Ataque de predicción de secuencia TCP: qué es y cómo puede afectarnos

Son muchos los ataques de seguridad que podemos sufrir en la red. Muchos tipos de amenazas llevadas a cabo por ciberdelincuentes con el objetivo de robar información, dañar el buen funcionamiento de los sistemas y, en definitiva, comprometer nuestra privacidad. En este artículo vamos a hablar de qué son los ataques de predicción de secuencia TCP. Es un problema que puede afectarnos y conviene conocer de qué se trata.

Qué significa TCP y números de secuencia

Las siglas TCP significan Transmission Control Protocol, que en español lo podemos traducir como Protocolo de control de transmisión. Se trata de un protocolo basado en conexión que requiere que se establezca una conexión formal entre un remitente y un receptor antes de que se pasen datos entre ellos. Esta conexión formal es lo que se conoce como “3-way-handshake”.

Un cliente (el remitente) transmite un segmento a un servidor (el receptor) para solicitar que se establezca una conexión. Este segmento es un paquete de datos TCP y lleva un indicador SYN (solicitud de sincronización). El receptor, el servidor, responde con un segmento SYN-ACK, que es un paquete de datos TCP reconociendo esa solicitud. Así se confirma y establece la conexión TCP.

Por otra parte tenemos el número de secuencia. Ese segmento que envía el cliente también incluye información complementaria, que incluye la dirección del puerto de origen, el puerto de destino y el número de la secuencia inicial o ISN. Esto último es un valor generado por el TCP del sistema del cliente. El segmento SYN-ACK devuelto por el servidor refleja este Número de secuencia inicial, junto con otra información.

Podemos decir por tanto que los números de secuencia juegan un papel importante en las comunicaciones TCP. Un número de secuencia se define como la cifra que TCP asocia con el byte inicial de datos en un paquete de datos en particular.

Qué son los ataques de predicción de secuencia TCP

Podemos decir de forma resumida que un ataque de predicción de secuencia TCP consiste en predecir el número de secuencia que es utilizado para identificar los paquetes en una conexión TCP. De esta forma podrían falsificar los paquetes y poner así en riesgo la seguridad.

El objetivo del atacante en este caso es averiguar el número de secuencias que va a utilizar el host que va a enviar el paquete. Si ese atacante lograra averiguar ese número tendría en su poder la posibilidad de enviar paquetes falsificados al host de destino que parecerán legítimos y que han sido enviados por el host de destino.

Básicamente significa que esos paquetes enviados han sido creados por un tercero y no son originarios del host legítimo. ¿Cómo pueden lograr esto? Una manera es a través de la escucha de conversación entre dos host de confianza y enviar así paquetes utilizando la misma dirección IP de origen.

Al monitorizar el tráfico antes de que el ataque se lleve a cabo, el atacante puede lograr así el número secuencial que posteriormente es utilizado junto a la dirección IP para enviar los paquetes falsificados antes de que el anfitrión legítimo lo haga.

Para garantizarse que el host legítimo no envíe los paquetes antes, en ocasiones los ciberdelincuentes llevan a cabo ataques de denegación de servicio contra ese host. Cuando logra el control sobre esa conexión, un atacante puede enviar cuantos paquetes falsos quiera sin necesidad de recibir respuesta.

Qué ocurre con un ataque de predicción de secuencia TCP

Hemos visto en qué consiste un ataque de predicción de secuencia TCP. Es importante también saber qué puede ocurrir si un atacante logra su objetivo y lleva a cabo el envío de paquetes falsificados.

Uno de los resultados que puede derivar de este tipo de amenazas es lo que se conoce como inyección en una conexión TCP. El atacante inyecta datos de su elección. Esto podría suponer el cierre de una conexión TCP existente al recibir la inyección de paquetes falsificados.

Como vemos, se trata de un tipo de ataque que puede derivar en importantes problemas para una conexión. Esto hace que sea necesario tomar medidas de precaución para evitar ser víctima de este problema.

Hay que tener en cuenta que este tipo de ataques suele afectar a dispositivos antiguos, que no cuentan con las actualizaciones necesarias o que están obsoletos. Por ello es esencial que todos los equipos que tengamos conectados a una red cuenten con todos los parches disponibles y actualizaciones que puedan resolver esas vulnerabilidades. Tener dispositivos obsoletos, que no cuentan con un mantenimiento actual, puede ser un peligro para una red. De ahí que debamos evitarlos en la medida de lo posible.

El artículo Ataque de predicción de secuencia TCP: qué es y cómo puede afectarnos se publicó en RedesZone.