Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for Protocolo de Resolución de Direcciones: Función, Tipos y Seguridad
Cybersecurity 101/Ciberseguridad/Protocolo de Resolución de Direcciones

Protocolo de Resolución de Direcciones: Función, Tipos y Seguridad

El Protocolo de Resolución de Direcciones traduce direcciones IP a direcciones MAC sin autenticación, lo que permite ataques de suplantación. Vea cómo SentinelOne detecta y detiene el movimiento lateral basado en ARP.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es el Protocolo de Resolución de Direcciones (ARP)?
Cómo se relaciona el Protocolo de Resolución de Direcciones con la ciberseguridad
Componentes principales del Protocolo de Resolución de Direcciones
Cómo funciona el Protocolo de Resolución de Direcciones
Beneficios clave del Protocolo de Resolución de Direcciones
Desafíos y limitaciones del Protocolo de Resolución de Direcciones
Cero autenticación
Vulnerabilidades persistentes en arquitecturas modernas
Riesgos de tormenta de broadcast
Alcance limitado de protección
Superficie de ataque de envenenamiento de caché
Errores comunes en el Protocolo de Resolución de Direcciones
Falta de base de DHCP Snooping
Configuración incorrecta de los límites de confianza
Dispositivos con IP estática sin asignaciones
Ignorar el análisis de registros
Mejores prácticas para el Protocolo de Resolución de Direcciones
Implemente Dynamic ARP Inspection correctamente
Siga la secuencia de configuración requerida
Mantenga tablas de asignación de IP estática
Configure limitación de tasa
Segmente su arquitectura de red
Integre con SIEM para monitorización
Implemente seguridad complementaria en Capa 2
Detenga ataques ARP con SentinelOne
Puntos clave

Entradas relacionadas

  • Gestión de Derechos Digitales: Una Guía Práctica para CISOs
  • ¿Qué es la seguridad de Remote Monitoring and Management (RMM)?
  • HUMINT en ciberseguridad para líderes de seguridad empresarial
  • Ciberseguridad para la fabricación: riesgos, mejores prácticas y marcos de referencia
Autor: SentinelOne | Revisor: Arijeet Ghatak
Actualizado: February 11, 2026

¿Qué es el Protocolo de Resolución de Direcciones (ARP)?

El Protocolo de Resolución de Direcciones (ARP) traduce direcciones IP a direcciones MAC en redes locales sin ningún mecanismo de autenticación. Para enviar tráfico a una dirección IP en el mismo segmento de red, un sistema requiere la dirección MAC de hardware correspondiente para entregar el paquete en la Capa 2. ARP transmite una solicitud preguntando "¿Quién tiene la dirección IP X.X.X.X?" Los sistemas aceptan respuestas de cualquier dispositivo sin verificación, lo que permite a los atacantes reclamar cualquier dirección IP y redirigir el tráfico.

Este proceso ocurre automáticamente cuando un sistema necesita comunicarse con otro dispositivo en la red local, como al acceder a servidores de archivos internos o enrutar tráfico a través de la puerta de enlace predeterminada, a menos que la dirección MAC requerida ya esté almacenada en caché de una resolución ARP previa. RFC 826, la especificación del protocolo de 1982, define cómo ARP resuelve la incompatibilidad fundamental de direccionamiento entre la Capa 3 (capa de red) y la Capa 2 (capa de enlace de datos).

Address Resolution Protocol - Featured Image | SentinelOne

Cómo se relaciona el Protocolo de Resolución de Direcciones con la ciberseguridad

ARP no proporciona mecanismos de autenticación, cifrado ni verificación. Este diseño sin confianza permite a los atacantes envenenar las cachés ARP sin activar ninguna validación a nivel de protocolo.

NIST CVE-1999-0667 establece la vulnerabilidad fundamental: "El protocolo ARP permite que cualquier host falsifique respuestas ARP y envenene la caché ARP para realizar suplantación de direcciones IP o una denegación de servicio." Esto no es un error de implementación que se pueda corregir; el diseño del protocolo requiere controles compensatorios.

MITRE ATT&CK Technique T1557 documenta que los adversarios con acceso a la red manipulan el tráfico en tiempo real utilizando ataques adversario-en-el-medio habilitados por suplantación ARP. Los atacantes que envenenan una caché ARP para posicionarse entre sistemas eluden completamente los controles de seguridad de la Capa 3. Los controles de Capa 2 como Dynamic ARP Inspection validan los paquetes en el origen, mientras que el análisis de comportamiento y la monitorización en la Capa 3 y superiores pueden identificar el robo de credenciales y el movimiento lateral que ocurren después de una suplantación ARP exitosa. La plataforma Singularity de SentinelOne proporciona esta correlación de comportamiento al conectar anomalías a nivel de red con patrones de actividad en los endpoints. La suplantación ARP que habilita el movimiento lateral activa Purple AI para identificar secuencias sospechosas de autenticación y ejecución de procesos que indican compromiso activo.

CISA documenta vulnerabilidades ARP en infraestructuras críticas y sistemas de control industrial, destacando riesgos más allá de las redes TI. La ubicuidad del protocolo significa que existen oportunidades de explotación donde los atacantes obtienen acceso a la red local, y los controles de seguridad de Capa 3 no pueden detener ataques de Capa 2 dentro del mismo dominio de broadcast.

Ataques reales demuestran estas vulnerabilidades a nivel de protocolo. En la brecha de Target en 2013, los atacantes explotaron la suplantación ARP para mapear la red interna y habilitar el movimiento lateral tras obtener acceso inicial mediante credenciales de un proveedor HVAC. El reconocimiento y posicionamiento en la red contribuyeron al robo de 40 millones de registros de tarjetas de crédito y 70 millones de registros de clientes, resultando en costos totales de $202 millones. Durante el ataque a la red eléctrica ucraniana en 2015, actores APT utilizaron spear-phishing y reconocimiento de red antes de desplegar el malware BlackEnergy. El ataque de múltiples etapas afectó a 225,000 clientes en tres compañías de distribución de energía, como se documenta en informes de ICS-CERT.

Comprender estas vulnerabilidades a nivel de protocolo requiere examinar los componentes técnicos que permiten la resolución automática de direcciones de ARP.

Componentes principales del Protocolo de Resolución de Direcciones

Cuatro componentes gestionan la resolución ARP, y cada uno representa una posible superficie de ataque. Los atacantes que obtienen acceso a la red local pueden manipular cualquiera de ellos para redirigir el tráfico:

  • Tablas de caché ARP: La mayoría de los dispositivos en redes IPv4 mantienen una caché ARP que almacena asignaciones recientes de direcciones IP a MAC, con entradas dinámicas aprendidas de respuestas ARP y, en algunos dispositivos, entradas estáticas que pueden configurarse manualmente.
  • Paquetes de solicitud ARP: Un sistema que necesita una dirección MAC para una IP en la subred local transmite una solicitud ARP que contiene la dirección IP y MAC de origen, además de la dirección IP de destino que se busca.
  • Paquetes de respuesta ARP: El dispositivo con la dirección IP solicitada envía una respuesta ARP unicast directamente a la dirección MAC del solicitante que contiene la dirección MAC del destino, permitiendo que el sistema solicitante actualice su caché ARP.
  • Dominios de broadcast: La arquitectura VLAN define los dominios de broadcast de Capa 2 donde opera ARP, con solicitudes que no cruzan routers ni límites de Capa 3.

Comprender estos componentes ayuda a reconocer dónde intervienen los ataques de suplantación ARP en el proceso de resolución.

Cómo funciona el Protocolo de Resolución de Direcciones

El proceso de resolución sigue una secuencia predecible visible en capturas de paquetes.

  1. Necesidad de resolución de dirección y solicitud de broadcast: Una aplicación necesita comunicarse con 10.1.1.50 en la subred local. El sistema revisa primero la caché ARP. Si no existe una entrada válida, transmite una solicitud ARP a la dirección MAC FF:FF:FF:FF:FF:FF preguntando "¿Quién tiene 10.1.1.50? Informe a 10.1.1.25" (la dirección IP solicitante).
  2. Respuesta dirigida y población de caché: El dispositivo con IP 10.1.1.50 reconoce su dirección y envía una respuesta ARP unicast que contiene "10.1.1.50 está en la dirección MAC 00:0c:29:3f:47:8a." El sistema solicitante actualiza su caché ARP con la nueva vinculación IP-MAC y procede con la comunicación original.
  3. ARP gratuito: Los sistemas también envían anuncios ARP no solicitados cuando se inicializan las interfaces o cambian las direcciones IP. Los atacantes explotan este comportamiento enviando mensajes ARP gratuitos maliciosos para envenenar cachés sin esperar solicitudes legítimas.

La resolución automática proporciona beneficios operativos, pero la falta de autenticación crea compensaciones de seguridad que su equipo debe gestionar.

Beneficios clave del Protocolo de Resolución de Direcciones

ARP gestiona la traducción de direcciones que requieren las redes IPv4 para enrutar paquetes entre direcciones IP lógicas y hardware físico:

  • Resolución automática de direcciones: Los administradores nunca asignan manualmente direcciones IP a direcciones MAC para miles de dispositivos. ARP gestiona esta traducción de forma transparente.
  • Adaptación dinámica de la red: Los cambios de hardware y reasignaciones de direcciones IP hacen que ARP actualice automáticamente las vinculaciones en toda la red.
  • Funcionalidad de enrutamiento: Los dispositivos utilizan ARP para localizar la dirección MAC de la puerta de enlace predeterminada para todo el tráfico fuera de la subred.
  • Rendimiento de la red: El almacenamiento en caché ARP evita transmisiones constantes para cada paquete, reduciendo la sobrecarga de la red.

Las mismas propiedades que hacen que ARP sea automático también lo hacen explotable.

Desafíos y limitaciones del Protocolo de Resolución de Direcciones

El diseño del protocolo crea desafíos de seguridad y operativos que requieren atención. Cada vulnerabilidad proviene de la falta fundamental de autenticación de ARP.

Cero autenticación

RFC 826 especifica que los dispositivos aceptan información ARP de cualquier fuente sin validación. Este diseño sin confianza es anterior a los modelos de amenazas modernos que involucran amenazas internas y movimiento lateral. Cualquier dispositivo en la red local puede reclamar cualquier dirección IP, y el protocolo no proporciona un mecanismo para verificar la reclamación.

Vulnerabilidades persistentes en arquitecturas modernas

Investigaciones de IEEE sobre redes definidas por software confirman que las vulnerabilidades ARP persisten incluso en arquitecturas SDN modernas. El protocolo fundamental no ha cambiado a pesar de décadas de evolución en seguridad. Los entornos virtualizados, redes adyacentes a la nube e infraestructuras definidas por software heredan estas mismas debilidades de Capa 2.

Riesgos de tormenta de broadcast

NIST CVE-2022-27640 documenta explotación real donde los dispositivos afectados manejan incorrectamente solicitudes ARP de broadcast excesivas. Los atacantes explotan este comportamiento para crear condiciones de denegación de servicio mediante inundaciones ARP. La disponibilidad de la red se degrada a medida que los switches luchan por procesar la inundación, lo que puede enmascarar otras actividades maliciosas que ocurren simultáneamente.

Alcance limitado de protección

Los firewalls, sistemas de prevención de intrusiones y controles de acceso a la red operan en la Capa 3 y superiores. ARP funciona en la Capa 2, por lo que estos controles no pueden prevenir la suplantación ARP dentro del mismo dominio de broadcast. Los atacantes que obtienen acceso a un solo segmento de red pueden ejecutar suplantación ARP sin activar defensas perimetrales.

Superficie de ataque de envenenamiento de caché

Investigaciones revisadas por pares sobre ataques man-in-the-middle muestran que los ataques MitM-ARP suelen dirigirse a servicios bancarios en línea u otros servicios personales en línea. El envenenamiento de caché que tiene éxito a pesar de los controles preventivos activa plataformas SIEM y herramientas de análisis de comportamiento para identificar el robo de credenciales y movimiento lateral posteriores, analizando patrones que indican compromiso. 

Plataformas como SentinelOne identifican estos patrones post-compromiso mediante IA de comportamiento que reconoce autenticaciones anómalas, ejecución de procesos y acceso a archivos tras ataques ARP exitosos, permitiendo una respuesta autónoma antes de que los atacantes logren sus objetivos. Incluso con estas capacidades de detección, errores comunes de implementación dejan las redes expuestas.

Errores comunes en el Protocolo de Resolución de Direcciones

Los equipos de seguridad cometen errores de implementación que hacen que las protecciones sean ineficaces. Comprender estos errores ayuda a evitarlos durante el despliegue.

Falta de base de DHCP Snooping

Se habilita Dynamic ARP Inspection (DAI) pero se olvida el requisito previo. La guía de configuración de los proveedores de switches empresariales especifica que DAI requiere que DHCP snooping esté habilitado globalmente primero. Sin la base de datos de asignaciones de DHCP snooping, DAI no puede validar los paquetes ARP.

Configuración incorrecta de los límites de confianza

Los límites de confianza mal configurados no marcan las conexiones del servidor DHCP o los puertos de enlace ascendente como confiables. El tráfico DHCP legítimo se bloquea, causando interrupciones en la red y generando falsos positivos.

Dispositivos con IP estática sin asignaciones

DAI se habilita para direcciones asignadas por DHCP mientras se descuidan los servidores, impresoras y dispositivos de infraestructura que usan IPs estáticas. La documentación de switches empresariales especifica que DAI requiere entradas de asignación de IP estática para dispositivos que no usan DHCP. Omitir este paso hace que los dispositivos legítimos con IP estática no pasen la validación DAI y pierdan conectividad de red.

Ignorar el análisis de registros

DAI se ejecuta sin que nadie supervise los registros de eventos de seguridad. Los ataques pasan desapercibidos porque nadie revisa los fallos de validación DAI y los descartes de paquetes ARP que indican intentos activos de suplantación ARP.

Los equipos de seguridad que envían los registros DAI a sus plataformas SIEM y los correlacionan con la telemetría de endpoints de soluciones como SentinelOne Singularity obtienen contexto al conectar ataques de Capa 2 con el uso indebido de credenciales y movimiento lateral. Los fallos de validación ARP sin procesar se transforman en inteligencia de amenazas procesable con capacidades de respuesta autónoma.

Evitar estos errores requiere seguir prácticas de despliegue basadas en estándares en la secuencia correcta.

Mejores prácticas para el Protocolo de Resolución de Direcciones

La protección basada en estándares requiere controles de seguridad en capas implementados en la secuencia correcta. Las siguientes prácticas abordan las vulnerabilidades ARP a nivel de switch manteniendo la funcionalidad de la red.

Implemente Dynamic ARP Inspection correctamente

La documentación de los proveedores de switches empresariales confirma que DAI protege los switches contra ataques de suplantación y envenenamiento ARP inspeccionando los paquetes ARP en la LAN y validándolos contra las entradas de la base de datos de DHCP snooping. El sistema valida los paquetes ARP contra las asignaciones MAC-IP y descarta los paquetes inválidos que llegan por puertos no confiables.

Siga la secuencia de configuración requerida

NIST Special Publication 800-215 se centra en el acceso remoto seguro y SASE. La documentación técnica oficial de los fabricantes de switches empresariales recomienda configurar primero DHCP snooping, incluyendo marcar los puertos hacia servidores y enlaces ascendentes como confiables para DHCP. Luego habilite la inspección DHCP por VLAN, cree asignaciones estáticas para dispositivos que no usan DHCP y habilite Dynamic ARP Inspection por VLAN, comenzando con segmentos de prueba.

Mantenga tablas de asignación de IP estática

Cada servidor, appliance de red, impresora y dispositivo IoT que use direccionamiento IP estático requiere una entrada de asignación manual en la configuración DAI. Documente estos dispositivos durante la implementación y actualice las asignaciones cuando cambie la infraestructura.

Configure limitación de tasa

Establezca límites apropiados de tasa de paquetes ARP por interfaz para prevenir ataques de denegación de servicio que exploten el proceso de inspección. Configure umbrales basados en los patrones de tráfico ARP de referencia de su entorno, siguiendo las recomendaciones del proveedor que pueden sugerir puntos de partida como 15 paquetes por segundo por interfaz, pero que deben ajustarse a su red.

Segmente su arquitectura de red

Una segmentación adecuada de la red garantiza que los ataques en una subred no puedan afectar dispositivos en segmentos diferentes. ARP opera dentro de dominios de broadcast, por lo que la segmentación arquitectónica limita la propagación del ataque y reduce la superficie de ataque por segmento de red.

Integre con SIEM para monitorización

La documentación de los proveedores de switches empresariales especifica que los registros DAI incluyen dirección MAC de origen, VLAN, dirección IP y marcas de tiempo. Envíe estos registros a su sistema de gestión de información y eventos de seguridad para correlacionarlos con otros eventos de seguridad y análisis de patrones que indiquen campañas de ataque coordinadas. Plataformas de seguridad como SentinelOne Singularity correlacionan eventos de seguridad relacionados con ARP con fallos de autenticación e indicadores de movimiento lateral, conectando ataques de Capa 2 con el impacto en el negocio.

Implemente seguridad complementaria en Capa 2

Implemente seguridad de puertos para restringir direcciones MAC por puerto físico, configure BPDU Guard para prevenir ataques de spanning tree y habilite la limitación de tasa de DHCP snooping. Estos controles funcionan junto con DAI para crear defensa en profundidad en la capa de enlace de datos.

Los controles preventivos establecen la base. Identificar ataques cuando la prevención falla completa la arquitectura de seguridad.

Detenga ataques ARP con SentinelOne

Los atacantes que eluden Dynamic ARP Inspection o actúan en segmentos de red sin protecciones de Capa 2 exponen una brecha de visibilidad. Su arquitectura de seguridad requiere correlación entre anomalías relacionadas con ARP y el comportamiento en los endpoints. SentinelOne Singularity proporciona esta correlación entre capas al analizar eventos de red junto con la telemetría de endpoints, identificando el robo de credenciales, la escalada de privilegios y el movimiento lateral que siguen a ataques de suplantación ARP exitosos.

La plataforma Singularity aborda la brecha fundamental entre los controles de red de Capa 2 y las herramientas de seguridad de Capa 3+. DAI opera a nivel de switch para bloquear paquetes ARP falsificados, pero los atacantes que logran envenenar cachés en segmentos no protegidos o durante la ventana antes de desplegar controles requieren análisis de comportamiento. Purple AI correlaciona patrones de autenticación inusuales, ejecución sospechosa de procesos y acceso anómalo a archivos con eventos a nivel de red. Una anomalía ARP registrada por sus switches se conecta con el uso indebido real de credenciales que ocurre en sus endpoints.

Purple AI reduce el tiempo de investigación relacionado con ARP automatizando la correlación de anomalías de red con patrones de autenticación en endpoints. En lugar de investigar manualmente miles de entradas de registro DAI, Purple AI identifica qué eventos relacionados con ARP precedieron a comportamientos reales de compromiso: autenticación de Windows usando hashes NTLM robados, comandos de reconocimiento PowerShell o acceso no autorizado a recursos compartidos de archivos.

Las capacidades de respuesta autónoma de la plataforma detienen el movimiento lateral independientemente del vector de ataque inicial, aislando endpoints comprometidos, bloqueando procesos sospechosos y previniendo la exfiltración de datos antes de que los atacantes logren sus objetivos. Para los equipos de seguridad que gestionan entornos híbridos con despliegue inconsistente de controles de Capa 2, Singularity identifica los comportamientos post-compromiso que importan sin importar el origen. La fatiga de alertas disminuye porque la plataforma prioriza los eventos con impacto real en el negocio.

Solicite una demostración de SentinelOne para ver cómo Singularity detecta movimiento lateral basado en ARP y detiene el robo de credenciales con respuesta autónoma.

Ciberseguridad basada en IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Puntos clave

El diseño no autenticado de ARP no cambiará. Su defensa requiere controles en capas: DHCP snooping y Dynamic ARP Inspection a nivel de switch, segmentación de red para contener ataques y análisis de comportamiento para detectar lo que la prevención no logra detener.

Implemente los controles en secuencia, comenzando con DHCP snooping antes de habilitar DAI. Envíe los registros DAI a su SIEM para correlacionarlos con la telemetría de endpoints. Acepte que algunos segmentos carecerán de protección y construya capacidades de detección en consecuencia. Las vulnerabilidades del protocolo exigen seguridad arquitectónica, no correcciones al protocolo.

Preguntas frecuentes

Los términos describen el mismo ataque: mensajes ARP falsificados que sobrescriben entradas legítimas de la caché. La literatura de seguridad los utiliza de manera intercambiable. Ambos explotan la falta de autenticación del protocolo para redirigir el tráfico al declarar asociaciones falsas de direcciones IP a MAC. 

El spoofing activo genera tráfico ARP que DAI puede interceptar, mientras que la observación pasiva de cachés envenenadas requiere comparar las entradas actuales de la caché con bases de datos de asociaciones conocidas como válidas.

ARP opera en la Capa 2 dentro de los dominios de difusión de red local, afectando principalmente a redes locales y de nube privada. Las redes virtuales en la nube pública emplean diferentes mecanismos de aislamiento arquitectónico y enfoques de seguridad alternativos. 

Sin embargo, los entornos híbridos que abarcan arquitecturas tanto locales como de nube pública requieren estrategias de protección alineadas con diferentes modelos de seguridad, y los ataques en los segmentos locales pueden permitir el acceso a recursos en la nube si no se mantiene una segmentación de red adecuada.

El impacto en el rendimiento de DAI depende de la arquitectura de red y los patrones de tráfico. Los switches gestionados modernos realizan la inspección en ASICs de hardware con un impacto insignificante. Active DAI progresivamente en las VLAN, comenzando por los segmentos críticos, mientras mide las tasas de inspección y los indicadores de CPU para validar la capacidad antes de ampliar la implementación. 

Supervise el tráfico ARP base durante las horas pico para establecer límites de tasa apropiados para su entorno.

La adopción de IPv6 aumenta en redes empresariales, pero la mayoría de las organizaciones operan entornos de doble pila que mantienen tanto IPv4 como IPv6. NIST SP 800-215 recomienda que las arquitecturas de seguridad empresarial consideren controles de seguridad de Capa 2 para redes IPv4 durante este período de transición extendido. Los mecanismos de protección ARP, como la Inspección ARP Dinámica, siguen siendo necesarios.

Los atacantes en la red local pueden envenenar las cachés ARP utilizando herramientas fácilmente disponibles en segundos tras obtener acceso a la red. RFC 826 y estudios de IEEE confirman que el ataque no requiere explotación sofisticada, solo la capacidad de enviar paquetes ARP falsificados en el dominio de difusión local. 

La vulnerabilidad en el diseño sin confianza del protocolo enfatiza por qué los controles preventivos de Capa 2 son fundamentales para la seguridad ARP.

Las entradas ARP dinámicas se aprenden automáticamente a partir de respuestas ARP y expiran tras un período de tiempo, que suele variar entre 2 y 20 minutos, según el sistema operativo. Las entradas ARP estáticas son configuradas manualmente por los administradores y permanecen hasta que se eliminan explícitamente. 

Las entradas estáticas previenen el envenenamiento de la caché ARP para dispositivos de infraestructura crítica, pero requieren mantenimiento manual cuando se cambian los equipos o se reasignan direcciones IP.

Descubre más sobre Ciberseguridad

Ciberseguridad en el sector minorista: riesgos, mejores prácticas y marcos de referenciaCiberseguridad

Ciberseguridad en el sector minorista: riesgos, mejores prácticas y marcos de referencia

Descubra el papel fundamental de la ciberseguridad en la industria minorista y de comercio electrónico. Esta guía cubre las principales amenazas, marcos de protección de datos y mejores prácticas para ayudar a los minoristas a proteger la información de los clientes, garantizar el cumplimiento normativo y mantener la confianza en tiendas digitales y físicas.

Seguir leyendo
Ciberseguridad en el sector sanitario: riesgos, mejores prácticas y marcos de referenciaCiberseguridad

Ciberseguridad en el sector sanitario: riesgos, mejores prácticas y marcos de referencia

Conozca la ciberseguridad en la industria sanitaria y cómo defenderse de amenazas emergentes. Comprenda los riesgos cibernéticos en el sector sanitario, las mejores prácticas y los marcos de referencia ideales para lograr la máxima protección.

Seguir leyendo
Ciberseguridad en la educación superior: riesgos, mejores prácticas y marcos de referenciaCiberseguridad

Ciberseguridad en la educación superior: riesgos, mejores prácticas y marcos de referencia

Las universidades y centros educativos enfrentan crecientes amenazas cibernéticas a medida que los campus digitales se expanden. Esta guía explica los principales riesgos, estrategias de protección comprobadas y marcos clave que fortalecen la ciberseguridad en la educación superior.

Seguir leyendo
Análisis forense digital: definición y mejores prácticasCiberseguridad

Análisis forense digital: definición y mejores prácticas

La informática forense protege los datos sensibles mediante el análisis de evidencia electrónica para defenderse de los ciberataques. Conozca sus objetivos, procesos, mejores prácticas, herramientas y cómo la IA y la cadena de bloques mejoran las investigaciones en la actualidad.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español