Los ataques de hombres en el medio /o de intermediario (MitM, Man-in-The-Middle), son esencialmente la forma moderna de escuchas a escondidas. Sin embargo, no es tan simple: los ataques MitM también incluyen el uso de inyección o alteración de contenido, así como otras tácticas. ¿Exactamente cómo funcionan estos hackeos? ¿Cómo acceden los cibercriminales y roban información – y cómo evolucionan sus técnicas?
Aquí hay una mirada más cercana a los elementos de un ataque MitM, cómo funcionan, y cómo las organizaciones pueden evitar convertirse en una víctima.
Todo Sobre el Ataque MitM (Man-in-The-Middle)
¿Qué es un Ataque de Hombre en el medio (Man in the middle)?
Como su nombre indica, un ataque de tipo “hombre en el medio” o Man-in-The-Middle (MITM) es un tipo de ciberataque en el que un tercero se infiltra en una conversación entre un usuario de la red y una aplicación web. El objetivo de un ataque MITM es recopilar subrepticiamente información, como datos personales, contraseñas o detalles bancarios, y/o hacerse pasar por un tercero para solicitar información adicional o estimular la acción. Estas acciones pueden incluir el cambio de credenciales de acceso, la finalización de una transacción o el inicio de una transferencia de fondos.
Si bien los ataques man-in-the-middle suelen dirigirse contra personas, también es una preocupación importante para las empresas y grandes organizaciones. Un punto de acceso común para los hackers es a través de aplicaciones de software como servicio (SaaS), como servicios de mensajería, sistemas de almacenamiento de archivos o aplicaciones de trabajo remoto. Los atacantes pueden utilizar estas aplicaciones como una entrada a la red más amplia de la organización y comprometer potencialmente cualquier número de activos, incluidos los datos de los clientes, la propiedad intelectual o la información propietaria sobre la organización y sus empleados.
¿Cómo Funciona el ataque MiTM?
De muchas maneras, incluyendo IP, DNS, HTTPS spoofing, SSL/email hijacking, y Wi-Fi eavesdropping. Un ataque común involucra a un hacker que establece un falso punto de acceso público a Wi-Fi para que la gente se conecte, por ejemplo ya he publicado un artículo de Cómo espiar tu red WiFi con WiFi Pumpkin.
La gente creerá que está accediendo a un hotspot legítimo, pero, en realidad, se están conectando a un dispositivo que permite al hacker registrar todas sus pulsaciones de teclas y robar los nombres de inicio de sesión, las contraseñas y los números de tarjetas de crédito.
Otra táctica popular de MitM es un complemento de navegador fraudulento instalado por un usuario, pensando que ofrecerá descuentos y cupones de compra. El complemento procede entonces a vigilar el tráfico de navegación del usuario, robando información sensible como contraseñas y/o cuentas bancarias, y las envía subrepticiamente fuera de la banda.
Los hackers también están mejorando su juego, especialmente cuando se dirigen a dispositivos móviles. Por ejemplo, dos tipos principales de ataques MitM que afectan a los usuarios de móviles son los siguientes:
- El primero es cuando el atacante tiene el control físico de la infraestructura de la red, como un punto de acceso Wi-Fi, y es capaz de fisgonear el tráfico que fluye a través de ella.
- El segundo es cuando el atacante manipula el protocolo de red que se supone que ofrece encriptación, exponiendo esencialmente datos que deberían haber sido protegidos.
Pero hay muchos otros medios más insidiosos, como la eliminación de SSL. En este escenario, cuando un usuario realiza una solicitud HTTP para iniciar una sesión HTTPS segura, los atacantes interceptan esta solicitud y, en su lugar, establecen una conexión segura con ellos mismos y una conexión insegura con la víctima. Ahora los atacantes actúan como un puente entre ellos y pueden ver toda la información de la víctima en texto plano.
Técnicas
Los ciberdelincuentes utilizan una amplia variedad de métodos para llevar a cabo ataques MITM. Algunas técnicas comunes incluyen:
- Imitar un protocolo de Internet (IP) establecido para engañar a los usuarios para que proporcionen información personal o estimular una acción deseada, como iniciar una transferencia bancaria o un cambio de contraseña
- Redirigir a un usuario de un destino conocido a un sitio web falso para desviar el tráfico y /o recopilar credenciales de inicio de sesión y otra información personal
- Simular un punto de acceso Wi-Fi (evil twin) para interceptar cualquier actividad web y recopilar información personal
- Crear certificados de Capa de Sockets Seguros (SSL) ilegítimos, que dan la apariencia de una conexión segura a los usuarios aunque la conexión se haya visto comprometida.
- Redirigir el tráfico a un sitio web no seguro, que luego recopila credenciales de inicio de sesión e información personal
- Escuchar a escondidas la actividad web, incluido el correo electrónico, para recopilar información personal e impulsar sobre otras actividades fraudulentas, como intentos de phishing
- Robar cookies del navegador, que contienen información personal
Ejemplo: Un Ataque MITM al tráfico HTTPS
Según Zdnet, en 2019 los usuarios de operadores móviles kazajos que intentaban acceder a Internet recibieron mensajes de texto que indicaban que necesitaban instalar certificados root/raíz emitidos por el gobierno en sus dispositivos móviles y de escritorio. Exigir que los usuarios de Internet instalen certificados raíz que pertenecen al gobierno podría darle al gobierno la capacidad de interceptar el tráfico HTTPS cifrado y realizar un ataque MITM para romper la comunicación segura. Esto significa que el gobierno podría ver, monitorear, registrar e incluso bloquear las interacciones entre los usuarios kazajos y cualquier sitio web, incluidos bancos, proveedores de correo electrónico, redes sociales y servicios públicos críticos como electricidad, elecciones, hospitales y transporte. Una vez instalados estos certificados, los usuarios no tienen forma de saber si sus comunicaciones ya no son seguras. Los navegadores seguirán mostrando un símbolo de candado u otro indicador de que el tráfico está “encriptado y seguro”, pero el tráfico que parece seguro no lo es. La introducción de esta debilidad socava la seguridad de Internet y erosiona la confianza en la infraestructura global de claves públicas.
¿Cómo están Evolucionando los Ataques MitM?
Con la expansión de los dispositivos de Internet de las Cosas (IoT) en la vida cotidiana, las posibilidades de los ataques MitM también se han incrementado. Muchas de estas tecnologías se desarrollaron sin tener en cuenta la seguridad, y los usuarios las están desplegando más rápido de lo que la seguridad puede mantener el ritmo. Por ejemplo, los investigadores están desenterrando vulnerabilidades peligrosas relacionadas con las comunicaciones de radiofrecuencia (RF) no seguras en los sistemas incorporados en los dispositivos industriales y médicos.
Los hackers siguen buscando nuevas estrategias para atrapar a los usuarios con la guardia baja con el ataque de MitM
Un ejemplo destacado (investigado correctamente por CheckPoint), se refiere a una startup israelí que perdió una parte significativa de la financiación de capital de riesgo debido a un elaborado ataque MitM de varios pasos. El ataque comenzó con una intromisión en el correo electrónico (email snooping), dio lugar a una transferencia electrónica fraudulenta y terminó con un robo de un millón de dólares.
El ataque fue descubierto cuando la empresa china de capital de riesgo que intentaba transferir los fondos a la puesta en marcha fue alertada por su banco de un problema con la transacción. Poco después, la nueva empresa israelí se dio cuenta de que no había recibido la financiación inicial que esperaba. Check Point se involucró una vez que las dos partes se dieron cuenta de que habían sido engañadas.
Mejores Prácticas para Prevenir Ataques MiTM
La educación del usuario sigue siendo la defensa número uno para evitar los ataques de MitM.
Usa una VPN, evade el Wi-Fi público, y verifica que los sitios en los que te conectas son legítimos asegurándote de que usan conexiones seguras, HTTPS.
Aquí hay algunos consejos a los que debes prestar atención:
- Eviten instalar software o complementos innecesarios, especialmente aquellos que ofrecen algo gratis. Esto reduce la probabilidad de que instales algo que pueda implementar un ataque MitM.
- Sólo descarga software o complementos de sitios legítimos. Asegúrate de no descargar software o complementos de sitios de distribución de terceros, ya que éstos pueden estar distribuyendo malware o software alterado.
- Navega a los sitios escribiendo la URL en lugar de hacer clic en un enlace, especialmente los sitios que requieren que introduzcas información personal identificable.
- Utiliza un servicio proxy de un proveedor de confianza (por ejemplo, Proxy6.net). Estos servicios te permiten crear un túnel cifrado que sería difícil de comprometer para los ataques MitM.
- Elegir contraseñas seguras (aquí tienes un generador de contraseñas eficaz) y cambiarlas con regularidad.
- Habilitar la autenticación multifactor (MFA) en todos los activos y aplicaciones de red
- Implemente una solución integral de detección y monitoreo de amenazas (para organizaciones)
- Segmentar la red para garantizar que se contengan las posibles infracciones (para organizaciones)
- Educar a los empleados sobre los riesgos de las redes Wi-Fi abiertas (para organizaciones)
Si bien los ataques MITM pueden sucederle a cualquier persona, comprender qué son, saber cómo ocurren y tomar medidas activas para prevenirlos puede protegerte de ser una víctima.
