Saltar al contenido
Portada » Ataque Man In The Middle

Ataque Man In The Middle

¿Qué es un ataque de Man in The Middle (MITM)?

Un ataque man in the middle (MITM), en español ataque de “hombre en el medio”, es un término general que hace referencia a la situación en la que un atacante vigila una conversación entre el usuario y la aplicación. De esta forma el atacante podría, no solo espiar, si no impersonarse como una de las partes.

El objetivo de un ataque de este tipo suele ser el de robar información personal como credenciales de acceso a un sistema, información de cuentas, datos financieros, etc. La información obtenida mediante un ataque puede ser usada de múltiples formas, incluyendo el robo de identidad, transferencias bancarias no autorizadas y cambios de contraseñas.

Además, puede ser utilizado para adentrarse en un perímetro securizado en la fase de infiltración de un asalto APT (advanced persistent threat).

En términos generales, un ataque MITM es equivalente a un repartidor de correos que abre tus cartas del banco, se guarda los datos, y posteriormente vuelve a cerrar el sobre y te lo entrega.

Proceso del ataque MITM

Un ataque MITM exitoso consta de dos fases: intercepción y desencriptación.

Intercepción

El primer paso consiste en interceptar el tráfico de usuario desde la red del atacante antes de que alcance su destino. La manera más común y sencilla de hacer esto es con un ataque pasivo en el cual un atacante genera puntos de acceso públicos WiFi maliciosos. Cuando una víctima se conecta al punto de acceso, el atacante consigue visibilidad de sus transacciones online.

Algunos atacantes adoptan técnicas más activas de las siguientes formas:

  • IP spoofing: El atacante se infiltra personándose como una aplicación y alterando las cabeceras IP del paquete. De esta manera el usuario que intenta acceder a una URL conectado a una aplicación envía los datos a la web del atacante.
  • ARP spoofing: Es el proceso de enlazar la dirección MAC de una atacante con la IP de un usuario legítimo en una red de área local usando mensajes ARP falsos. Como resultado, los datos enviados por el usuario a la IP de destino se envían al atacante.
  • DNS spoofing: También conocido como envenenamiento de la caché DNS, requiere la infiltración en un servidor de DNS para alterar el registro de la aplicación. De esta manera cuando un usuario intente acceder a la web tras la resolución de dominio le llevará a la web del atacante.

Desencriptación

Tras la interceptación, el tráfico SSL necesita ser desenciptado sin alertar a la aplicación y al usuario. Los atacantes consiguen esto de distintas formas:

  • HTTPS spoofing: Envía un certificado falso al navegador de la víctima cuando se realiza la conexión inicial a la web que se intenta acceder. Mantiene una huella digital asociada a la aplicación legítima de forma que el navegador pueda verificarla.
  • SSL BEAST: El objetivo es la vulnerabilidad de la versión 1.0 de TLS en SSL. Se infecta el ordenador de la víctima con código Javascript malicioso que intercepta las cookies encriptadas.
  • SSL hijacking: El atacante envía claves falsificadas al usuario y la aplicación durante el handshake TCP.
  • SSL striping: Degrada una conexión HTTPS a HTTP interceptando la autenticación TLS enviada por la aplicación al usuario. De esta manera toda la sesión queda visible al atacante.

Prevención de ataques man in the middle

Los usuarios deben seguir las siguientes recomendaciones:

  • Evitar puntos de acceso WiFi abiertos,. que no estén protegidos por contraseña.
  • Prestar atención a las advertencias del navegador cuando indique que una web es insegura.
  • Desloguearse de una aplicación cuando no está en uso.
  • No utilizar redes públicas (tiendas, cafeterías, hoteles, etc) para trasacciones de información sensible.

De cara a los técnicos, es importante usar protocolos securizados actualizados como TLS y HTTPS de cara a mitigar los ataques de spoofing.

Es considerada buena práctica utilizar por parte de las aplicaciones SSL/TLS para securizar todas las páginas del un sitio web, no solo las de login.


TécnicaDescripción
Inyección SQLTécnicas de inyección SQL para acceder a información confidencial en bases de datos.
Buffer OverflowDesbordamiento de pila para ejecutar procesos de malware.
Man in the middleEste tipo de ataques se usan tanto para robar información como para suplantar una de las partes que se comunican.
PhishingTécnicas de suplantación de identidad con objetivos de robo de información.
DDoSAtaques de denegación de servicio distribuido.
KeyloggersSe utilizan para robar información confidencial, como contraseñas, números de tarjetas de crédito y otros datos sensibles
Car HackingLa revolución de los automóviles ha traído grandes comodidades pero también ha abierto la puerta a un nuevo tipo de amenaza: el car hacking
Deep Fake Exploramos qué es el Deep Fake, su creciente importancia y los desafíos éticos y de seguridad que plantean
Inteligencia Artificial y CiberseguridadLa inteligencia artificial es una poderosa herramienta para fortalecer la ciberseguridad contra amenazas y proteger nuestros sistemas.