¿Qué es y cómo funciona un ataque de hombre en el medio?

Un ataque de hombre en el medio (man-in-the-middle – MITM) ocurre cuando alguien se sienta entre dos computadoras (como una computadora portátil y un servidor remoto) e intercepta el tráfico.

Esta persona puede espiar, o incluso interceptar, las comunicaciones entre las dos máquinas y robar información.

Los ataques de hombre en el medio son una seria preocupación de seguridad. Te hablaremos sobre todo lo que necesitas saber sobre este tipo de ataque y cómo protegerte.

Dos son compañía, tres son multitud

La “belleza” de los ataques MITM es que el atacante no necesariamente tiene que tener acceso a tu computadora, ya sea física o remotamente. Él o ella pueden simplemente sentarse en la misma red que tú y sorber silenciosamente los datos. Un MITM puede incluso crear su propia red y engañarte para que la uses.

La forma más obvia de que alguien puede hacer esto es sentarse en una red wifi pública no cifrada, como las de los aeropuertos o cafeterías. Un atacante puede iniciar sesión y, utilizando una herramienta gratuita como Wireshark, capturar todos los paquetes enviados entre una red. Él podría analizar e identificar información potencialmente útil.

Este enfoque no da tantos frutos como lo hizo antes, gracias a la prevalencia de HTTPS, que proporciona conexiones cifradas a sitios web y servicios. Un atacante no puede decodificar los datos cifrados enviados entre dos computadoras que se comunican a través de una conexión HTTPS cifrada.

Sin embargo, HTTPS solo no es una bala de plata. Hay soluciones alternativas que un atacante puede usar para anularlo.

Empleando un MITM, un atacante puede tratar de engañar a una computadora para que “degrade” su conexión de cifrada a descifrada. Luego puede inspeccionar el tráfico entre las dos computadoras.

También podría producirse un ataque de “eliminación de SSL“, en el que la persona se sienta entre una conexión cifrada. Él atacante captura y potencialmente modifica el tráfico, y luego lo reenvía a una persona desprevenida.

Ataques basados ​​en red y enrutadores inalámbricos maliciosos

Los ataques MITM también ocurren a nivel de red. Un enfoque se llama ARP Cache Poisoning, en el que un atacante intenta asociar su dirección MAC (hardware) con la dirección IP de otra persona.

Si tiene éxito, todos los datos destinados a la víctima se envían al atacante.

La suplantación de DNS es un tipo similar de ataque. DNS es la “guía telefónica” de Internet. Asocia nombres de dominio legibles por humanos, como google.com, con direcciones IP numéricas.

Al usar esta técnica, un atacante puede reenviar consultas legítimas a un sitio falso que controla y luego capturar datos o implementar malware.

Otro enfoque es crear un punto de acceso no autorizado o colocar una computadora entre el usuario final y el enrutador o el servidor remoto.

Usuarios desprevenidos

De manera abrumadora, las personas son demasiado confiables cuando se trata de conectarse a puntos de acceso público de Wi-Fi. Ven las palabras “Wi-Fi gratis” y no se detienen a pensar si un hacker infame podría estar detrás de él.

Esto se ha demostrado repetidamente con efecto cómico cuando las personas no leen los términos y condiciones en algunos puntos críticos. Por ejemplo, algunos requieren que las personas limpien las letrinas sucias del festival o que renuncien a su primogénito.

Crear un punto de acceso no autorizado es más fácil de lo que parece. Incluso hay productos de hardware físico que hacen que esto sea increíblemente simple. Sin embargo, estos están destinados a profesionales legítimos de seguridad informática que realizan pruebas de penetración para ganarse la vida.

Además, no olvidemos que los enrutadores son computadoras que tienden a tener una seguridad lamentable. Las mismas contraseñas predeterminadas tienden a usarse y reutilizarse en líneas enteras, y también tienen acceso irregular a las actualizaciones. Otra posible vía de ataque es un enrutador inyectado con código malicioso que permite a un tercero realizar un ataque MITM desde lejos.

Malware y ataques de hombre en el medio

Como mencionamos anteriormente, es completamente posible que un adversario realice un ataque MITM sin estar en la misma habitación, o incluso en el mismo continente. Una forma de hacerlo es con software malicioso.

Un ataque de hombre en el navegador (MITB) ocurre cuando un navegador web está infectado con seguridad maliciosa. Esto a veces se hace a través de una extensión falsa, que le da al atacante un acceso casi ilimitado.

Por ejemplo, alguien podría manipular una página web para mostrar algo diferente al sitio original. Este también podría secuestrar sesiones activas en sitios web como bancos o páginas de redes sociales y difundir spam o robar fondos.

Un ejemplo de esto fue el troyano SpyEye, que se utilizó como keylogger para robar credenciales para sitios web. También podría llenar formularios con nuevos campos, permitiendo al atacante capturar aún más información personal.

Cómo protegerte

Afortunadamente, hay formas de protegerte de estos ataques. Como con toda la seguridad en línea, todo se reduce a una vigilancia constante. Intenta no utilizar puntos de acceso públicos de Wi-Fi. Intenta usar solo una red que tú mismo controles, como un punto de acceso móvil o Mi-Fi.

De lo contrario, una VPN cifrará todo el tráfico entre tu computadora y el mundo exterior, protegiéndote de los ataques MITM. Por supuesto, aquí, tu seguridad es tan buena como el proveedor de VPN que usas, así que elije con cuidado.

A veces, vale la pena pagar un poco más por un servicio en el que puedes confiar. Si tu empleador te ofrece una VPN cuando viajas, definitivamente debes usarla.

Para protegerte de los ataques MITM basados ​​en malware (como la variedad de hombre en el navegador) debes practicar una buena higiene de seguridad. No instales aplicaciones o extensiones del navegador desde lugares de dudosa reputación.

Debes salir de las sesiones de sitio web cuando hayas terminado con lo que estás haciendo e instalar un programa antivirus confiable.