¿Qué es un ataque de inundación MAC? Todo lo que necesita saber
Un ataque de inundación MAC es un tipo de ciberataque llevado a cabo por hackers para robar datos de usuarios a través de una red local. Las redes en internet no son la excepción. Durante este ataque, los hackers saturan el conmutador de red con paquetes de datos.
Un conmutador es un sistema que clasifica los paquetes de datos entrantes en una red y los envía al dispositivo correspondiente. Esta entrada de blog te proporcionará toda la información necesaria sobre un ataque de inundación MAC, incluyendo qué es, cómo funciona y más.
Entonces, ¿qué es realmente un ataque de inundación MAC?
La inundación MAC es un ciberataque que se realiza a través de la dirección MAC (Control de Acceso al Medio), única para cada dispositivo. Esta dirección ayuda a identificar dispositivos en una red local. Utilizando estas direcciones (MAC), se clasifican los dispositivos y se establecen conexiones con los puertos correspondientes en una red local para transmitir datos.
El sistema que recibe los datos a través de una red local y los pasa al puerto correcto en el dispositivo se denomina conmutador. Un conmutador contiene una tabla de reenvío (también llamada tabla CAM) que contiene todas las direcciones MAC coincidentes con los puertos físicos listados.
Cuando un conmutador recibe paquetes de datos de una nueva dirección MAC, la añade a su tabla de reenvío y la vincula al puerto correspondiente, lo que garantiza el correcto funcionamiento de los servicios.
Los hackers inundan la tabla CAM con paquetes de datos falsos de forma masiva mediante suplantación de MAC o direcciones aleatorias. Cuando la tabla CAM (memoria accesible al contenido) se llena, se alcanza un punto denominado "Modo de apertura fallida".
En este punto, el switch reenvía todos los paquetes de datos que recibe a todos los puertos disponibles, en lugar de solo al puerto de destino. Así es como comienza un ataque de inundación MAC.
Cómo funcionan los ataques de inundación MAC (paso a paso)
Para una comprensión más profunda, a continuación se ofrece una explicación paso a paso de cómo funcionan los ataques de inundación MAC en la práctica.
El atacante se conecta a la red local
Para lanzar el ataque de inundación MAC, los atacantes primero se conectan a una red local. Tenga en cuenta que la inundación MAC solo puede realizarse dentro del dominio de difusión de un switch y no puede ejecutarse de forma remota.
Para acceder a la red local, los atacantes emplean diversos métodos. Algunas de las más comunes son:
- Conectarse físicamente a un puerto Ethernet en una oficina
- Conectarse a una red Wi-Fi no segura o mal segmentada
- Aprovechar un dispositivo interno comprometido
Generar direcciones MAC de origen aleatorias
Tras conectarse a una red local, los atacantes generan una gran cantidad de direcciones MAC aleatorias. En ocasiones, también falsifican las direcciones MAC originales. Estas direcciones se utilizan como direcciones MAC de origen en las tramas Ethernet.
Para lograrlo, utilizan diversas herramientas de black hat. Con estas direcciones, envían paquetes de datos a través de la red de forma masiva. Para la red, estos paquetes de datos parecen provenir de diferentes dispositivos; sin embargo, en realidad, se envían desde un solo dispositivo.
Saturdar la tabla CAM
Los atacantes envían paquetes de datos a la red local a gran velocidad. Como se mencionó anteriormente, cuando aparecen paquetes de datos de una nueva dirección MAC, el switch los agrega a la tabla CAM. Sin embargo, cada tabla CAM tiene su límite específico.
Los atacantes continúan enviando paquetes de datos falsos hasta que la tabla CAM alcanza su capacidad máxima. Al alcanzar ese límite, el switch deja de aprender y agregar nuevas direcciones MAC.
También olvidan la dirección MAC previamente almacenada debido a cambios rápidos y llegan a un punto conocido como "Modo de Apertura en Fallo".
El tráfico ahora se transmite
Cuando el switch alcanza el "Modo de Apertura en Fallo", transmite todo el tráfico entrante a todos los puertos activos. La razón es que ya no se sabe dónde están las direcciones MAC de destino reales.
Cuando esto sucede, todos los usuarios de la red comienzan a recibir segmentos de tráfico que no les corresponden.
Además, los dispositivos también comienzan a ignorar el origen y el destino del tráfico, excepto el dispositivo que el hacker está operando en ese momento.
Rastreador de paquetes: se utiliza para capturar datos
Por último, los hackers utilizan rastreadores de paquetes para analizar cada trama Ethernet que se transmite. En esta etapa, el atacante puede:
- Ver correos electrónicos, nombres de usuario o contraseñas sin cifrar
- Monitorear transferencias de archivos o comunicaciones internas
- Extraer cookies de sesión para secuestrar inicios de sesión (si no están cifrados)
Si el tráfico no está cifrado, el atacante también podría obtener visibilidad completa.
¿Cómo detectar un ataque de inundación MAC?
Los ataques de inundación MAC pueden comprometer silenciosamente una red, por lo que la detección temprana es crucial. A continuación, se presentan algunos métodos que le ayudarán a detectar estos ataques antes de que causen daños graves.
1. Comportamiento inusual de la red
La degradación inesperada del rendimiento de la red es una de las señales más prominentes de dicho ataque. A medida que el switch transmite los paquetes de datos durante el ataque, los dispositivos de la red comienzan a recibir tráfico excesivo. Esto provoca un rendimiento lento de Internet y desconexiones inesperadas.
Si su red se ralentiza repentinamente sin ninguna tarea conocida que consuma mucho ancho de banda, investigue de inmediato. Especialmente en la capa 2, que es crucial para una red de área local (LAN).
2. Monitoreo de registros de switches y cambios en la tabla CAM
Los switches administrados registran las direcciones MAC en su tabla CAM. En condiciones normales, una dirección MAC se asigna a un puerto específico.
Sin embargo, durante un ataque de inundación MAC, aparecen muchas direcciones MAC de un mismo puerto. O, en ocasiones, la tabla se llena rápidamente con direcciones aleatorias.
Supervise periódicamente los registros de su switch y las tablas de direcciones MAC. Si observa cambios frecuentes y un desbordamiento repetido de la tabla, su red podría estar sufriendo un ataque de inundación MAC.
3. Trampas y alertas SNMP de switches administrados
Los switches inteligentes y administrados son compatibles con SNMP (Protocolo simple de administración de red). Al configurar las trampas SNMP, los administradores de red pueden recibir alertas cuando:
- El uso de la tabla CAM alcanza su capacidad máxima
- Se detectan patrones de tráfico sospechosos
- Los puertos superan el número permitido de direcciones MAC (mediante la seguridad del puerto)
Si SNMP le alerta, por ejemplo, cuando se alcanza el umbral de la tabla CAM, analice inmediatamente los registros del switch manualmente. Si observa algo sospechoso, tome medidas de inmediato, como bloquear la dirección MAC desconocida o implementar el filtrado MAC.
¿Cómo prevenir la inundación MAC?
Existen varias estrategias que puede emplear para prevenir un ataque de inundación MAC. A continuación, compartimos algunas de las principales.
Filtrado MAC
El filtrado MAC le permite definir qué direcciones pueden conectarse a una red. Al restringir el acceso a dispositivos conocidos y de confianza, puede evitar que dispositivos no autorizados o falsificados se conecten a su red.
Pero, ¿cómo puede saber si el dispositivo que intenta conectarse es confiable o falsificado?
Realizar la búsqueda de direcciones MAC puede ser beneficioso en este caso. Le permitirá identificar el fabricante del dispositivo según el prefijo MAC.
Si un dispositivo muestra un proveedor no registrado (como los creados con máquinas virtuales), puede investigar más a fondo antes de incluirlo en la lista blanca.
Seguridad de puertos
Administrar la seguridad de puertos es otra forma de protegerse contra la saturación de direcciones MAC en su red. La función de seguridad de puertos está disponible principalmente en switches administrados. Permite limitar la cantidad de direcciones MAC permitidas en cada puerto. Al implementar la seguridad de puertos, se desactiva o bloquea automáticamente un puerto en caso de detectarse alguna violación.
Otra medida importante que ayuda a prevenir ciberataques es la monitorización periódica de los puertos de software en dispositivos individuales.
¿Por qué?
Porque los puertos abiertos innecesarios facilitan la penetración de la red por parte de hackers. Pueden utilizarse para tomar el control de un dispositivo dentro de la red y usarlo para realizar un ataque de inundación de MAC.
Para monitorizar qué puertos de su red están abiertos, puede utilizar nuestra herramienta verificador de puertos. Si su dispositivo de red muestra puertos abiertos inesperados, podría indicar un sistema malicioso. Y ese sistema podría estar intentando suplantar la MAC u otros ataques.
Segmentación de la red
Segmentar su red en VLAN (LAN virtuales) ayuda a limitar el alcance de un ataque. Si se produce un intento de inundación de MAC en una VLAN, su impacto se limitará únicamente a ese segmento.
Una segmentación de red adecuada también ayuda a garantizar que los sistemas sensibles, como los servidores, estén aislados del tráfico general de los usuarios. Esto reducirá su exposición a los ciberdelincuentes.
Una vez implementada la segmentación de red, un ataque solo comprometerá un segmento. El resto de la red permanecerá aislada.
Conclusión
Un ataque de inundación de MAC es un tipo de ciberataque en el que los atacantes inundan un conmutador de red con paquetes de datos utilizando direcciones MAC falsas. Sacuden la capacidad del conmutador de red, lo que, al hacerlo, difunde el tráfico entrante a todos los puertos en lugar de a los dedicados. De esta forma, solo las direcciones MAC utilizadas por los hackers son accesibles a la red, lo que les facilita la recopilación de datos de los usuarios. Sin embargo, al implementar estrategias preventivas, puede proteger su red local de los ataques de inundación de MAC.
