilidad y
manejo técnico en plataformas, con un diplomado
de Ethical hacking desarrollando como trabajo de
grado la monografía ”Hacking Web” más un certificado ofensivo y defensiva de
la seguridad profesional.

Actualmente trabaja prestando servicios profesionales sobre un Sistema de

información Misional SIM en el ICBF.