Entre las diversas formas de ciberataques que puede enfrentar una empresa o un particular, encontramos el denominado ataque man in the middle (MiTM) o ataque de intermediario. En este artículo veremos qué es y cómo se realiza el ataque man in the middle y cómo podemos protegernos de él.
En este artículo hablamos de:
¿Qué es un ataque man in the middle?
Un ataque man in the middle es un tipo de ciberataques en el que un tercero (el atacante) intercepta la comunicación entre dos dispositivos conectados a una red. De esa forma, el atacante puede «oír» todas las comunicaciones entre ambos dispositivos y hacerse con información confidencial (como credenciales) o manipular la información que se intercambian entre sí, incluso hacerse pasar por una de las partes.
En un ataque man in the middle se intercepta una señal entre dos partes (el intermediario u «hombre en el medio») y se reemplaza por otra señal fraudulenta.
Aunque pueda parecer lo contrario, lo cierto es que los ataques man in the middle no son nada nuevo, ya que llevan llevándose a cabo de una u otra forma desde hace años (lo de interceptar comunicaciones y escucharlas es algo muy presente en el espionaje), lo que ha cambiado ha sido la tecnología y ahora han pasado a realizarse también de manera cibernética.
Tipos de ataques man-in-the-middle
Existen diferentes tipos de ataque man-in-the-middle, algunos de los más habituales son los que describiremos a continuación:
Ataques basados en servidores DHCP
DHCP es el protocolo que asigna automáticamente a un host (un dispositivo) una dirección de IP válida de un grupo DHCP. Se pueden realizar dos tipos de ataques DHCP contra una red conmutada: ataques de iniciación de DHCP y suplantación DHCP.
El ataque de inanición de DHCP es un ataque que tiene como objetivo los servidores DHCP mediante el cual un atacante crea solicitudes de DHCP falsificadas con la intención de agotar todas las direcciones IP disponibles que pueden ser asignadas por el servidor DHCP. Bajo este ataque, se puede negar el servicio a los usuarios legítimos de la red.
En los ataques de suplantación de identidad de DHCP, un atacante configura un servidor DHCP falso en la red para emitir direcciones DHCP a los clientes. La razón normal de este ataque es obligar a los clientes a utilizar servidores falsos del Sistema de nombres de dominio (DNS) o del Servicio de nombres de Internet de Windows (WINS) y hacer que los clientes utilicen al atacante, o una máquina bajo el control del atacante, como su puerta de enlace predeterminada.
ARP cache poisoning
ARP significa Protocolo de resolución de direcciones.
Un usuario envía una solicitud ARP y un pirata informático envía una respuesta falsa. En este caso, el pirata informático pretende ser un dispositivo como un enrutador, lo que le permite interceptar el tráfico. Normalmente, esto se limita a las redes de área local (LAN) que utilizan el protocolo ARP.
Ataques basados en servidores DNS
Internet funciona mediante direcciones IP numéricas. La mayoría de los sitios web utilizan un servidor para traducir esa dirección a un nombre atractivo: google.com, por ejemplo. El servidor que traduce 127.217.14.228 en «google.com» se denomina servidor de nombres de dominio o DNS.
Un pirata informático puede crear un servidor DNS falso, esto se llama spoofing. El servidor falso enruta el nombre de un sitio web real a una dirección IP diferente. El pirata informático puede crear un sitio web falso en la nueva dirección IP que se parece a un sitio web genuino. Una vez que visita el sitio falso, un atacante puede obtener acceso a tu información confidencial y datos personales.
Es una técnica que obliga a un usuario a acceder a un sitio web falso en lugar del real que el usuario pretende visitar. Si eres víctima de suplantación de DNS, puedes pensar que estás visitando un sitio web seguro y confiable cuando en realidad estás interactuando con un estafador. El objetivo del perpetrador es desviar el tráfico del sitio real o capturar las credenciales de inicio de sesión del usuario.
Simulación de un punto de acceso inalámbrico
Otro ataque man in the middle consiste en suplantar redes Wi-Fi. Los ciberdelincuentes pueden configurar conexiones Wi-Fi con nombres que suenan muy legítimos, similares a los de una empresa cercana. Una vez que un usuario se conecta a la red Wi-Fi del estafador, el atacante podrá monitorizar la actividad en línea del usuario y podrá interceptar las credenciales de inicio de sesión, la información de la tarjeta de pago y más.
Este es solo uno de los varios riesgos asociados con el uso de Wi-Fi público.
Si alguna vez has usado un portátil en una cafetería, es posible que hayas notado una ventana emergente que dice «Esta red no es segura». El wifi público generalmente se proporciona «tal cual», sin garantías sobre la calidad del servicio o de su seguridad.
Ataque man-in-the-browser
Este es un tipo de ataque que aprovecha las vulnerabilidades de los navegadores web.
Los troyanos, los gusanos informáticos, las vulnerabilidades de Java, los ataques de inyección SQL y los complementos del navegador pueden ser vectores de ataque. A menudo se utilizan para capturar información financiera.
Cuando el usuario inicia sesión en su cuenta bancaria, el malware captura sus credenciales. En algunos casos, los scripts de malware pueden transferir fondos y luego modificar el recibo de la transacción para ocultar la transacción.
Human assisted attack
El human assisted attack se refiere a cuando un patrón de ataque no es puramente automático, sino que está controlado por uno o más atacantes en tiempo real.
Este tipo de ataque man-in-the-middle podría ser de la siguiente manera: una vez que un usuario de Internet inicia sesión en el sitio web de su banco, el hacker (que se ha colocado entre el navegador del usuario y el servidor del banco) recibe una señal. Ahora tienen la capacidad de robar cookies de sesión e información de autenticación en tiempo real y usarlas para obtener acceso a nombres de usuario y contraseñas.
¿Cómo funciona un ataque man-in-the-middle?
Ahora que ya conocemos qué es este ciberataque y las diferentes formas en las que puede llevarse a cabo, veamos cómo funciona el ataque man in the middle de manera general.
Los ataques man in the middle, independientemente del tipo de ataque que se despliegue después, funcionan en dos fases diferentes:
- La primera fase es la fase de interceptación; en ella el atacante interfiere la red de la víctima desviando la comunicación a otro destino, antes de que esta llegue a su destino legítimo. Es decir, en esta fase, el atacante se coloca en medio de la comunicación entre el dispositivo de la víctima y dónde quiera que dirigiese la comunicación.
- La segunda fase es la de descifrado; una vez interceptada la comunicación, el siguiente paso es acceder a los datos de la víctima, que estarán cifrados, por lo que es necesario que el atacante los descifre para poder leerlos. Para ello se puede emplear diferentes métodos, como HTTPS spoofing, secuestro de SSL o SSL Striping.
¿Cómo detectar y prevenir un ataque man in the middle?
Para poder saber cómo evitar un ataque man in the middle, debemos saber cómo detectarlo y prevenirlo.
En cuanto a detectarlo, lo cierto es que el ataque man in the middle es un tipo de ciberataque que, salvo que estés buscando sus señales concretas, puede ser difícil de detectar. Así, entre esas señales que pueden indicarnos que alguien está interfiriendo con nuestra comunicación tenemos:
- Desconexiones inesperadas y / o repetidas: los atacantes desconectan a los usuarios a la fuerza para que puedan interceptar el nombre de usuario y la contraseña cuando el usuario intenta volver a conectarse. Al monitorizar desconexiones inesperadas o repetidas, puedes identificar este comportamiento de manera proactiva.
- Direcciones extrañas en la barra de direcciones de tu navegador: si algo en la dirección parece extraño, aunque sea un poco, vuelve a verificarlo. Podría ser un secuestro de DNS. Por ejemplo, ves https: \\ www.go0gle.com en lugar de https: \\ www.google.com
- Inicia sesión en una red Wi-Fi pública y / o no segura: ten mucho cuidado con las redes a las que te conectas y evita la red Wi-Fi pública si es posible. Los atacantes crean redes falsas con identificaciones conocidas como «local inalámbrico gratuito» o algún otro nombre común para engañar a las personas para que se conecten. Si te conectas a la red Wi-Fi del atacante, este puede ver fácilmente todo lo que envías a la red.
Respecto a cómo prevenir un ataque-man-in-the-middle, hay algunos consejos que podemos seguir para ello:
- Concienciación y educación: el error humano es responsable de un alto porcentaje de ciberataques como los ataques MiTM. Las personas, sin saberlo, hacen clic en un enlace incorrecto o usan sus datos de inicio de sesión en un sitio comprometido, lo que les da a los piratas informáticos acceso a todos sus datos. Para evitar esto, la educación es fundamental, especialmente en los negocios. Asegurarse de que los empleados conozcan los principios básicos de la prevención de ataques cibernéticos en general y los ataques MiTM en particular puede ahorrar mucho tiempo y dinero. Cosas simples como instruir a los empleados para que eviten las redes wifi públicas o enseñar a las personas cómo es un correo electrónico de phishing puede ser de gran ayuda para prevenir estos ataques.
- Cifrado y VPN: el uso de cifrado en todos los dispositivos que contienen información valiosa y el uso de redes privadas virtuales (VPN) cuando se conecta a redes públicas agrega una capa adicional de protección contra los ataques MiTM. Las VPN crean un canal seguro y encriptado para los datos que se transmiten a través de Internet desde un dispositivo o una red. Utilizadas durante muchos años, las VPN para trabajadores remotos actúan como canalizaciones protegidas para todos los datos que pasan a través de ellas, lo que las hace altamente efectivas contra los ataques MiTM.
- Actualización de firmware y software: una de las formas en que los piratas informáticos de MiTM obtienen acceso a los sistemas es explotando el software y el firmware obsoletos del sistema. Tener una política que los mantenga actualizados en todo momento ayuda a sellar los puntos potenciales de acceso MiTM. Los sistemas actualizados tienen todos los parches de seguridad actuales para problemas conocidos y dificultan el acceso de los piratas informáticos. Lo mismo debe hacerse con los enrutadores, los dispositivos de IoT y otro hardware y software conectados a tu red.
- Seguridad de la conexión móvil: mantener seguros los dispositivos conectados a teléfonos móviles puede ser un desafío, especialmente con la gran cantidad de cambios que ocurren regularmente en la industria. El uso de la protección del receptor IMSI reduce el riesgo en toda la organización al proporcionar una cobertura completa para todos los dispositivos conectados, sin importar a qué red celular se conecten o dónde.
- Seguridad de la red: Asegura tu red con un sistema de detección de intrusos. Los administradores de red deben utilizar una buena higiene de la red para mitigar un ataque de intermediario. Analiza los patrones de tráfico para identificar comportamientos inusuales. Tu red debe tener firewalls y protocolos sólidos para evitar el acceso no autorizado. Utiliza herramientas de prueba de penetración de terceros, software y cifrado HTTPS para ayudar a detectar y bloquear los intentos de suplantación de identidad.
Consecuencias y peligros de un ataque man in the middle
Estos tipos de ataques pueden tener como objetivo el espionaje o la estafa, o simplemente ser disruptivos. El daño causado puede variar de pequeño a enorme, dependiendo de los objetivos del atacante y su capacidad para causar daño.
Con una mayor movilidad empresarial y el uso de Wi-Fi abierto, las consecuencias de un ataque MiTM pueden ser bastante graves. Por ejemplo, en el sector bancario, un atacante podría ver que un usuario está realizando una transferencia y cambiar el número de cuenta de destino, o la cantidad que se envía.
Además, los ciberdelincuentes podrían usar ataques man-in-the-middle para recopilar información personal o credenciales de inicio de sesión. Los atacantes también podrían forzar actualizaciones comprometidas que instalen malware en los dispositivos móviles de los usuarios en lugar de en los legítimos. Dado que a menudo no pueden cifrar el tráfico, los dispositivos móviles son particularmente susceptibles a este escenario.
La proliferación de dispositivos IoT plantea otro desafío con respecto a la ejecución de ataques de intermediario. La falta de seguridad en muchos dispositivos significa que el crecimiento de IoT podría presentar un aumento en los ataques MiTM y enviar información falsa a la organización o instrucciones de comando y control erróneas a los propios dispositivos.
Los dispositivos de IoT tienden a ser más vulnerables a los ataques porque, por diseño, no implementan TLS ni dependen de versiones anteriores que no son tan robustas como la última versión.
Los ataques MiTM son una amenaza real para Internet, independientemente de la entidad que los utilice. Estos ataques amenazan la confidencialidad de la comunicación y reducen la confianza del usuario de que su comunicación no ha sido alterada en tránsito. Los ataques MiTM socavan la confianza que sustenta las funciones centrales y la confiabilidad de Internet.
Ejemplos de ataques MiTM
Un ejemplo de ataque man in the middle es la interceptación de datos por el atacante.
El atacante instala un rastreador de paquetes para analizar el tráfico de la red en busca de comunicaciones inseguras.
Cuando un usuario inicia sesión en un sitio, el atacante recupera su información de usuario y lo redirige a un sitio falso que imita al real.
El sitio falso del atacante recopila datos del usuario, que el atacante puede usar en el sitio real para acceder a la información del objetivo.
En este escenario, un atacante intercepta una transferencia de datos entre un cliente y un servidor. Al engañar al cliente haciéndole creer que todavía se está comunicando con el servidor y el servidor haciéndole creer que todavía está recibiendo información del cliente, el atacante puede interceptar los datos de ambos e inyectar su propia información falsa en cualquier transferencia futura.
En 2011, el sitio de registro holandés DigiNotar fue violado, lo que permitió a un ciberdelincuente obtener acceso a 500 certificados para sitios web como Google, Skype y otros. El acceso a estos certificados permitió al atacante hacerse pasar por sitios web legítimos en un ataque MiTM, robando los datos de los usuarios después de engañarlos para que ingresaran contraseñas en sitios espejo maliciosos. DigiNotar finalmente se declaró en quiebra como resultado de la infracción.
En 2017, la empresa de calificación crediticia Equifax eliminó sus aplicaciones de Google y Apple después de que una vulneración provocara la filtración de datos personales. Un investigador descubrió que la aplicación no usaba HTTPS de manera constante, lo que permitía a los atacantes interceptar datos cuando los usuarios accedían a sus cuentas.