Ataque de envenenamiento por ARP: cómo ocurre y cómo prevenirlo

Recientemente, el número de ataques ARP a las cadenas BSC y ETH superó los 290.000 y 40.000, respectivamente. Más de 186.000 direcciones independientes han perdido más de 1,64 millones de dólares a manos de los atacantes ARP. En esta breve lectura, nos gustaría presentar un análisis exhaustivo de la escena del ataque de envenenamiento ARP e información detallada sobre cómo prevenir y gestionar estos ataques, en caso de que ocurran. 
Los usuarios de criptomonedas pierden enormes fondos debido a los atacantes ARP
Desde su invención, las cuentas y transacciones criptográficas han sido vulnerables a los ataques. Particularmente este año, hemos visto un número creciente de varios tipos y formas de ataques. Esta alta tasa de ataques ha sido una preocupación para las comunidades de criptomonedas y blockchain en general. El principal de ellos es el ataque de envenenamiento de direcciones, también llamado ataque de envenenamiento ARP.
Es preocupante que en los últimos tiempos haya habido un aumento de los ataques ARP. En cuanto a las tendencias, la cadena BSC ha estado explotando desde el 22 de noviembre, mientras que la cadena ETH ha estado explotando desde noviembre. La cadena ETH ha estado explotando desde el 27 de noviembre, intensificándose la escala de los ataques a ambas cadenas. Además, el número de direcciones independientes afectadas por los ataques superó las 150.000 y 36.000, respectivamente. A día de hoy, más de 340.000 direcciones han sido envenenadas en la cadena, con un total de 99 direcciones de víctimas, y se han robado más de 1,64 millones de dólares.
Ataque de envenenamiento por ARP
El Protocolo de resolución de direcciones (ARP) admite el enfoque en capas utilizado desde los primeros días de las redes informáticas. El envenenamiento ARP es un tipo de ciberataque que aprovecha las debilidades del ampliamente utilizado Protocolo de resolución de direcciones (ARP) para interrumpir, redirigir o espiar el tráfico de la red. 
Debido a que la seguridad no era una preocupación primordial cuando se introdujo ARP en 1982, los diseñadores del protocolo nunca incluyeron mecanismos de autenticación para validar los mensajes ARP. Cualquier dispositivo en la red puede responder a una solicitud ARP, independientemente de si el mensaje original estaba destinado a él o no. Por ejemplo, si la Computadora A "solicita" la dirección MAC de la Computadora B, un atacante en la Computadora C puede responder, y la Computadora A aceptaría esta respuesta como auténtica. Este descuido ha hecho posible una variedad de ataques. Al aprovechar las herramientas disponibles, un actor de amenazas puede "envenenar" la caché ARP de otros hosts en una red local, llenando la caché ARP con entradas inexactas. 
Cómo funciona
El envenenamiento del Protocolo de resolución de direcciones (ARP) ocurre cuando un atacante envía mensajes ARP falsificados a través de una red de área local (LAN) para vincular la dirección MAC de un atacante con la dirección IP de una computadora o servidor legítimo en la red. Una vez que la dirección MAC del atacante está vinculada a una dirección IP auténtica, el atacante puede recibir cualquier mensaje dirigido a la dirección MAC legítima. Como resultado, el atacante puede interceptar, modificar o bloquear la comunicación con la dirección MAC legítima.
Una encuesta reciente del BSC realizada por X-explore reveló que los piratas informáticos afectan el ataque ARP al iniciar múltiples transferencias de 0 dólares. Después de que la VÍCTIMA A envíe una transacción típica de 452 BSC-USD al USUARIO B, el USUARIO B recibirá inmediatamente 0 BSC-USD del ATAQUE C. Al mismo tiempo, dentro del mismo hash de transacción, el propio USUARIO A transferirá incontrolablemente 0 BSC-USD al ATAQUE C (realizando una operación de transferencia “de ida y vuelta” 0 BSC-USD).
Por qué deberías preocuparte
Como usuario de blockchain, el ataque de envenenamiento ARP puede ser fatal para su cuenta. El impacto más directo de un ataque de envenenamiento ARP es que el tráfico destinado a uno o más hosts en la red local será dirigido a un destino elegido por el atacante. El efecto exacto que tendrá esto dependerá de las características específicas del ataque. El tráfico podría enviarse a la máquina del atacante o reenviarse a una ubicación inexistente. En el primer caso, puede que no haya ningún efecto observable, mientras que en el segundo puede inhibirse el acceso a la red.
Hasta el viernes, se han estafado 94 direcciones únicas y los atacantes se han llevado un total acumulado de 1.640.000 dólares. Lamentablemente, con el aumento de los objetivos de los atacantes, se espera que un gran número de usuarios sigan siendo estafados en breve.
Tipos de transacciones de envenenamiento ARP
Generalmente hay dos formas en que puede ocurrir un ataque de envenenamiento ARP. Éstas incluyen:
Ataque de hombre en el medio (MiTM)
Los ataques MiTM son los más comunes y también los más peligrosos. Con MiTM, el atacante envía respuestas ARP falsificadas para una dirección IP determinada, normalmente la puerta de enlace predeterminada para una subred particular. Esto hace que las máquinas víctimas llenen su caché ARP con la dirección MAC de la máquina del atacante en lugar de la dirección MAC del enrutador local. Las máquinas víctimas reenviarán incorrectamente el tráfico de red al atacante.  
Ataque de denegación de servicio (DoS)
Un ataque DoS niega a una o más víctimas el acceso a los recursos de la red. En el caso de ARP, un atacante podría enviar mensajes de respuesta ARP que asignan falsamente cientos o incluso miles de direcciones IP a una única dirección MAC, lo que podría sobrecargar la máquina de destino. Este ataque también puede apuntar a conmutadores, lo que podría afectar el rendimiento de toda la red. 
Secuestro de sesión
Los ataques de secuestro de sesión son similares a los de Man-in-the-Middle, excepto que el atacante no reenviará el tráfico directamente desde la máquina víctima a su destino previsto. En cambio, el atacante capturará un número de secuencia TCP genuino o una cookie web de la víctima y lo utilizará para asumir la identidad de la víctima. 
Prevención de ataques ARP
Hay varias formas de proteger su dirección de ataques de envenenamiento ARP. Algunos de estos incluyen:
Tablas ARP estáticas
Puede evitar ataques ARP asignando estáticamente todas las direcciones MAC de una red a sus direcciones IP legítimas. Aunque esto es muy eficaz, añade una enorme carga administrativa. 
Cambiar seguridad
La mayoría de los conmutadores Ethernet administrados tienen funciones diseñadas para mitigar los ataques de envenenamiento ARP. Estas funciones, normalmente conocidas como Inspección dinámica de ARP (DAI), evalúan la validez de cada mensaje ARP y descartan los paquetes que parecen sospechosos o maliciosos. 
Seguridad física
Además, controlar adecuadamente el acceso físico a su espacio de trabajo puede ayudar a mitigar los ataques de envenenamiento ARP. Los mensajes ARP no se enrutan más allá de los límites de la red local, por lo que los posibles atacantes deben estar físicamente cerca de la red víctima o tener control de una máquina en la red. 
Aislamiento de red
Concentrar recursos importantes en un segmento de red dedicado donde hay seguridad mejorada también puede disminuir en gran medida el impacto potencial de un ataque de envenenamiento ARP.
Cifrado
Aunque el cifrado en realidad no evitará que se produzca un ataque ARP, puede mitigar el daño potencial. 
Conclusión
El envenenamiento de ARP sigue siendo una amenaza para los usuarios de criptomonedas y, como tal, debe abordarse de inmediato. Como todas las amenazas cibernéticas, la mejor manera de abordarla es mediante un programa integral de seguridad de la información. 
El primer paso para combatir la amenaza del envenenamiento por ARP es crear conciencia. De ahí la necesidad de que las aplicaciones de billetera intensifiquen las alertas de riesgo para que los usuarios comunes puedan estar al tanto de dichos ataques al transferir tokens.