Un rastreador de paquetes es un dispositivo o programa que permite al usuario escuchar a escondidas el tráfico que viaja entre computadoras en red. El programa capturará los datos que se dirigen a otras máquinas y los guardará para su posterior análisis.
Toda la información que viaja a través de una red se envía en «paquetes». Por ejemplo, cuando se envía un correo electrónico de una computadora a otra, primero se divide en segmentos más pequeños. Cada segmento tiene la dirección de destino adjunta, la dirección de origen y otra información como el número de paquetes y el orden de reensamblaje. Una vez que llegan al destino, los encabezados y pies de página del paquete se eliminan y los paquetes se reconstituyen.
En el ejemplo de la red más simple donde las computadoras comparten un cable Ethernet, todos los paquetes que viajan entre las computadoras son «vistos» por cada computadora en la red. Un concentrador transmite cada paquete a cada máquina o nodo en la red, luego un filtro en cada computadora descarta los paquetes que no están dirigidos a él. Un rastreador de paquetes desactiva este filtro para capturar y analizar algunos o todos los paquetes que viajan a través del cable Ethernet, según la configuración del rastreador. Esto se conoce como «modo promiscuo». Como resultado, si la Sra. Wise en la computadora A envía un correo electrónico al Sr. Geek en la computadora B, el software configurado en la computadora D podría capturar pasivamente sus paquetes de comunicación sin que la Sra. Wise o el Sr. Geek lo sepan. Este tipo de rastreo es muy difícil de detectar porque no genera tráfico propio.
Un entorno un poco más seguro es una red Ethernet conmutada. En lugar de un concentrador central que transmite todo el tráfico de la red a todas las máquinas, el conmutador actúa como una centralita: recibe paquetes directamente desde la computadora de origen y los envía directamente a la máquina a la que están dirigidos. En este escenario, si la computadora A envía un correo electrónico a la computadora B y la computadora D está en modo promiscuo, aún no verá los paquetes. Algunas personas asumen erróneamente que un rastreador de paquetes no se puede utilizar en una red conmutada.
Sin embargo, hay formas de piratear el protocolo de cambio. Un procedimiento llamado envenenamiento por ARP básicamente engaña al cambio para sustituir la máquina con el rastreador para la máquina de destino. Después de capturar los datos, los paquetes se pueden enviar al destino real. La otra técnica consiste en inundar el conmutador con direcciones MAC (de red) para que el conmutador entre de forma predeterminada en el modo de «conmutación por error». En este modo, comienza a comportarse como un concentrador, transmitiendo todos los paquetes a todas las máquinas para asegurarse de que el tráfico pase. Tanto la intoxicación por ARP como la inundación de MAC generan firmas de tráfico que pueden detectarse con el software adecuado.
Estos programas también se pueden usar en Internet para capturar datos que viajan entre computadoras. Los paquetes de Internet a menudo tienen distancias muy largas para viajar, pasando por varios enrutadores que actúan como oficinas de correos intermedias. Un rastreador puede instalarse en cualquier punto del camino, y también puede instalarse clandestinamente en un servidor que actúa como puerta de enlace o recopila información personal vital.
Un rastreador de paquetes no es solo una herramienta de piratas informáticos. Se puede utilizar para solucionar problemas de red y otros fines útiles. Sin embargo, en las manos equivocadas, este software puede capturar información personal confidencial que puede llevar a la invasión de la privacidad, el robo de identidad y otros problemas graves.
La mejor defensa contra las escuchas clandestinas es un buen delito: el cifrado. Cuando se utiliza un cifrado fuerte, todos los paquetes son ilegibles para cualquier otra dirección que no sea la de destino. Otros programas aún pueden capturar paquetes, pero el contenido será indescifrable. Esto ilustra por qué es tan importante utilizar sitios seguros para enviar y recibir información personal, como nombre, dirección, contraseñas y, ciertamente, cualquier información de tarjeta de crédito u otros datos confidenciales. Un sitio web que usa cifrado comienza con https, y el correo electrónico se puede proteger mediante el cifrado con un programa, algunos de los cuales vienen con complementos para los principales programas de correo electrónico.