Man-in-the-Middle Attack (MitM): Definition, Types, & Prevention Methods

Ataque Man-in-the-Middle (MitM): definición, tipos y métodos de prevención

Un ataque de intermediario es un ciberataque en el que el atacante puede interceptar en secreto mensajes entre dos o más partes que creen que se están comunicando entre sí. Los atacantes pueden utilizar su posición como intermediario para leer esta información confidencial, incluso editarla maliciosamente o insertar sus propios mensajes. Esto puede provocar una filtración de datos devastadora o la propagación de malware en todo el entorno de TI de una organización.

El ataque MITM es una táctica común, aunque a menudo pasada por alto, que utilizan los cibercriminales maliciosos. En 2019, por ejemplo, más de 500 millones de usuarios de la aplicación móvil UC Browser para Android estuvieron expuestos a un ataque MITM porque la aplicación descargó un código ejecutable de un servidor de terceros (Gatlan, 2019).

¿Qué es un ataque de intermediario y cómo se puede empezar a prevenirlo? Responderemos a estas preguntas y a otras más a continuación.

¿Qué es un ataque Man-in-the-Middle (MitM)?

Los ataques MITM son una especie de espionaje digital que permite a los atacantes robar datos confidenciales o incluso entrar en la conversación de forma encubierta. Son peligrosos precisamente porque están pensados ​​para ser encubiertos: el atacante se escabulle sin que las partes que se comunican se den cuenta.

El objetivo de los ataques de intermediario es que el atacante aproveche de algún modo esta posición privilegiada de escucha. Algunos atacantes escuchan conversaciones para robar credenciales de inicio de sesión, datos financieros u otra información personal confidencial. Otros atacantes utilizan el enfoque MITM como parte de un ciberataque más grande, utilizando su posición para insertar malware y obtener acceso a un sistema o red de TI.

¿Cómo funcionan los ataques Man-in-the-Middle?

Los ataques de intermediario requieren la existencia de una falla o vulnerabilidad de seguridad en un entorno de TI que pueda ser secuestrada y explotada por el atacante. Los pasos de un ataque de intermediario son los siguientes:

  1. Obtención de acceso: el atacante obtiene acceso a un canal de comunicaciones privado de alguna forma. Los métodos para obtener acceso pueden incluir la interceptación del tráfico de red, el hackeo de un punto de acceso Wi-Fi no seguro o la explotación de vulnerabilidades en aplicaciones web .
  2. Escucha: una vez que los atacantes MITM tienen acceso, comienzan el ataque filtrando los mensajes y datos privados que se envían de un lado a otro dentro del canal. Esto se puede hacer simplemente escuchando las comunicaciones o estableciendo un sitio web o servidor falso que intercepte los mensajes de los usuarios.
  3. Explotación: Los sofisticados ataques MITM también pueden insertar sus mensajes en la conversación, haciéndose pasar por entidades legítimas. Por ejemplo, pueden cambiar el contenido de un correo electrónico o engañar a los usuarios para que revelen sus datos financieros.
  4. Ataques posteriores: el atacante puede utilizar el conocimiento obtenido durante un ataque MITM para atacar nuevamente al objetivo. Por ejemplo, las credenciales de inicio de sesión de los empleados pueden utilizarse para ingresar a un entorno de TI y causar daños o interrupciones adicionales.

Tipos de ataques Man-in-the-Middle

Existen muchos tipos distintos de ataques de intermediario, por lo que es esencial que las empresas reconozcan todas las señales de advertencia. Los investigadores de seguridad han descubierto posibles ataques de intermediario dirigidos contra enrutadores de Internet, tecnología de sistemas de localización en tiempo real (RLTS) e incluso relojes inteligentes para niños.

A continuación se muestran algunas formas en que los ciberdelincuentes pueden cometer ataques MITM:

  • Escuchas ilegales de redes Wi-Fi: los atacantes pueden piratear redes Wi-Fi no seguras o configurar un punto de acceso Wi-Fi malicioso para ver las comunicaciones de los usuarios. Por ejemplo, un atacante puede establecer un punto de acceso Wi-Fi con el nombre de una empresa cercana y engañar a los usuarios para que se conecten.
  • Suplantación de IP: los atacantes pueden cambiar la dirección IP (Protocolo de Internet) de un sitio web, servidor o dispositivo. Esto hace que los usuarios crean que están interactuando con una entidad legítima cuando, de hecho, se están comunicando con un atacante malintencionado.
  • Suplantación de DNS: los atacantes también pueden suplantar o “envenenar” el caché de un sistema de nombres de dominio (DNS), lo que hace que el tráfico legítimo de los usuarios se redirija a sitios web falsos. Para ello, los atacantes deben aprovechar las vulnerabilidades de los servidores DNS o engañar a los usuarios para que descarguen malware que cambie su configuración de DNS.
  • Envenenamiento de la caché ARP: los atacantes pueden manipular la caché del Protocolo de resolución de direcciones (ARP) de los usuarios de la misma red local. La caché ARP puede ser “envenenada” con datos de direcciones MAC falsos de otros dispositivos de la red, lo que permite al atacante hacerse pasar por entidades legítimas y espiar las comunicaciones.
  • Secuestro de sesión: los atacantes pueden aprovechar la sesión actual en un sitio web o las cookies del navegador de un usuario legítimo y apoderarse de su identidad. Esto les permite robar datos confidenciales de los usuarios o hackear sus cuentas financieras.

Ejemplos de ataques de intermediario

A continuación se destacan algunos ejemplos de ataques MitM de la vida real que plantearon graves repercusiones:

El ataque MitM del adware Superfish de Lenovo (HTTPS Spoofing): uno de los ejemplos más famosos de ataques de intermediario es el ataque del adware de Lenovo, en el que los equipos de esta marca se entregaban con el adware Superfish Visual Search preinstalado, lo que convertía a los usuarios en objetivos potenciales de ataques MitM (CISA, 2016). El software instalaba un certificado raíz autofirmado en el dispositivo del usuario, lo que le permitía interceptar el tráfico web cifrado del usuario e inyectar sus propios anuncios.

El ataque MitM de DigiNotar (secuestro de SSL): los desastrosos efectos del incidente de violación de datos de DigiNotar en 2011 finalmente llevaron a la empresa a declararse en quiebra después de no poder resistir el ataque. DigiNotar, una empresa holandesa emisora ​​de certificados digitales, se enfrentó a una violación de datos en julio, en la que el intruso engañó a la empresa para que emitiera 500 certificados digitales falsos para empresas importantes como Google, Mozilla y Skype. El hacker afirmó haber comprometido cuatro autoridades de certificación adicionales además de DigiNotar. Se describió a sí mismo como un estudiante iraní de 21 años (Zetter, 2011).

¿Cómo se pueden detectar los ataques Man-in-the-Middle?

Debido a que están diseñados para permanecer ocultos, detectar ataques de intermediario puede ser un desafío. Las formas de detectar que ha sido víctima de un ataque MITM incluyen:

  • Buscando comunicación inesperada: si notas cosas extrañas o inesperadas sobre los mensajes que recibes (por ejemplo, su contenido o tiempo), esto podría indicar que te estás comunicando con un atacante MITM.
  • Escaneo del tráfico de red: las herramientas de monitoreo de red y análisis de paquetes como tcpdump y Wireshark pueden ayudar a buscar anomalías en el tráfico de su entorno de TI.
  • Verificación de certificados SSL/TLS: verificar los certificados SSL y otros protocolos de autenticación puede verificar que los usuarios se comuniquen con la entidad correcta.
  • Instalación de software antimalware: el software antimalware y antivirus pueden ayudar a detectar la presencia de aplicaciones y códigos no autorizados que han sido inyectados por un atacante MITM.

Mejores prácticas para prevenir ataques de intermediarios

Si bien los atacantes no tienen escasez de técnicas en su caja de herramientas MITM, sus posibles objetivos no están totalmente indefensos. A continuación, se presentan algunas prácticas recomendadas para la prevención de ataques de intermediarios para individuos, organizaciones y operadores de sitios web:

  • Uso de VPN y cifrado: las redes privadas virtuales (VPN) son canales cifrados que permiten a los usuarios conectarse de forma segura a Internet e intercambiar datos confidenciales. En general, el uso del cifrado para proteger la información tanto en tránsito como en reposo es una excelente práctica para frustrar los ataques MITM.
  • Evitar puntos de acceso Wi-Fi públicos: los puntos de acceso Wi-Fi maliciosos son una táctica favorita de los atacantes MITM. Los usuarios solo deben conectarse a redes Wi-Fi confiables con protocolos de cifrado actualizados, como WPA3.
  • Uso de conexiones seguras: los visitantes de un sitio web deben verificar que están utilizando una conexión segura HTTPS (y no solo HTTP). La mayoría de los navegadores tienen una indicación visual de una conexión HTTPS con un icono de candado en la barra de direcciones.
  • Uso de contraseñas seguras y autenticación multifactor: muchos ataques MITM ocurren cuando el atacante puede vulnerar las defensas de un sistema de TI y hacerse pasar por un usuario legítimo. Exigir a los usuarios que tengan contraseñas seguras y que utilicen autenticación multifactor (MFA) para verificar sus identidades hace que sea mucho más difícil para los atacantes MITM adoptar este enfoque.

Conclusión

Si está interesado en aprender a reconocer y frustrar ataques MITM y otros tipos de ciberataques, visite el programa C|PENT (Certified Penetration Testing Professional) . La certificación incluye módulos teóricos y prácticos sobre la detección de vulnerabilidades en todo el entorno de TI, desde redes y aplicaciones web hasta la nube y los dispositivos de Internet de las cosas (IoT) .

Referencias

(Gatlan, S). (17 de octubre de 2019). Más de 500 millones de usuarios de Android que utilizan el navegador UC están expuestos a ataques MiTM. Una vez más. (2019). BleepingComputer. https://www.bleepingcomputer.com/news/security/500-million-uc-browser-android-users-exposed-to-mitm-attacks-again/

Acerca del autor

David Tidmarsh es programador y escritor. Trabajó como desarrollador de software en el MIT, tiene una licenciatura en historia de Yale y actualmente es estudiante de posgrado en informática en la Universidad de Texas en Austin.

¿Está listo para llevar su carrera en ciberseguridad al siguiente nivel? No busque más que las certificaciones CPENT y LPT, las credenciales más valiosas en el mundo de Pentesting en la actualidad. Estas certificaciones se encuentran entre las certificaciones de seguridad mejor pagadas a nivel mundial y pueden abrir puertas a oportunidades profesionales lucrativas en la industria de la ciberseguridad.

Desbloquee su potencial con las certificaciones CPENT y LPT con el kit CPENT iLearn

Con el kit CPENT iLearn, cuyo precio es de tan solo 999 USD, puede obtener dos prestigiosas certificaciones internacionales de forma simultánea: CPENT y LPT de EC-Council. Este completo kit incluye todo lo que necesita para prepararse y aprobar el examen CPENT, incluido un cupón de examen para CPENT , que le permite realizar el examen en línea a través de RPS cuando le resulte conveniente en un plazo de 12 meses.

El curso de video en línea a su propio ritmo de CPENT , disponible en la plataforma iClass de EC-Council, ofrece orientación práctica para que su preparación para el examen sea perfecta. Con acceso durante un año, recibirá instrucciones de expertos y guías paso a paso, lo que le garantizará que estará bien equipado para aprobar el examen.

Pero eso no es todo: el kit iLearn de CPENT también incluye:

  • Cursos electrónicos
  • Acceso a CyberQ Labs durante seis meses
  • Certificado de finalización
  • Cyber ​​Range de 30 días en el sistema Aspen de EC-Council para escenarios de práctica realistas, mejorando sus posibilidades de lograr un puntaje alto en el examen.

Una vez que realice el pago, recibirá su código LMS y el código del cupón de examen en un plazo de 3 a 7 días hábiles, lo que le garantizará que puede comenzar su preparación sin demora. Carrera en ciberseguridad con certificaciones CPENT y LPT. ¡Inscríbase hoy y descubra un mundo de posibilidades!

¡Compra tu Kit iLearn de CPENT aquí y recíbelo en 3 – 7 días!

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.