Un sniffer de paquetes —también conocido como analizador de paquetes, analizador de protocolos o analizador de red— es una pieza de hardware o software utilizada para monitorizar el tráfico de red. Los sniffers funcionan examinando los flujos de paquetes de datos que circulan entre los ordenadores de una red, así como entre los ordenadores conectados en red y el resto de Internet. Estos paquetes están destinados —y dirigidos— a máquinas específicas, pero el uso de un sniffer de paquetes en "modo promiscuo" permite a los profesionales de TI, usuarios finales o intrusos malintencionados examinar cualquier paquete, independientemente de su destino. Es posible configurar los sniffers de dos maneras. La primera es "sin filtro", lo que significa que capturarán todos los paquetes posibles y los escribirán en un disco duro local para examinarlos más tarde. El siguiente es el modo "filtrado", que significa que los analizadores sólo capturarán paquetes que contengan elementos de datos específicos.
Los sniffers de paquetes pueden utilizarse tanto en redes cableadas como inalámbricas; su eficacia depende de cuánto puedan "ver" gracias a los protocolos de seguridad de la red. En una red cableada, los sniffers pueden tener acceso a los paquetes de cada máquina conectada o pueden estar limitados por la ubicación de los conmutadores de red. En una red inalámbrica, la mayoría de los sniffers solo pueden escanear un canal a la vez, pero el uso de múltiples interfaces inalámbricas puede ampliar esta capacidad.
Prevalencia y factores de riesgo
Utilizando un sniffer, es posible capturar casi cualquier información: por ejemplo, qué sitios web visita un usuario, qué se ve en el sitio, el contenido y el destino de cualquier correo electrónico junto con detalles sobre cualquier archivo descargado. Las empresas suelen utilizar analizadores de protocolos para controlar el uso que hacen los empleados de la red y también forman parte de muchos paquetes de software antivirus de buena reputación. Los sniffers externos analizan el tráfico de red entrante en busca de elementos específicos de código malicioso, lo que ayuda a prevenir las infecciones por virus informáticos y a limitar la propagación de programas maliciosos.
No obstante, cabe señalar que estos analizadores también pueden utilizarse con fines maliciosos. Si se convence a un usuario para que descargue archivos adjuntos de correo electrónico cargados de malware o archivos infectados de un sitio web, es posible que se instale un sniffer de paquetes no autorizado en una red corporativa. Una vez instalado, el sniffer de paquetes puede registrar cualquier dato transmitido y enviarlo a un servidor de mando y control (CandC) para su posterior análisis. Así, los hackers pueden intentar inyectar paquetes o realizar ataques de intermediario, además de comprometer cualquier dato que no se haya cifrado antes de ser enviado.
El uso adecuado de los sniffers de paquetes puede ayudar a limpiar el tráfico de red y limitar las infecciones de malware; sin embargo, para protegerse contra el uso malintencionado se necesita un software de seguridad inteligente.
