¿Qué es un ataque Man in the Middle? Funcionamiento y prevención

Si bien la naturaleza de los ciberataques cambia constantemente y nuestras vidas se ven cada vez más influenciadas, si no afectadas, por los problemas de salud global, lo que hace que nuestra ciberseguridad sea aún más vulnerable, la información sigue siendo la herramienta más poderosa que tenemos. Cuando se trata de la ciberseguridad de tu negocio, el llamado ataque Man-in-the-Middle es una de las amenazas que debes conocer.

Los ataques de Man in the Middle (MitM) han existido desde los albores de los tiempos. El principio es simple: un chico malo se inserta en medio de una conversación entre dos partes y transmite los mensajes del otro sin que ninguna de las partes se dé cuenta de la tercera persona. En un contexto de Internet, esto significa que la parte intermedia tiene la capacidad de leer todo lo enviado por cualquiera de las partes y también modificarlo.

Vamos a analizar en este artículo qué es un ataque MitM, cómo funciona, cómo detectarlo y prevenirlo y los ejemplos más conocidos.

¿Qué es un ataque Man in the Middle?

El ataque del hombre en el medio es un método de espionaje en el que el atacante se coloca entre un usuario y la aplicación con la que se está comunicando. En algunos casos, es posible que simplemente escuchen las comunicaciones, aunque pueden optar por hacerse pasar por la aplicación sin que la víctima se dé cuenta de que no se están comunicando con la aplicación real.

En todos los casos, el objetivo final es el mismo: robar información personal, ya sean contraseñas, información financiera u otro material sensible. Los ataques de hombre en el medio (MitM) están muy extendidos; algunas estimaciones creen que un tercio de todos los ataques usan ataques MitM para robar información confidencial.

El atacante debe permanecer invisible para la víctima para que un ataque MitM tenga éxito. Si bien esto puede parecer complicado, los piratas informáticos se han vuelto expertos en explotar fallas y puertas traseras en redes y tecnologías de Internet, creando versiones falsas idénticas de las aplicaciones a las que apuntan.

Es más probable que se utilicen redes Wi-Fi públicas durante un ataque de intermediario porque, por lo general, son menos seguras que las conexiones a Internet privadas. Los delincuentes se interponen al comprometer el enrutador de Internet, al escanear en busca de fallas sin parche u otras vulnerabilidades. El siguiente paso es interceptar y descifrar los datos transmitidos por la víctima utilizando varias técnicas.

Los más susceptibles a un ataque man-in-the-middle son los sitios financieros, otros sitios que requieren un inicio de sesión y cualquier conexión destinada a ser protegida por una clave pública o privada.

¿Dónde ocurren estos ataques?

Hay muchos tipos de ataques man-in-the-middle pero, en general, sucederán de cuatro formas:

  • Redes públicas: corres el mayor riesgo cuando te conectas a cualquier red pública. Esto significa conexiones Wi-Fi públicas en aeropuertos o cafés, cualquier red sin restricciones de acceso. Es más fácil para un atacante convertirse en intermediario porque muchas técnicas funcionan mejor en redes de área local y redes Wi-Fi.
  • En tu computadora: pueden instalar malware que monitoriza y modifica tu conexión a Internet (como un hombre en el navegador) o sufrir un ataque de phishing que secuestra tu conexión al atraerte a sitios que actúan como el hombre del medio en el navegador.
  • Enrutador: los enrutadores a menudo los proporciona tu proveedor de servicios de Internet y tienen configuraciones de seguridad predeterminadas. Esto significa que muchos enrutadores tienen las credenciales de inicio de sesión predeterminadas (como administrador / contraseña) o tienen un firmware desactualizado que podría tener una vulnerabilidad conocida.
  • Servidor web: el atacante obtiene acceso al servidor web genuino con el que pretendías comunicarte.

¿Cómo funciona?

Hay dos fases de un ataque Man in the Middle: la fase de interceptación, donde el tráfico de la víctima se redirige a algún lugar donde el atacante puede ver su contenido, y la fase de descifrado, donde los piratas informáticos quitan el tráfico SSL o TLS de su supuesta capa protectora de cifrado.

Interceptación

En la fase de interceptación, el atacante intenta engañar a las víctimas para que compartan datos personales haciéndose parecer legítimos. Algunas técnicas utilizadas en los ataques MitM son:

  • Suplantación de Wi-Fi: en este vector de ataque, el atacante crea puntos de acceso Wi-Fi públicos gratuitos y de apariencia legítima. Por ejemplo, un atacante en una cafetería podría usar un nombre de punto de acceso como «CoffeeShopPublicWifi». Estas redes están desprotegidas y el atacante tendría acceso completo a cualquier dato enviado a través de esta red pública.
  • Suplantación de DNS: un atacante obtiene acceso a un servidor DNS y modifica los registros para reenviar solicitudes al sitio web del atacante. Estos ataques son algunos de los más difíciles pero los más gratificantes para el atacante porque pueden atrapar a muchas más víctimas, ya que los servidores DNS son la columna vertebral de Internet.
  • Suplantación de IP: este método más avanzado implica alterar los encabezados de los paquetes para una dirección IP en particular. Cuando tiene éxito, las solicitudes a una URL o aplicación legítimas se reenvían al sitio web o aplicación falsos del atacante.
  • Suplantación de ARP: cada dispositivo de una red recibe un identificador único, llamado dirección de control de acceso a medios (MAC), para comunicarse. El Protocolo de resolución de direcciones (ARP) se utiliza para encontrar la dirección MAC de una dirección IP determinada. Un atacante se vincula a una dirección IP legítima en la red a través de mensajes ARP falsos.

Descifrado

Las tecnologías como SSL y su sucesor TLS están destinadas a mantener nuestros datos confidenciales seguros y cifrados. Sin embargo, existen vulnerabilidades que los atacantes han aprendido a aprovechar. Los siguientes tipos son los más comunes:

  • Suplantación de HTTPS: el atacante envía a la víctima un certificado falso cuando se establece por primera vez una conexión segura. El certificado falso le permite al atacante ver cualquier dato antes de que pase a la aplicación.
  • Secuestro de sesión SSL: el atacante envía claves de autenticación falsas a la aplicación y a la víctima durante el proceso de conexión. El atacante ahora puede esconderse detrás de lo que parece ser una conexión segura legítima. El secuestro de sesiones es un ejemplo de cómo atacantes malintencionados piratean MFA.
  • Explotación del navegador: los exploits del navegador, como SSL Beast, se utilizan para descifrar datos, apuntando a vulnerabilidades dentro de SSL y TLS. En el caso de SSL Beast, JavaScript malicioso atrapa las cookies cifradas enviadas por una aplicación para descifrar cualquier dato sensible.

¿Son peligrosos los ataques de intermediario?

Los ataques de intermediario son peligrosos y generalmente tienen dos objetivos:

  • Obtener acceso a datos sensibles e información personal; y / o
  • Manipular el contenido de un mensaje transmitido.

En la práctica, esto significa tener acceso a:

  • Información de identificación personal y otra información confidencial para el robo de identidad.
  • Credenciales de inicio de sesión en una red Wi-Fi pública para obtener acceso no autorizado a cuentas bancarias en línea.
  • Robar números de tarjetas de crédito en un sitio de comercio electrónico.
  • Redirigir el tráfico en puntos de acceso Wi-Fi públicos desde sitios web legítimos a sitios que alojan malware.

Los objetivos comunes de los ataques MITM son los sitios web y los correos electrónicos. Los correos electrónicos de forma predeterminada no usan cifrado, lo que permite al atacante interceptar y falsificar correos electrónicos del remitente solo con sus credenciales de inicio de sesión.

Un ataque de hombre en el medio es peligroso. Los usuarios finales pueden continuar con su negocio durante días o incluso semanas sin darse cuenta de que algo anda mal. En consecuencia, es casi imposible saber, durante ese tiempo, qué datos estuvieron expuestos a actores malintencionados. Para obtener más información sobre lo que sucedió, a menudo se requiere un buen conocimiento de las prácticas de seguridad y el protocolo de comunicación móvil o de Internet. Afortunadamente, existen algunas medidas de seguridad que puedes tomar para estar seguro.

Ejemplos de ataques MitM famosos

Aquí tienes algunos ejemplos famosos de ataques MitM:

El complot de Babington

En 1586 había un plan para asesinar a la reina Isabel I y poner a María, reina de Escocia en el trono inglés. Las comunicaciones entre María, Reina de Escocia y sus cómplices fueron interceptadas, decodificadas y modificadas por Robert Poley, Gilbert Gifford y Thomas Phelippes, lo que llevó a la ejecución de la Reina de Escocia.

El caso Marconi

El primer ataque de hombre en el medio registrado en la historia tuvo lugar mucho antes de que se inventara Internet e involucra a Guglielmo Marconi, ganador del premio Nobel considerado el inventor de la radio. ¿Qué sucedió? Cuando un asesor legal de Marconi, el profesor Fleming, estaba haciendo una demostración de transmisión inalámbrica de un lugar a otro, un Sr. Maskelyne, con su propio receptor, interceptó el mensaje que se suponía que se enviaría desde Cornwall al Royal Institute y luego transmitió su propio mensaje.

Interceptaciones de la Segunda Guerra Mundial

Varios años después del caso Marconi, durante la Segunda Guerra Mundial, los ataques de intermediarios orquestados por la inteligencia británica tuvieron como objetivo las fuerzas nazis. Los operadores de Aspidistra (un transmisor de radio de onda media británico) solían transmitir mensajes falsos a los oyentes alemanes, con la intención de desmoralizarlos.

Incluso la decodificación de Enigma puede considerarse un caso de ataque de intermediario.

Belkin

En 2003, un enrutador de red inalámbrica Belkin perpetró un ataque no criptográfico. Periódicamente, se haría cargo de la conexión HTTP que se enruta a través de ella, no pasa el tráfico al destino y responde como el servidor previsto. En la respuesta que envió, reemplazaría la página web solicitada por el usuario con un anuncio de otro producto de Belkin. Esta «característica» se eliminó posteriormente.

El incidente de Lenovo

Más cerca de nuestros tiempos, desde diciembre de 2014, los puntos finales de Lenovo tenían un software preinstalado llamado Superfish Visual Search que facilitaba la colocación de publicidad incluso en páginas cifradas. El software podría ser eliminado por Windows Defender gracias a una actualización lanzada por Microsoft en febrero de 2015.

Detectar ataques MitM

Detectar un ataque de intermediario puede ayudar a una empresa o persona a mitigar el riesgo potencial que pueda causar un ciberdelincuente. Aquí tienes algunos métodos para detectarlos:

Analizar direcciones web extrañas

Haz que tu equipo supervise sus navegadores web en busca de direcciones web extrañas en la barra de búsquedas o en la barra de la URL. El secuestro del DNS puede crear suplantaciones de direcciones comunes, por lo general a través de cambios que suelen pasar desapercibidos. Por ejemplo, un atacante puede reemplazar «www.facebook.com» por «www.faceb00k.com». Este método de suplantación funciona sorprendentemente bien, ya que la mayoría de las personas no se da cuenta de los cambios si no se fija más de cerca.

Desconexiones inesperadas y retrasos en la red

Algunos tipos de ataques de intermediario pueden causar retrasos en la red repentinos e inesperados o incluso desconexiones completas. Esto puede ocurrir de forma esporádica y normalmente no van acompañados de problemas de red u otros síntomas obvios.

Si tu equipo experimenta desconexiones frecuentes o retrasos en su red, podría ser una buena idea observar con atención el problema para saber si se trata solo de un problema de red.

Supervisar redes wifi públicas

A menudo, los atacantes interceptan la información enviada en redes públicas o incluso crean redes falsas en lugares públicos. Estas redes permiten a los ciberdelincuentes ver toda la actividad web de tu equipo sin que ni siquiera sepas que te están atacando. Evita las redes wifi públicas siempre que sea posible y haz que tu equipo utilice una VPN si se conecta a una red wifi pública. Anima a tu equipo a que también evite conectarse a redes extrañas con nombres sospechosos.

Cómo prevenir un ataque Man in the Middle

A pesar de las infinitas formas en que estos ataques pueden desarrollarse, en realidad solo hay algunas cosas que se explotan una y otra vez. Para protegerse contra los ataques MitM, existen dos requisitos clave:

  • No repudio: el mensaje proviene de la persona o dispositivo del que dice que proviene.
  • Integridad del mensaje: el mensaje no se ha modificado desde que dejó el control del remitente

Ten en cuenta que la palabra «mensaje» se utiliza de forma genérica para referirse a muchos conceptos, como correos electrónicos completos o paquetes de datos que se encuentran en una parte inferior de la pila. Se aplican los mismos conceptos, independientemente del tipo de datos.

Las formas de evitar convertirse en víctima de un ataque MitM incluyen:

Utiliza HTTPS siempre que sea posible

Ver HTTPS en la barra de direcciones de tu navegador asegura que tu conexión al sitio web está encriptada. No significa que debas confiar en ese sitio web más que en cualquier otro, solo significa que tus datos están encriptados mientras viajan entre tu dispositivo y el sitio. Los sitios web maliciosos pueden jugar un papel en la preparación de un ataque MitM, por lo que vale la pena tener cuidado con cada sitio web que visites para asegurarte de que sea legítimo para empezar.

HTTPS usa Transport Layer Security (TLS), también conocido como SSL (Secure Sockets Layer). SSL es un predecesor de TLS, pero el nombre parece haberse quedado.

TLS y HTTP trabajan juntos para producir HTTPS que proporciona cifrado y no repudio. Cuando tu navegador se conecta por primera vez a un sitio HTTPS, negocia con el servidor. Durante ese proceso, el navegador examina el certificado del servidor para validar que se está conectando al sitio que piensa (no repudio) y también genera un conjunto de claves de cifrado de sesión. Esas claves se utilizan durante la sesión posterior para cifrar datos, lo que a su vez garantiza la integridad del mensaje.

Existen complementos de navegador que obligarán a tu navegador a utilizar HTTPS siempre que esté disponible en un sitio. Dado que muchos sitios admiten HTTPS, pero no están necesariamente configurados para obligar a los navegadores a usarlo, los complementos como este pueden ayudar mucho.

Utiliza un navegador que admita la fijación de claves públicas

Algunos ataques MitM pueden ser muy elaborados. Dado que una gran cantidad de protección proviene de TLS y el cifrado, y dado que el cifrado es difícil de romper, puede ser más fácil para los atacantes avanzados imitar un sitio web. Por ejemplo, los navegadores confían en los certificados TLS porque están firmados por las autoridades de certificación (CA) en las que confía el navegador. Si el atacante compromete con éxito una CA, entonces puede emitir certificados válidos para cualquier dominio en el que los navegadores web confíen. Una vez que puede hacerse pasar por un sitio web legítimo, el único desafío que queda es lograr que los usuarios visiten ese sitio a través de técnicas estándar de phishing.

Este fue el caso en 2011 cuando la CA holandesa DigiNotar se vio comprometida y se crearon certificados para engañar a un gran número de usuarios iraníes de Gmail para que renunciaran a sus nombres de usuario y contraseñas de Google.

La fijación de claves públicas HTTP (HPKP) es un método mediante el cual los propietarios de sitios web pueden informar a los navegadores qué claves públicas utilizará el sitio web. Si un navegador visita ese sitio y se le presenta alguna otra clave pública que no está en la lista, eso es un indicador de que el sitio, o al menos el certificado TLS, no es válido.

La fijación debe realizarla el propietario del servidor, pero puedes protegerte como usuario utilizando un navegador que admita la fijación de clave pública. A partir de esta fecha, Firefox (versión 32), Chrome (versión 56) y Opera lo admiten. Internet Explorer y Edge no lo hacen.

Utiliza una red privada virtual (VPN)

Una VPN crea un túnel encriptado entre tu dispositivo y el servidor VPN. Todo tu tráfico pasa por este túnel. Esto significa que incluso si te ves obligado a usar un sitio que no sea HTTPS, o incluso si te han engañado para que uses un punto de acceso wifi malicioso, aún mantienes cierto grado de protección contra MitM.

Considera el problema del punto de acceso wifi. Si te has conectado al punto de acceso falso de un atacante, este podrá ver todo tu tráfico. Pero, dado que todo tu tráfico está encriptado cuando usas una VPN, todo lo que obtiene es un montón de datos encriptados ilegibles que proporcionan muy pocos datos. Usar una VPN todo el tiempo es una buena idea, pero usarla en situaciones imprecisas, como una red wifi pública, es imprescindible.

Utiliza un navegador que admita HTTP Strict Transport Security (HSTS)

HTTPS es un muy buen paso hacia la prevención de ataques MitM en la web, pero también existe una debilidad potencial. Para que el propietario de un sitio web obligue a los visitantes a utilizar HTTPS, existen dos opciones.

La primera es simplemente cerrar el puerto HTTP 80 sin cifrar por completo. Esto significa que las personas que intenten acceder al sitio mediante http: // no obtendrán nada y el sitio simplemente agotará el tiempo de espera. La mayoría de los propietarios de sitios web no quieren que sus visitantes tengan esta experiencia negativa, por lo que dejan el puerto 80 abierto, pero solo lo usan para enviar un código de redirección HTTP 301 que le dice a los navegadores que vayan a https: //.

En la práctica, esto funciona bien, pero existe la posibilidad de que un atacante ejecute un ataque de degradación durante ese redireccionamiento. Un ataque de degradación puede obligar a un servidor web a utilizar cifrados criptográficos más débiles, lo que facilita un ataque MitM posterior.

Los sitios web que emplean HSTS envían encabezados al navegador durante la primera conexión que dirigen al navegador a usar HTTPS. Luego, el navegador desconecta la sesión existente y se vuelve a conectar mediante HTTPS. Si bien esto puede parecer una pequeña diferencia, disminuye en gran medida el vector de ataque del redireccionamiento estándar de HTTP a HTTPS. Casi todos los navegadores modernos son compatibles con HSTS, pero hay muchos navegadores en el mercado, por lo que vale la pena confirmar que tu navegador específico lo admite.

Asegúrate de que tu empresa tenga una política de actualización de software

Una política de actualización de software te ayuda a sellar los puntos de acceso potenciales para un ataque de intermediario porque los sistemas actualizados incluyen todos los parches de seguridad actuales para problemas conocidos. Se debe considerar lo mismo para cualquier enrutador o dispositivo IoT conectado a tu red.

Adoptar un modelo de seguridad de confianza cero

Aunque pueda parecer demasiado, exigir que tus empleados se autentiquen cada vez que se conectan a tu red, independientemente de dónde se encuentren, hará que a los piratas informáticos les resulte más difícil hacerse pasar por otra persona. Tendrían que demostrar su identidad antes de acceder a la red en primer lugar.

Evita almacenar información confidencial

Guardar contraseñas en navegadores web o almacenar información de tarjetas de crédito en sitios web de compras puede ahorrarle un poco de tiempo, pero también lo hace más vulnerable a los piratas informáticos. Debes intentar evitar almacenar información confidencial en sitios web y también acostumbrarse a borrar tus cookies con regularidad. Si usas Chrome, puedes hacerlo accediendo a Historial> Borrar historial de navegación y marcando la casilla de verificación «Cookies y otros datos del sitio».

Conclusión

El ataque MITM es un tipo de ataque en el que un hacker se coloca entre dos usuarios para robar y modificar información sensible. Hay varias formas en que un hacker puede realizar ataques MITM, como escuchas WiFi, secuestro de sesiones, suplantación de https, etc.

Podemos usar el cifrado para prevenir estos ataques hasta cierto punto, ya que los mensajes cifrados son mucho más complejos de leer para cualquiera. El cifrado simétrico y asimétrico son las dos técnicas mediante las cuales podemos asegurarnos de que los datos transferidos estén protegidos. Seguir un conjunto de instrucciones y algunas prácticas estándar puede de alguna manera evitar que seamos el objetivo de estos ataques.