¿Qué es ARP? Definición del protocolo y cómo funciona

Cada vez que abres una página web, ves contenido en streaming o envías un archivo a través de tu red local, hay algo que discretamente se encarga de que tus datos lleguen al dispositivo correcto. Muchas veces, ese algo es el ARP.

El protocolo de resolución de direcciones (ARP) funciona silenciosamente en las redes locales, traduciendo las direcciones IP a direcciones físicas de los dispositivos para que los datos sepan exactamente a dónde deben dirigirse. Sin este protocolo, los dispositivos de una misma red no sabrían cómo encontrarse unos a otros. En esta guía aprenderás cómo funciona el ARP, cuál es su papel en las redes y por qué también puede ser blanco de ciertos tipos de ataques.

¿Qué es ARP y cómo funciona?

Diagrama de flujo que muestra cuatro portátiles de una red con un conmutador de red en el medio. El portátil de la izquierda envía una solicitud ARP para pedir la dirección MAC del portátil de la derecha, que le responde con dicha dirección.

ARP es un protocolo que ayuda a los dispositivos a encontrarse entre sí en una red local. Lo hace vinculando la dirección IP de un dispositivo a su dirección MAC (control de acceso al medio), un número único que identifica el hardware de cada dispositivo.

Cuando un dispositivo se conecta a una red, se comunica usando su dirección MAC en la capa de enlace de datos. Si recibe una dirección IP a través de DHCP, al cabo de un tiempo, es posible que otros dispositivos conozcan esa IP. Sin embargo, cuando un dispositivo quiere enviar datos a una IP concreta de la red local, necesita saber qué dirección MAC se corresponde con esa IP. Ahí es donde entra en juego el ARP.

Imagina que envías un archivo desde un portátil a una impresora. El portátil ya conoce la dirección IP de la impresora porque la red se la asignó. Sin embargo, necesita la dirección MAC de la impresora antes de poder entregar el archivo. ARP ayuda al portátil a encontrar la dirección del hardware.

Para ver cómo funciona el ARP en la práctica, imagina que tienes dos dispositivos de red: el dispositivo A y el dispositivo B. Así es como usarían el protocolo ARP:

  1. El dispositivo A busca en su caché ARP la dirección MAC solicitada. Se trata de una pequeña lista interna que le dice al dispositivo A si existe una dirección MAC que coincida con la dirección IP del dispositivo B. Si la dirección MAC está en la lista, los dispositivos comienzan a comunicarse. Las entradas de la caché ARP caducan tras un breve periodo conocido como tiempo de espera de la caché ARP, que controla el tiempo que un dispositivo mantiene una asignación de IP a MAC.
  2. Si la caché no incluye los datos MAC, el dispositivo A prepara una solicitud ARP. Es un mensaje que contiene las direcciones IP y MAC del dispositivo A y la dirección IP del dispositivo B (el campo de la dirección MAC se deja en blanco).
  3. El dispositivo A difunde su solicitud ARP. La envía a toda la LAN para que todos los dispositivos conectados a ella vean el mensaje.
  4. Los dispositivos de la LAN comprueban la solicitud ARP. La dirección IP del dispositivo B coincide con el contenido del mensaje, así que procesa la solicitud. El resto de los dispositivos la ignoran.
  5. El dispositivo B prepara una respuesta ARP. Es un mensaje que contiene sus direcciones IP y MAC. Una vez lista, la respuesta se envía al dispositivo A.
  6. El dispositivo A actualiza su caché ARP añadiendo la dirección MAC del dispositivo B. Esto permite empezar a enviar paquetes de datos al dispositivo B.

¿Qué información contiene un mensaje ARP?

Cuando un dispositivo prepara un mensaje ARP, añade lo siguiente:

Campos del mensaje ARPExplicación
Tipo de hardwareEl tipo de hardware de red usado para enviar el mensaje. ARP funciona en muchos tipos diferentes de redes, por lo que los dispositivos especifican en qué tipo de red se encuentran para saber qué formato debe tener la dirección MAC.
Tipo de protocoloEl tipo de protocolo de red usado para la dirección del mensaje (IPv4, por ejemplo).
Longitud HardwareLongitud de la dirección MAC en bytes (unidad de información digital).
Longitud del protocoloTamaño de la dirección IP en bytes.
OperaciónCódigo de solicitud o de respuesta usado en el mensaje ARP.
Dirección de hardware del remitenteDirección MAC del dispositivo que envía el mensaje.
Dirección de protocolo del remitenteDirección IP del dispositivo que difunde el mensaje.
Dirección de hardware de destinoDirección MAC del dispositivo que recibe el mensaje. En las solicitudes este campo está vacío porque el remitente no la conoce.
Dirección de protocolo de destinoDirección IP del dispositivo que se busca con la solicitud ARP.

¿Para qué se usa ARP en las redes?

    • Permite que los dispositivos se comuniquen: vincula las direcciones IP con las direcciones MAC, permitiendo que los dispositivos de una misma red usen la dirección MAC para enviar datos (archivos, tráfico web o correos electrónicos).
    • Detecta conflictos de direcciones: la caché ARP puede mostrar si hay varios dispositivos de la misma red usando la misma dirección IP o MAC. A veces, este conflicto impide que los datos lleguen al dispositivo correcto.
    • Reduce el tráfico innecesario: los dispositivos almacenan las traducciones de IP a MAC en sus cachés ARP. Esto contribuye a un funcionamiento eficiente de la LAN, ya que los dispositivos no transmiten constantemente sus asignaciones IP-MAC a través de la red.
    • Ayuda a solucionar problemas de red: los administradores de TI pueden vigilar el tráfico ARP para detectar problemas de conectividad. Por ejemplo, pueden comprobar si faltan respuestas ARP, si hay traducciones IP-MAC duplicadas o si hay un volumen elevado de solicitudes ARP.
    • Permite supervisar la seguridad: los administradores de red tienen a su disposición herramientas para vigilar el tráfico ARP en busca de patrones sospechosos (como la suplantación de ARP), señal de que hay un ciberataque.

¿Cuáles son los diferentes tipos de ARP?

Infografía con un Ghostie junto a una pizarra en la que se muestran los cuatro tipos principales de ARP.

Hay cuatro tipos principales de ARP:

    • ARP proxy: consiste en que un proxy (normalmente un router) responde a una solicitud ARP en nombre de otro dispositivo. El proxy responde con su propia dirección MAC y, a continuación, reenvía cualquier dato que reciba del remitente al destino previsto. Esto ayuda a que se comuniquen dispositivos de diferentes subredes de la misma red.
    • ARP gratuito: se produce cuando un dispositivo difunde su asignación IP-MAC en la red sin que se haya solicitado. Los equipos de TI pueden usar este tipo de ARP para detectar conflictos de IP o para hacer que los dispositivos de la red actualicen su caché de ARP.
    • ARP inverso (inARP): es el inverso del ARP, lo que significa que un dispositivo conoce la dirección MAC de otro, pero no su dirección IP. Cuando difunde la solicitud ARP, el remitente solo solicita la IP del destinatario.
    • ARP reverso (RARP): Este proceso es más antiguo y permitía que un dispositivo, especialmente a las estaciones de trabajo sin disco, usaran su propia dirección MAC para solicitar su dirección IP. El RARP se usó principalmente en las primeras configuraciones de red, pero ahora ha quedado obsoleto porque las redes modernas usan DHCP para gestionar la asignación de direcciones IP.

¿Qué es la suplantación de ARP?

La suplantación de ARP (también conocida como envenenamiento de ARP) es un ciberataque en el que un atacante envía una respuesta ARP falsa, ya sea respondiendo a una solicitud real o usando ARP gratuito. El resultado es que los dispositivos de una red local asocian la dirección MAC del atacante con la IP de otro dispositivo. Esto provoca que los datos destinados al dispositivo real se envíen en realidad al atacante.

El ataque puede producirse si un tercero malintencionado se conecta físicamente a la red, si usas una red wifi no segura o si un malware toma el control de un dispositivo de la red.

Si la suplantación de ARP tiene éxito, puede abrir la puerta a otros ciberataques, como:

    • Ataques MITM: el ataque MITM o de intermediario se produce cuando un ciberdelincuente intercepta, altera o roba con éxito los datos que se intercambian entre dispositivos.
    • Secuestro de sesión: consiste en que un atacante roba identificadores de sesión (como las cookies de sesión) para suplantar la identidad de un usuario cuando interactúa con un servicio web. Aunque la mayoría de los sitios web HTTPS modernos mitigan este riesgo, los servicios que no tienen un cifrado adecuado siguen siendo vulnerables.
    • Ataques DoS: un ataque de denegación de servicio (DoS) satura de tráfico un dispositivo o una red para interrumpir su funcionamiento. El atacante puede enviar un gran número de solicitudes ARP falsas para sobrecargar los recursos de la red local.

Cómo detectar la suplantación de ARP

Puedes comprobar rápidamente la caché ARP de tu dispositivo siguiendo estos pasos:

  1. Abre la interfaz de línea de comandos de tu dispositivo mediante Símbolo del sistema en Windows o Terminal en macOS y Linux.
Captura de pantalla del menú Inicio de Windows 10. Se ha escrito el texto “símbolo del sistema” en la barra de búsqueda y el resultado de búsqueda “Símbolo del sistema” aparece resaltado y ampliado.
  1. Escribe “arp -a” en la aplicación de línea de comandos y después pulsa Intro. Windows, macOS y Linux admiten el comando arp -a, por lo que funciona igual en todos los sistemas.
Captura de pantalla que muestra la línea de comandos en Windows 10. En la pantalla aparece el comando “arp -a” escrito, resaltado y ampliado.
  1. Debería aparecer una tabla con las correspondencias entre direcciones IP y MAC. Si ves varias IP asignadas a una misma dirección MAC, puede ser un intento de suplantación o envenenamiento de ARP.
Captura de pantalla que muestra la línea de comandos en Windows 10. Se ha escrito e introducido el comando “arp -a” y el resultado muestra la caché ARP del equipo.

Las redes más grandes o complejas a menudo tiene varias direcciones IP asignadas a una misma dirección MAC, como en el caso de los servidores proxy, los routers con varias direcciones IP o los equilibradores de carga. Esta configuración ayuda a gestionar el tráfico de red de forma más eficiente. En estos casos, no basta con comprobar manualmente la caché ARP, por lo que las empresas suelen usar herramientas específicas de análisis de red como Wireshark para detectar la suplantación de ARP.

Cómo prevenir la suplantación de ARP

    • Usa entradas ARP estáticas: Configura manualmente las correspondencias entre direcciones IP y MAC para dificultar la suplantación de ARP. Así las correspondencias son fijas, por lo que los atacantes no pueden alterarlas fácilmente. Sin embargo, esta solución resulta poco práctica en redes grandes y, además, las entradas deben actualizarse manualmente cada vez que se produce un cambio.
    • Reduce el tiempo de duración de la caché ARP: acorta el tiempo durante el cual un dispositivo mantiene una asignación de IP a MAC para reducir la ventana de oportunidad de envenenamiento ARP. El inconveniente es que esto puede aumentar el tráfico ARP y ralentizar la eficiencia de la red.
    • Segmenta tu red: divide tu red en partes más pequeñas mediante routers y cortafuegos. Esto no impide totalmente la suplantación de ARP, pero limita su alcance.
    • Vigila el tráfico de red: usa herramientas como Wireshark para analizar el tráfico de red en busca de patrones sospechosos, como solicitudes o respuestas ARP poco usuales y cambios no autorizados en las cachés ARP.
    • Restringe el acceso a los puertos de los conmutadores: limita el número de dispositivos que pueden conectarse a los puertos de cada conmutador de red para evitar que los usuarios no autorizados accedan a tu red.
    • Activa la inspección dinámica de ARP (DAI): habilita esta función de seguridad para protegerte contra la suplantación y el envenenamiento de ARP. La mayoría de los conmutadores de red diseñados para empresas ofrecen esta función, aunque normalmente tendrás que activarla y configurarla.
    • Impide el acceso no autorizado a la red: haz que el acceso de los atacantes a tu LAN sea más difícil activando el cifrado de red, usando un cortafuegos y un antivirus, desactivando los servicios o puertos de red que no se usen, exigiendo credenciales de inicio de sesión seguras y manteniendo el software actualizado.

Si te preocupa la suplantación de ARP en redes wifi públicas, una VPN puede ayudarte cifrando tu tráfico de Internet. Aunque un atacante lance con éxito un ataque de suplantación de ARP, no podrá leer tu tráfico. La VPN no puede impedir la inyección de malware u otros tipos de ataques, pero sí protege tus datos para que no queden expuestos en redes no seguras. CyberGhost VPN ofrece funciones de seguridad de alta gama y servidores de alta velocidad en 100 países, y además respalda las suscripciones de larga duración con una garantía de reembolso de 45 días.

ARP vs. DHCP vs. DNS

ProtocoloNombre completoTipo de redQué hacePor qué es necesario
ARPProtocolo de resolución de direccionesRedes locales (LAN)Vincula la dirección IP de un dispositivo a su dirección MACPermite que los dispositivos de una misma red intercambien datos entre sí
DHCPProtocolo de configuración dinámica de hostRedes locales (LAN)Asigna información de configuración a los dispositivos, como las direcciones IP y los datos del servidor DNSFacilita que los dispositivos se conecten a una red sin configuración manual
DNSSistema de nombres de dominioRedes locales y más amplias (LAN/WAN)Traduce nombres de servidores y de sitios web a direcciones IPPermite que los dispositivos y las apps se conecten a sitios web y servicios como “netflix.com”

ARP: un protocolo de red sencillo pero esencial

A primera vista, el protocolo ARP parece tener una única función básica: asignar direcciones IP y MAC. Sin embargo, es una parte esencial de la cadena de redes, ya que permite que los dispositivos se comuniquen y compartan datos. Lamentablemente, esto también convierte al ARP en objetivo de los ciberdelincuentes. Por eso, es fundamental comprender cómo funciona el ARP y vigilar las posibles vulnerabilidades para mantener la seguridad de las redes.

Preguntas frecuentes

¿Qué es el ARP y por qué es importante en las redes?

ARP (protocolo de resolución de direcciones) es un protocolo de red que asocia las direcciones IP con las direcciones del hardware de una red local. Es un componente esencial de las redes porque que permite que los dispositivos de una red local se comuniquen y compartan datos entre sí.

¿Cómo funciona el protocolo ARP en una red local?

El ARP (protocolo de resolución de direcciones) permite que los dispositivos de una misma red local compartan datos. Para hacerlo, vincula las direcciones IP con las direcciones MAC (control de acceso al medio), que son los identificadores de hardware. El ARP localiza la dirección MAC de un dispositivo para enviarle datos.

¿Cuál es el significado completo de ARP en las redes informáticas?

ARP son las siglas de “Address Resolution Protocol” (protocolo de resolución de direcciones) y es un elemento clave para el funcionamiento de las redes. Es un protocolo que traduce las direcciones IP a direcciones MAC (control de acceso al medio), lo que permite que los dispositivos de una misma red local se envíen datos entre sí.

¿Cuál es una de las funciones clave del protocolo ARP?

La función principal del ARP (protocolo de resolución de direcciones) es permitir que los dispositivos de una red local se comuniquen e intercambien datos entre ellos. Esto lo consigue vinculando las direcciones IP con las direcciones del hardware, también conocidas como direcciones MAC (control de acceso al medio). El ARP también puede reducir el tráfico de red innecesario y ayudar a los equipos de TI a resolver problemas de conectividad.

¿Cómo usa el ARP una dirección IPv4 para encontrar una dirección MAC?

El ARP (protocolo de resolución de direcciones) ayuda a los dispositivos de una red local a asociar direcciones IPv4 con direcciones MAC. Tal vez un dispositivo conozca la dirección IP de otro, pero no su dirección MAC. Cuando necesita intercambiar datos, usa el ARP para averiguar qué dirección MAC se corresponde con la dirección IPv4. Después, almacena temporalmente esa información y comienza a comunicarse con el dispositivo de destino.

¿Qué papel desempeña el protocolo de resolución de direcciones en la transmisión de datos?

El ARP permite que los dispositivos de una misma red local intercambien datos. Para hacerlo, vincula las direcciones IP y MAC (control de acceso al medio). Cuando un dispositivo necesita conocer la dirección MAC de otro, usa el ARP para averiguarla. Una vez que recibe la dirección MAC, la almacena temporalmente y comienza a enviar los datos al lugar correcto.

¿Se sigue usando el ARP?

Sí, en las redes informáticas actuales el ARP se usa ampliamente. Es un protocolo de red esencial porque ayuda a los dispositivos de una red local a averiguar las direcciones de los demás dispositivos de hardware de esa red. Esto les permite intercambiar datos.

Dejar un comentario

Escribir un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con un asterisco (*).