Además de servir a los administradores para analizar y detectar problemas de red, los “sniffers” -o programas destinados a espiar el tráfico que circula en una red- son muy codiciados por los atacantes que quieren obtener información confidencial.
Las actuales redes locales suelen estar formadas por un conjunto de ordenadores con tarjetas Ethernet y cable de par trenzado que unen físicamente a todos los equipos a través de un “hub” o concentrador pasivo. Cuando uno de los ordenadores transmite un paquete de datos lo hace a toda la red, de forma que cualquiera de los equipos puede acceder a él. En circunstancias normales, sólo la tarjeta de red que tiene la dirección MAC de destino indicada en el paquete de datos recibe la información, mientras que las restantes lo desecha ya que no va destinadas a ellas.
Aprovechando la arquitectura de redes antes descrita, los “sniffers” capturan paquetes de datos que están destinados a otras máquinas. Para conseguir su objetivo configuran la tarjeta de red de uno de los ordenadores de forma que recoja todos los paquetes que circulen por la red, independientemente de la dirección MAC de destino.
Una buena práctica para dificultar la acción y el alcance de los “sniffers” es segmentar la red local en diferentes grupos. Para lograrlo suelen utilizarse dispositivos como, por ejemplo, el “switch” o conmutador. Se trata, a grandes rasgos, de un “hub” con inteligencia, ya que sabe a quién debe enviar la información e impide que la información llegue a los equipos a los que no va dirigida. Para ello, en una red con un “switch” los paquetes sólo se mandan al segmento donde está el ordenador al que va dirigida la información. Cada segmento puede estar ocupado por un equipo o por un grupo de ellos.
La segmentación de grandes redes locales en grupos lógicos más reducidos también ayuda a reducir los problemas de congestión de tráfico, al tiempo que incrementa la fiabilidad.