Prevenir daños se vuelve aún más complicado cuando no conoces la causa.
Los ataques de intermediario, también conocidos como ataques de máquina en el medio, mono en el medio o persona en el medio, causan interrupciones donde los usuarios generalmente no son conscientes de su causa. Los atacantes interceptan redes y descifran intercambios de datos en un ataque de intermediario para explotar los datos de la víctima y comprometer la ciberseguridad.
Necesitas establecer medidas preventivas sólidas utilizando herramientas como software de encriptación, software de red privada virtual y otros para protegerte contra ataques de intermediario. Ayudará a garantizar la seguridad de la red y la protección de datos mientras se cumple con varios estándares de la industria.
¿Qué es un ataque de intermediario?
Un ataque de intermediario (MITM) involucra a un perpetrador que retransmite o altera secretamente las comunicaciones entre dos partes, quienes creen que su comunicación es segura. Es un tipo de ataque de escucha donde los atacantes se insertan en el 'medio' de los intercambios de información y se hacen pasar por una persona legítima involucrada en la comunicación.
Los atacantes interceptan información y pueden enviar enlaces o archivos adjuntos maliciosos a las dos partes involucradas sin ser detectados.
Los ataques de intermediario pueden ser un tipo de secuestro de sesión que causa daño a la ciberseguridad de una organización. Por ejemplo, en 2017, Equifax enfrentó una violación de datos que llevó a la filtración de los datos personales de 147 millones de personas. Más tarde, se descubrió que el sitio web no usaba consistentemente el Protocolo Seguro de Transferencia de Hipertexto (HTTPS), lo que permitió a los atacantes interceptar datos en una sesión de usuario.
Las personas involucradas en un ataque de intermediario incluyen:
- Persona A y Persona B: Personas legítimas que están intercambiando información.
- Atacante: Perpetradores que interceptan la comunicación entre las dos partes sin despertar sospechas.
El objetivo principal en un ataque de intermediario es robar información sensible o información personalmente identificable (números de tarjetas de crédito, números de seguridad social, etc.) y enviar enlaces maliciosos o malware a una víctima para explotar aún más sus activos.
Los atacantes pueden llevar a cabo robo de identidad o transferencias de fondos no autorizadas, y muchas otras actividades maliciosas utilizando la información obtenida en un ataque de intermediario. A veces, los perpetradores pueden usar los datos interceptados para llevar a cabo ataques cibernéticos más grandes.
Otra forma de ataque de intermediario es un ataque de intermediario en el navegador. Un atacante intercepta un canal de comunicación entre dos partes legítimas comprometiendo un navegador web utilizado por cualquiera de ellas. Explotan vulnerabilidades de seguridad o alteran las funcionalidades del navegador para modificar el comportamiento del navegador e insertarse en el canal de comunicación.
¿Cómo funciona un ataque de intermediario?
Un ataque de intermediario involucra dos fases: intercepción y descifrado. En la fase de intercepción, un atacante intercepta el tráfico del usuario antes de que llegue al destino. Una vez que el tráfico es interceptado, se descifra para revelar la información sin alertar a las partes legítimas.
Supongamos que recibes un correo electrónico del sitio web de tu banco pidiéndote que realices una actividad urgente. Accedes al enlace, te autenticas en el sitio web que parece ser el de tu banco y realizas la tarea. Aquí, el correo electrónico fue un intento de ingeniería social (phishing) llevado a cabo por un intermediario, engañándote para que intentes iniciar sesión en un sitio web malicioso y reveles tus credenciales de inicio de sesión. El atacante puede entonces usarlas para llevar a cabo actividades fraudulentas.
Técnicas de intercepción
La forma más sencilla en que un atacante puede interceptar una comunicación es creando un punto de acceso Wi-Fi gratuito y público. Cuando las víctimas se conectan a estos puntos de acceso, los atacantes obtienen visibilidad sobre los intercambios de datos en curso.
El spoofing es un ataque cibernético que ocurre cuando un atacante se hace pasar por una marca o contacto de confianza en un intento de engañar a un objetivo para que revele información sensible. Los perpetradores pueden interceptar intercambios de información a través de múltiples enfoques activos.
Suplantación del Sistema de Nombres de Dominio (DNS)
La suplantación de DNS, también conocida como envenenamiento de caché DNS, es una técnica que los atacantes utilizan para dirigir a los usuarios a sitios web maliciosamente diseñados en lugar de a los genuinos. Involucra la explotación de vulnerabilidades en un servidor DNS para desviar el tráfico de un servidor legítimo.
El atacante se inserta en el medio del servidor DNS y el navegador del usuario y realiza modificaciones en ambos para alterar la caché. Esto resulta en una redirección a un sitio web malicioso alojado en el servidor local del atacante.
Cuando una víctima es redirigida a un sitio web malicioso, se le solicita que ingrese sus credenciales de inicio de sesión. Esto revela su información sensible a los atacantes. Además, los atacantes pueden suplantar y engañarte para que instales malware que podría causar interrupciones más significativas. Las organizaciones pueden usar software de seguridad DNS para protegerse de ataques de suplantación de DNS o envenenamiento de caché DNS.
Suplantación de protocolo de internet (IP)
Los datos se transfieren a través de internet en forma de múltiples paquetes fragmentados. Estos paquetes se reensamblan al final para constituir la información original. Tienen una dirección IP de origen y una dirección IP de destino. Los atacantes modifican estas direcciones en la suplantación de IP, engañando al sistema para que crea que provienen de una fuente confiable.
Los actores maliciosos utilizan esta técnica para llevar a cabo ataques de denegación de servicio (DoS). También puede usarse en un ataque de intermediario, donde los atacantes alteran los encabezados de los paquetes en una IP. Cuando los usuarios intentan acceder a una URL conectada a la aplicación web maliciosamente modificada, son dirigidos al sitio web del atacante.
Suplantación del Protocolo de Resolución de Direcciones (ARP)
Los atacantes envían un mensaje ARP falsificado a una red de área local en la suplantación de ARP. Esto resulta en la vinculación de direcciones IP de las computadoras o servidores de un usuario legítimo a las direcciones Mac de los atacantes.
Los ataques de suplantación de ARP solo pueden ocurrir en LANs que utilizan ARP. Una vez que la dirección IP del usuario está conectada a la dirección Mac del atacante, cualquier dato transmitido por un usuario a la dirección IP del host será accesible para los atacantes.
Técnicas de descifrado
Cuando un atacante ha interceptado la comunicación, el siguiente paso es descifrarla sin alertar a las partes legítimas involucradas. Hay varios caminos que los atacantes utilizan para descifrar información.
Explotación del navegador contra SSL/TLS (BEAST)
BEAST permitió a los atacantes de intermediario revelar información en sesiones encriptadas SSL/TLS 1.0. Los atacantes pudieron descifrar datos ininteligibles explotando vulnerabilidades teóricas conocidas. El ataque BEAST proporcionó un ejemplo de cómo una vulnerabilidad teórica mínima, cuando se combina con otras debilidades de seguridad, permite a los atacantes idear un ciberataque práctico.
En un ataque BEAST, los actores de amenazas infectan la computadora de la víctima con Javascripts maliciosos, interceptando cookies de sesión encriptadas. Los atacantes luego comprometen el encadenamiento de bloques de cifrado (CBC) para descifrar cookies y tokens de autenticación.
¿Qué es el encadenamiento de bloques de cifrado?
El encadenamiento de bloques de cifrado es un modo operativo de un cifrado de bloque donde una secuencia de bits se encripta como un bloque y se combina con el bloque de texto cifrado anterior.
La clave de cifrado es aplicable a todo el bloque, y cada bloque depende del anterior para el descifrado. A veces, se utiliza un vector de inicialización para unir estos bloques de datos encriptados.
Sin embargo, los navegadores modernos no son vulnerables a los ataques BEAST ya que muchos han pasado a TLS v1.1 o superior y han implementado medidas preventivas adicionales.
Secuestro de capa de sockets seguros (SSL)
El secuestro de SSL involucra a un atacante que pasa claves de autenticación falsificadas tanto al servidor como al cliente. Aunque la sesión parece ser segura, en realidad está controlada por un atacante.
El protocolo SSL establece una conexión segura entre un navegador y un servidor utilizando encriptación. Los atacantes interceptan esta conexión segura y descubren información encriptada insertándose entre el servidor y el cliente.
Suplantación de HTTPS
La suplantación de HTTPS involucra a un atacante que crea un sitio web falso utilizando un dominio que parece similar a un sitio web legítimo. Por ejemplo, el ataque (también conocido como ataque homógrafo) consiste en reemplazar caracteres en nombres de dominio reales con caracteres no ASCII de apariencia similar.
Los atacantes también registran su certificado SSL para disfrazarlo como un sitio web genuino. Muchos navegadores permiten la visualización de "nombres de host Punycode" en su barra de direcciones, y las víctimas no son conscientes de que están accediendo a un sitio web malicioso.
Además, un atacante puede engañar a una víctima para que instale un certificado falso en el navegador. Contiene una firma digital de la aplicación comprometida. El navegador de la víctima luego verifica el certificado con una lista de sitios web de confianza. De esta manera, los atacantes pueden acceder a los datos de la víctima antes de que se transmitan a la aplicación.
Despojo de SSL
El despojo de SSL involucra a atacantes que degradan HTTPS a HTTP, permitiéndoles acceder a la comunicación entre el cliente y el servidor en un formato no encriptado.
Cuando un cliente realiza una solicitud al servidor, un atacante la intercepta y la retransmite mientras realiza una solicitud legítima independiente al servidor. A medida que el servidor responde, el atacante la intercepta y la retransmite al cliente en un formato no encriptado. El atacante se hace pasar tanto por el servidor como por el cliente y evita cualquier sospecha en la comunicación en curso.
Por ejemplo, un usuario envía una solicitud para autenticar su cuenta bancaria. Un atacante intercepta esta solicitud y crea una solicitud legítima separada al servidor del banco. Después de recibir una respuesta del servidor, el atacante devuelve una respuesta no encriptada al usuario con la página de inicio de sesión. El atacante roba la información cuando el usuario ingresa sus credenciales de inicio de sesión.
¿Quieres aprender más sobre Software de cifrado? Explora los productos de Cifrado.
¿Protege la VPN contra ataques MITM?
Una red privada virtual (VPN) extiende una red privada a través de una red pública que permite a los usuarios navegar por internet de manera segura y protegida. Las organizaciones generalmente utilizan software de VPN para proporcionar acceso rápido, encriptado y remoto a la red privada de una empresa.
Usar una VPN seguramente ayudaría a proteger el tráfico entre tu dispositivo y la puerta de enlace VPN. Pero una vez que el tráfico pasa a través de la puerta de enlace VPN, puede ser interceptado. Los atacantes no podrán dirigir ataques MITM a usuarios individuales, pero aún pueden llevar a cabo un ataque indiscriminado contra todos los usuarios del sitio web.
Los ciberdelincuentes tienen muchas técnicas para penetrar las defensas cibernéticas de una organización. Aunque la VPN ofrece una protección sustancial contra los ataques MITM, debe acompañarse de un enfoque integral de ciberseguridad con el software de seguridad relevante.
Cómo detectar un ataque MITM
Los conceptos de ciberseguridad están alineados más con la prevención que con la detección. Tienes que establecer medidas preventivas sólidas para prevenir ataques MITM.
Aunque los ataques de intermediario son más difíciles de detectar, hay muchas señales que puedes buscar para limitar el daño en los ataques MITM, incluyendo:
- Dirección de sitio web extraña: Si encuentras alguna dirección sospechosa, debes tener cuidado ya que puede ser un ataque MITM. Por ejemplo, ves https://faceb00k.com en lugar de https://facebook.com; es un posible signo de un ataque MITM.
- Desconexiones repetidas: Los atacantes a veces desconectan a los usuarios de la red de manera forzada. Cuando una víctima vuelve a ingresar su ID de inicio de sesión y contraseñas, un atacante puede interceptarlas. Siempre que observes un comportamiento inesperado como estos, puede sugerir un ataque MITM.
- Uso de conexión Wi-Fi no segura: Los atacantes crean redes falsas con IDs similares a las que conoces y te engañan para que las uses. Pueden interceptar todo el tráfico que fluye a través de estas redes, poniendo en riesgo tus datos sensibles. Debes abstenerte de usar una red Wi-Fi no segura y tener cuidado al usar una pública.
Asegúrate de tener algún tipo de mecanismo de detección de manipulación y autenticación de página configurado, y con la ayuda de la informática forense digital, posiblemente puedas detectar un ataque MITM.
Cómo protegerse contra ataques MITM
Establecer medidas preventivas es más importante que detectar MITM mientras está ocurriendo. Necesitas seguir las mejores prácticas y ser cuidadoso.
Las mejores prácticas para protegerse contra ataques MITM son:
- Conéctate siempre a un enrutador seguro que ofrezca un mecanismo de encriptación fuerte.
- Cambia la contraseña predeterminada del enrutador para evitar que los atacantes comprometan tu servidor DNS.
- Usa software de VPN para extender una red privada sobre una red pública y evitar que los hackers maliciosos descifren tus datos.
- Instala un complemento de navegador para hacer cumplir la conexión HTTPS en cada solicitud.
- Usa encriptación de clave pública para verificar la identidad de otras entidades con las que estás comunicándote.
- Usa encriptación de extremo a extremo para videoconferencias y cuentas de correo electrónico, e implementa autenticación multifactor.
- Configura herramientas de detección y eliminación de malware y mantenlas actualizadas.
- Usa gestores de contraseñas para guardar, prevenir y proteger el uso repetido de contraseñas.
- Monitorea los registros para detectar anomalías en el tráfico de la red.
- Usa DNS sobre HTTPS para protegerte contra ataques de secuestro de DNS.
¡Prevén o arrepiéntete, es tu decisión!
Los ataques de intermediario pueden causar un daño significativo a la seguridad de los datos y pueden llevar a repercusiones legales. Necesitas establecer una defensa robusta contra tales ataques y estar bien informado y consciente del panorama de amenazas actual.
Incluso después de establecer una defensa sólida, si te conviertes en víctima de un ataque de intermediario, necesitas mantener un plan de respuesta a incidentes para combatir tales situaciones.
Aprende más sobre cómo gestionar incidentes de seguridad y lidiar con ellos con un plan de acción claro.
Sagar Joshi
Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.
