La Seguridad TI frente a IPv6

Nos guste o no, en los próximos años todas las empresas deberán actualizar todos los dispositivos que tengan conectados a su red debido a la transición a la nueva versión del protocolo de internet, IP versión 6 (IPv6). El protocolo IP asigna direcciones a dispositivos individuales conectados a una red. Cualquier dispositivo que quiere acceder a una red o a Internet, sea un portátil, un móvil, impresora, scanner, tablet, etc., debe tener una dirección asignada para poder conectarse. Como el actual protocolo IP (IPv4) ha agotado las direcciones asignables nace el nuevo IPv6 que permite seguir asignando direcciones de cara al futuro.

En este contexto, surge la duda de qué implicaciones tendrá la adopción del nuevo IPv6 desde el punto de vista de la seguridad TI.

¿Facilitará IPv6 la propagación de malware?

El número de direcciones únicas disponibles en IPv6 es considerablemente más elevado que en IPv4, lo que supone un total de unas 3.4×1038 direcciones. En sentido metafórico: si una dirección de internet tuviera el tamaño de un grano de arena (1 milímetro cúbico), necesitaríamos 340 millones de planetas huecos (siendo cada uno del tamaño de la Tierra) para poder almacenar todas las direcciones disponibles en IPv6. Sin embargo, con IPv4, solo necesitaríamos 4 metros cúbicos. Teniendo esto en cuenta, es fácil comprender que, en IPv6, el escaneado de direcciones es virtualmente imposible. De forma similar, es muy improbable identificar una dirección asignada a través de la generación aleatoria de direcciones IPv6.

La consecuencia positiva de todo ello es que las amenazas basadas en red, tal y como existen actualmente, tendrán más difícil su propagación. De hecho, la propagación está basada en la generación aleatoria de direcciones IP. Con iPv6, la posibilidad de la generación aleatoria de direcciones asignadas es básicamente nula. Los hackers tendrán que adaptar su malware basado en red para que sea efectivo en el espacio ampliado de direcciones ofrecidas por el protocolo iPv6.

Desafortunadamente, este tipo de amenazas no representan a la mayoría del malware y la transición de protocolo no afectará al resto de amenazas: las que operan a nivel de aplicación, como los gusanos que se transmiten por correo electrónico, los virus y bots;  o las de contenido dirigido, como el malware vía YouTube, Facebook, etc. Este tipo de amenazas, la mayoría del malware actual, seguirán funcionando de la misma manera y tendrán la misma capacidad para comprometer sistemas, robar datos, crear redes zombie, etc.

¿Dificultará IPv6 la identificación de la fuente de los ataques?

Dado el número casi infinito de direcciones IPv6, podríamos pensar que es casi virtualmente imposible detectar el origen de un ataque. La realidad es que será mucho más sencillo que con el protocolo IPv4, ya que IPv6 requiere soporte de IPSec (a diferencia de IPv4), utilizado para autenticar el origen de un paquete IP. Aunque esto no evitará que los atacantes se escondan tras un proxy, sí prohibirá la falsificación de la dirección original en los protocolos “no orientados a conexión” (por ejemplo UDP).

La transición a IPv6 no será un inhibidor para que el cibercrimen siga creciendo a gran velocidad y con ataques cada vez más sofisticados y complejos. Por ello es básico que todas las organizaciones cuenten con una primera línea de defensa efectiva mediante el despliegue de soluciones de seguridad multiamenaza. Esta medida, combinada con una mayor educación en la responsabilidad del usuario, sigue siendo la mejor manera de protegernos frente a la innovación y la astucia de los cibercriminales.

Pablo García Pérez, System Engineer de Fortinet