¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Ataque man in the middle. Riesgos y cómo prevenirlo

13 Mins read

Existen muchas amenazas cibernéticas. Por lo general, están motivadas por dinero o ganancias políticas, pero también puede ser una simple travesura. Sin embargo, la motivación tiene poca importancia cuando tu empresa está siendo atacada. Lo que más importa es contener el daño y prevenir el próximo ataque. Uno de los tipos de ataques más antiguos y prevalentes es el espionaje, o su versión evolucionada: el ataque man in the middle (MiTM). Los ataques MiTM dejan nuestros datos, dispositivos y vidas expuestas a la explotación. Veamos qué son los ataques man in the middle, sus tipos, cómo detectarlos y cómo prevenirlos.

¿Qué es un ataque man in the middle?

Todo, desde nuestros timbres hasta nuestros automóviles, está conectado y es susceptible a los ataques MiTM. Imagínate que alguien toma repentinamente el control de tu automóvil mientras conduces. O alguien que rastrea tu ubicación para asegurarse de que tu casa esté vacía cuando entra para robar mientras transmite datos falsos al sistema de seguridad de tu hogar.

A mayor escala, segmentos importantes de la infraestructura de la que dependemos hoy como sociedad también están conectados a Internet. Esto significa que los servicios críticos como el transporte, la energía y los hospitales están en riesgo de ataques MiTM maliciosos que pueden causar interrupciones con resultados catastróficos.

En un ataque Man in The Middle, se intercepta una señal entre dos partes (el “hombre en el medio”) y se reemplaza por otra señal fraudulenta.

Un ataque man-in-the-middle (MitM) es una forma de ciberataque en el que un atacante intercepta datos importantes utilizando una técnica para intervenir en el proceso de comunicación. El atacante puede ser un oyente pasivo en tu conversación, robando silenciosamente tus secretos, o un participante activo, alterando el contenido de tus mensajes o haciéndose pasar por la persona / sistema con el que crees que estás hablando.

Los ataques MiTM no son nada nuevo. Han existido de una forma u otra durante mucho tiempo. La tecnología ha cambiado pero el principio general permanece.

Un ejemplo clásico de esto es la Operación de intrusión Aspidistra de la Segunda Guerra Mundial. Durante los ataques aéreos, las fuerzas aliadas imitaron las transmisiones de los transmisores de radio alemanes. Esperarían hasta que se apagara la señal y luego transmitirían su propio contenido en la misma frecuencia (a menudo propaganda a favor de los aliados u otro contenido falso destinado a desmoralizar a los alemanes). Debido a que pudieron hacer esto sin ser detectados, parecía que estas transmisiones provenían de fuentes oficiales.

Los ataques de MiTM de hoy en día no son muy diferentes. Los piratas informáticos interceptan las señales que enviamos con nuestros teléfonos o por Internet. A continuación, se aprovechan de la conexión existente para recuperar información e insertar sus propios comandos mientras se hacen pasar por el usuario legítimo.

Tipos de ataque de intermediario

Los ciberdelincuentes pueden utilizar los ataques MITM para obtener el control de los dispositivos de diversas formas.

Ataques basados en servidores DHCP

DHCP es el protocolo que asigna automáticamente a un host una dirección IP válida de un grupo de DHCP. DHCP se ha utilizado durante casi tanto tiempo como TCP / IP ha sido el protocolo principal utilizado en la industria para asignar direcciones IP a los clientes. Se pueden realizar dos tipos de ataques DHCP contra una red conmutada: ataques de inanición de DHCP y suplantación de DHCP.

El ataque de inanición de DHCP es un ataque que tiene como objetivo los servidores DHCP mediante el cual un atacante crea solicitudes de DHCP falsificadas con la intención de agotar todas las direcciones IP disponibles que pueden ser asignadas por el servidor DHCP. Bajo este ataque, se puede negar el servicio a los usuarios legítimos de la red.

En los ataques de suplantación de identidad de DHCP, un atacante configura un servidor DHCP falso en la red para emitir direcciones DHCP a los clientes. La razón normal de este ataque es obligar a los clientes a utilizar servidores falsos del Sistema de nombres de dominio (DNS) o del Servicio de nombres de Internet de Windows (WINS) y hacer que los clientes utilicen al atacante, o una máquina bajo el control del atacante, como su puerta de enlace predeterminada.

ARP cache poisoning

ARP significa Protocolo de resolución de direcciones.

Un usuario envía una solicitud ARP y un pirata informático envía una respuesta falsa. En este caso, el pirata informático pretende ser un dispositivo como un enrutador, lo que le permite interceptar el tráfico. Normalmente, esto se limita a las redes de área local (LAN) que utilizan el protocolo ARP.

Ataques basados en servidores DNS

Internet funciona mediante direcciones IP numéricas.

La mayoría de los sitios web utilizan un servidor para traducir esa dirección a un nombre atractivo: google.com, por ejemplo. El servidor que traduce 127.217.14.228 en “google.com” se denomina servidor de nombres de dominio o DNS.

Un pirata informático puede crear un servidor DNS falso, esto se llama “spoofing“. El servidor falso enruta el nombre de un sitio web real a una dirección IP diferente. El pirata informático puede crear un sitio web falso en la nueva dirección IP que se parece a un sitio web genuino. Una vez que visita el sitio falso, un atacante puede obtener acceso a tu información confidencial y datos personales.

Es una técnica que obliga a un usuario a acceder a un sitio web falso en lugar del real que el usuario pretende visitar. Si eres víctima de suplantación de DNS, puedes pensar que estás visitando un sitio web seguro y confiable cuando en realidad estás interactuando con un estafador. El objetivo del perpetrador es desviar el tráfico del sitio real o capturar las credenciales de inicio de sesión del usuario.

Simulación de un punto de acceso inalámbrico

Otro ataque man in the middle consiste en suplantar redes WiFi. Los ciberdelincuentes pueden configurar conexiones Wi-Fi con nombres que suenan muy legítimos, similares a los de una empresa cercana. Una vez que un usuario se conecta a la red Wi-Fi del estafador, el atacante podrá monitorizar la actividad en línea del usuario y podrá interceptar las credenciales de inicio de sesión, la información de la tarjeta de pago y más.

Este es solo uno de los varios riesgos asociados con el uso de Wi-Fi público.

Si alguna vez has usado un portátil en una cafetería, es posible que hayas notado una ventana emergente que dice “Esta red no es segura”. El wifi público generalmente se proporciona “tal cual”, sin garantías sobre la calidad del servicio.

Sin embargo, las conexiones WiFi no cifradas son fáciles de escuchar. Es muy parecido a tener una conversación en un restaurante público: cualquiera puede escuchar. Puedes limitar tu exposición configurando tu red en “pública”, lo que deshabilita Network Discovery. Esto evita que otros usuarios de la red accedan a tu sistema.

Ataque man-in-the-browser

Este es un tipo de ataque que aprovecha las vulnerabilidades de los navegadores web.

Los troyanos, los gusanos informáticos, las vulnerabilidades de Java, los ataques de inyección SQL y los complementos del navegador pueden ser vectores de ataque. A menudo se utilizan para capturar información financiera.

Cuando el usuario inicia sesión en su cuenta bancaria, el malware captura sus credenciales. En algunos casos, los scripts de malware pueden transferir fondos y luego modificar el recibo de la transacción para ocultar la transacción.

Human assisted attack

El human assisted attack se refiere a cuando un patrón de ataque no es puramente automático, sino que está controlado por uno o más atacantes en tiempo real.

Este tipo de ataque man-in-the-middle podría ser de la siguiente manera: una vez que un usuario de Internet inicia sesión en el sitio web de su banco, el hacker (que se ha colocado entre el navegador del usuario y el servidor del banco) recibe una señal. Ahora tienen la capacidad de robar cookies de sesión e información de autenticación en tiempo real y usarlas para obtener acceso a nombres de usuario y contraseñas.

Consecuencias y peligros de estos ataques

Estos tipos de ataques pueden tener como objetivo el espionaje o la estafa, o simplemente ser disruptivos. El daño causado puede variar de pequeño a enorme, dependiendo de los objetivos del atacante y su capacidad para causar daño.

Con una mayor movilidad empresarial y el uso de Wi-Fi abierto, las consecuencias de un ataque MitM pueden ser bastante graves. Por ejemplo, en el sector bancario, un atacante podría ver que un usuario está realizando una transferencia y cambiar el número de cuenta de destino, o la cantidad que se envía.

Además, los actores de amenazas podrían usar ataques Man-in-the-Middle para recopilar información personal o credenciales de inicio de sesión. Los atacantes también podrían forzar actualizaciones comprometidas que instalen malware en los dispositivos móviles de los usuarios en lugar de en los legítimos. Dado que a menudo no pueden cifrar el tráfico, los dispositivos móviles son particularmente susceptibles a este escenario.

La proliferación de dispositivos IoT plantea otro desafío con respecto a la ejecución de ataques de intermediario. La falta de seguridad en muchos dispositivos significa que el crecimiento de IoT podría presentar un aumento en los ataques MitM y enviar información falsa a la organización o instrucciones de comando y control erróneas a los propios dispositivos.

Los dispositivos de IoT tienden a ser más vulnerables a los ataques porque, por diseño, no implementan TLS ni dependen de versiones anteriores que no son tan robustas como la última versión.

Los ataques MITM son una amenaza real para Internet, independientemente de la entidad que los utilice. Estos ataques amenazan la confidencialidad de la comunicación y reducen la confianza del usuario de que su comunicación no ha sido alterada en tránsito. Los ataques MITM socavan la confianza que sustenta las funciones centrales y la confiabilidad de Internet.

¿Cómo funciona un ataque man-in-the-middle?

Supongamos que has recibido un correo electrónico que parecía ser de tu banco, solicitándote que inicies sesión en tu cuenta para confirmar tu información de contacto. Haces clic en un enlace del correo electrónico y se te lleva a lo que parece ser el sitio web de tu banco, donde inicias sesión y realizas la tarea solicitada.

En tal escenario, el hombre del medio (MITM) te envió el correo electrónico, haciendo que parezca legítimo. También creó un sitio web que se parece al sitio web de tu banco, por lo que no dudarías en ingresar tus credenciales de inicio de sesión después de hacer clic en el enlace en el correo electrónico. Pero cuando haces eso, no estás iniciando sesión en tu cuenta bancaria, estás entregando tus credenciales al atacante.

¿Cómo detectar un ataque man in the middle?

Los ataques MitM pueden ser difíciles de detectar, pero su presencia crea ondas en la actividad de red que, de otro modo, sería normal y que los profesionales de ciberseguridad y los usuarios finales pueden notar.

Aquí tienes algunas señales para detectar un ataque man in the middle:

  • Desconexiones inesperadas y / o repetidas: los atacantes desconectan a los usuarios a la fuerza para que puedan interceptar el nombre de usuario y la contraseña cuando el usuario intenta volver a conectarse. Al monitorizar desconexiones inesperadas o repetidas, puedes identificar este comportamiento de manera proactiva.
  • Direcciones extrañas en la barra de direcciones de tu navegador: si algo en la dirección parece extraño, aunque sea un poco, vuelve a verificarlo. Podría ser un secuestro de DNS. Por ejemplo, ves https: \\ www.go0gle.com en lugar de https: \\ www.google.com
  • Inicia sesión en una red Wi-Fi pública y / o no segura: ten mucho cuidado con las redes a las que te conectas y evita la red Wi-Fi pública si es posible. Los atacantes crean redes falsas con identificaciones conocidas como “local inalámbrico gratuito” o algún otro nombre común para engañar a las personas para que se conecten. Si te conectas a la red Wi-Fi del atacante, este puede ver fácilmente todo lo que envías a la red.

¿Cómo prevenir los ataques de intermediario?

Utiliza una red privada virtual (VPN) para cifrar tu tráfico web. Una VPN cifrada limita gravemente la capacidad de un pirata informático para leer o modificar el tráfico web.

Estate preparado para evitar la pérdida de datos; debes tener un plan de respuesta a incidentes de seguridad cibernética.

Hay cuatro componentes clave para prevenir y evitar ataques man in the middle:

  • Concienciación y educación: el error humano es responsable de un alto porcentaje de ciberataques como los ataques MiTM. Las personas, sin saberlo, hacen clic en un enlace incorrecto o usan sus datos de inicio de sesión en un sitio comprometido, lo que les da a los piratas informáticos acceso a todos sus datos. Para evitar esto, la educación es fundamental, especialmente en los negocios. Asegurarse de que los empleados conozcan los principios básicos de la prevención de ataques cibernéticos en general y los ataques MiTM en particular puede ahorrar mucho tiempo y dinero. Cosas simples como instruir a los empleados para que eviten las redes wifi públicas o enseñar a las personas cómo es un correo electrónico de phishing puede ser de gran ayuda para prevenir estos ataques.
  • Cifrado y VPN: el uso de cifrado en todos los dispositivos que contienen información valiosa y el uso de redes privadas virtuales (VPN) cuando se conecta a redes públicas agrega una capa adicional de protección contra los ataques MiTM. Las VPN crean un canal seguro y encriptado para los datos que se transmiten a través de Internet desde un dispositivo o una red. Utilizadas durante muchos años, las VPN para trabajadores remotos actúan como canalizaciones protegidas para todos los datos que pasan a través de ellas, lo que las hace altamente efectivas contra los ataques MiTM.
  • Actualización de firmware y software: una de las formas en que los piratas informáticos de MiTM obtienen acceso a los sistemas es explotando el software y el firmware obsoletos del sistema. Tener una política que los mantenga actualizados en todo momento ayuda a sellar los puntos potenciales de acceso MiTM. Los sistemas actualizados tienen todos los parches de seguridad actuales para problemas conocidos y dificultan el acceso de los piratas informáticos. Lo mismo debe hacerse con los enrutadores, los dispositivos de IoT y otro hardware y software conectados a tu red.
  • Seguridad de la conexión móvil: mantener seguros los dispositivos conectados a teléfonos móviles puede ser un desafío, especialmente con la gran cantidad de cambios que ocurren regularmente en la industria. El uso de la protección del receptor IMSI reduce el riesgo en toda la organización al proporcionar una cobertura completa para todos los dispositivos conectados, sin importar a qué red celular se conecten o dónde.

Seguridad de la red

Asegura tu red con un sistema de detección de intrusos. Los administradores de red deben utilizar una buena higiene de la red para mitigar un ataque de intermediario.

Analiza los patrones de tráfico para identificar comportamientos inusuales.

Tu red debe tener firewalls y protocolos sólidos para evitar el acceso no autorizado.

Utiliza herramientas de prueba de penetración de terceros, software y cifrado HTTPS para ayudar a detectar y bloquear los intentos de suplantación de identidad.

Instala una protección activa contra virus y malware que incluya un escáner que se ejecuta en tu sistema al arrancar.

Asegura tus comunicaciones

El cifrado es la mejor defensa para protegerte contra la comunicación interceptada.

El método más eficaz para detener el secuestro de correo electrónico es habilitar la autenticación de dos factores. Eso significa que, además de tu contraseña, debes proporcionar otro vector de autenticación. Un ejemplo es la combinación de Gmail de una contraseña y un mensaje de texto a tu teléfono inteligente.

Utiliza la higiene básica de seguridad de Internet en todos los dispositivos, incluidas las aplicaciones móviles.

Ten cuidado con los correos electrónicos de phishing, ya que son el vector de ataque más común. Examina cuidadosamente los enlaces antes de hacer clic.

Solo instala complementos de navegador de fuentes confiables.

Minimiza el potencial de ataques cerrando la sesión de las cuentas no utilizadas para invalidar las cookies de sesión.

Si esperas una conexión cifrada pero no tiene una, detén lo que estás haciendo y ejecuta un análisis de seguridad.

Si usas Google Chrome, instala una extensión de seguridad de Chrome, como HTTPS Everywhere, que fuerza una conexión SSL siempre que sea posible.

Deberías ver un candado verde o gris justo a la izquierda de la dirección web en tu navegador. Si alguna vez ves un candado rojo, eso significa que hay algún problema con el cifrado; verifica los nombres de dominio y tu navegador antes de visitar un sitio inseguro.

Deshabilita la “compatibilidad con Punycode” (para renderizar caracteres de diferentes idiomas) en tu navegador.

Agrega una solución de gestión de contraseñas empresarial; esto evitará el autocompletado de contraseñas en un sitio infame.

Evita el uso de redes wifi públicas. Si debes utilizar una red inalámbrica pública, configura tu dispositivo para que requiera una conexión manual.

Ten en cuenta que algunos ataques son una forma de ingeniería social. Si algo no parece correcto acerca de un sitio web o correo electrónico, tómate unos minutos para profundizar un poco más.

Ejemplo de ataque man in the middle

¿Cómo hacer un ataque man in the middle? Un ejemplo clásico es la interceptación de datos por el atacante.

El atacante instala un rastreador de paquetes para analizar el tráfico de la red en busca de comunicaciones inseguras.

Cuando un usuario inicia sesión en un sitio, el atacante recupera su información de usuario y lo redirige a un sitio falso que imita al real.

El sitio falso del atacante recopila datos del usuario, que el atacante puede usar en el sitio real para acceder a la información del objetivo.

En este escenario, un atacante intercepta una transferencia de datos entre un cliente y un servidor. Al engañar al cliente haciéndole creer que todavía se está comunicando con el servidor y el servidor haciéndole creer que todavía está recibiendo información del cliente, el atacante puede interceptar los datos de ambos e inyectar su propia información falsa en cualquier transferencia futura.

En 2011, el sitio de registro holandés DigiNotar fue violado, lo que permitió a un ciberdelincuente obtener acceso a 500 certificados para sitios web como Google, Skype y otros. El acceso a estos certificados permitió al atacante hacerse pasar por sitios web legítimos en un ataque MITM, robando los datos de los usuarios después de engañarlos para que ingresaran contraseñas en sitios espejo maliciosos. DigiNotar finalmente se declaró en quiebra como resultado de la infracción.

En 2017, la empresa de calificación crediticia Equifax eliminó sus aplicaciones de Google y Apple después de que una infracción provocara la filtración de datos personales. Un investigador descubrió que la aplicación no usaba HTTPS de manera constante, lo que permitía a los atacantes interceptar datos cuando los usuarios accedían a sus cuentas.

Related posts
Ciberseguridad

NetWalker, el ransomware que se aprovechó del Covid-19 para atacar centros educativos y de salud

6 Mins read
Los cibercriminales también se aprovechan de la actualidad para hacer negocio, cómo vamos a ver en este artículo sobre el ransomware NetWalker,…
CiberseguridadCloud Computing

DPaaS o data protection as a service, una tendencia en alza

7 Mins read
En este artículo vamos a hablaros de un servicio en la nube que cada vez cobra más importancia y presencia, el DPaaS…
CiberseguridadInternet

¿Es seguro registrarse con tu cuenta de Google, Twitter o Facebook?

5 Mins read
Hasta no hace mucho tiempo, cada vez que queríamos hacernos una cuenta de usuario en una web o aplicación, teníamos que crear…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.