Modo promiscuo
¿Qué es Modo promiscuo?
Modo promiscuoModo de una tarjeta de red en el que la NIC entrega al sistema operativo todas las tramas que ve, permitiendo capturar pasivamente el tráfico de un segmento compartido o reflejado.
El modo promiscuo es un estado configurable de la tarjeta de red que desactiva el filtro habitual por dirección MAC, de modo que la NIC entrega al sistema operativo todas las tramas Ethernet que detecta, sin importar el destino. Es imprescindible para sniffers e IDS como Wireshark, tcpdump, Snort o Zeek para observar tráfico ajeno. En segmentos con hub o con espejo (SPAN) basta con activarlo; en redes conmutadas modernas se combina con ARP spoofing, MAC flooding (desbordamiento de tabla CAM), port mirroring o un tap físico para ver realmente el tráfico de otros hosts. No es malicioso en sí, pero es la base de reconocimiento pasivo, captura de credenciales y muchos MITM. Defensas: detectar NICs en promiscuo inesperados (herramientas de anomalías ARP, EDR), 802.1X, port-security y cifrado de tráfico sensible.
● Ejemplos
- 01
Ejecutar tcpdump -i eth0 en modo promiscuo para capturar tráfico SPAN durante una respuesta a incidentes.
- 02
Atacante que activa modo promiscuo tras hacer ARP spoofing al gateway para capturar credenciales en claro.
● Preguntas frecuentes
¿Qué es Modo promiscuo?
Modo de una tarjeta de red en el que la NIC entrega al sistema operativo todas las tramas que ve, permitiendo capturar pasivamente el tráfico de un segmento compartido o reflejado. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Modo promiscuo?
Modo de una tarjeta de red en el que la NIC entrega al sistema operativo todas las tramas que ve, permitiendo capturar pasivamente el tráfico de un segmento compartido o reflejado.
¿Cómo funciona Modo promiscuo?
El modo promiscuo es un estado configurable de la tarjeta de red que desactiva el filtro habitual por dirección MAC, de modo que la NIC entrega al sistema operativo todas las tramas Ethernet que detecta, sin importar el destino. Es imprescindible para sniffers e IDS como Wireshark, tcpdump, Snort o Zeek para observar tráfico ajeno. En segmentos con hub o con espejo (SPAN) basta con activarlo; en redes conmutadas modernas se combina con ARP spoofing, MAC flooding (desbordamiento de tabla CAM), port mirroring o un tap físico para ver realmente el tráfico de otros hosts. No es malicioso en sí, pero es la base de reconocimiento pasivo, captura de credenciales y muchos MITM. Defensas: detectar NICs en promiscuo inesperados (herramientas de anomalías ARP, EDR), 802.1X, port-security y cifrado de tráfico sensible.
¿Cómo defenderse de Modo promiscuo?
Las defensas contra Modo promiscuo combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Modo promiscuo?
Nombres alternativos comunes: Modo promisc, Modo de captura de red.
● Términos relacionados
- attacks№ 062
Suplantación ARP
Ataque en la red local que envía mensajes ARP falsificados para asociar la MAC del atacante con la IP de otro host y desviar el tráfico.
- attacks№ 312
Suplantación de DHCP
Ataque en el que un adversario responde a peticiones DHCP con ofertas falsificadas para imponer un gateway, DNS u otras opciones maliciosas a los clientes víctima.
- attacks№ 1135
Inyección de TCP Reset
Ataque que falsifica segmentos TCP RST coincidentes con una conexión existente para que los extremos la cierren bruscamente, rompiendo o secuestrando la sesión.