Un ataque de intermediario (MITM) ocurre cuando alguien se encuentra entre dos computadoras (como una computadora portátil y un servidor remoto) e intercepta el tráfico. Esta persona puede espiar o incluso interceptar las comunicaciones entre las dos máquinas y robar información.
Los ataques man-in-the-middle son un grave problema de seguridad. Esto es lo que necesita saber y cómo protegerse.
La compañía para dos, la multitud para tres
La “belleza” (a falta de una palabra mejor) de los ataques MITM es que el atacante no necesariamente necesita tener acceso a su computadora, ya sea física o remotamente. Él o ella puede simplemente sentarse en la misma red que usted y absorber datos en silencio. Un MITM puede incluso crear su propia red y animarle a utilizarla.
La forma más obvia de hacerlo es sentarse en una red Wi-Fi pública no cifrada, como las de los aeropuertos o cafeterías. Un atacante puede conectarse y, utilizando una herramienta gratuita como Wireshark, capturar todos los paquetes enviados entre una red. Luego, puede analizar e identificar información potencialmente útil.
Este enfoque no está dando tantos frutos como antes, gracias a la prevalencia de HTTPS, que proporciona conexiones cifradas a sitios web y servicios. Un atacante no puede decodificar los datos cifrados enviados entre dos computadoras que se comunican a través de una conexión HTTPS cifrada.
Sin embargo, HTTPS por sí solo no es una solución rápida. Hay soluciones que un atacante puede utilizar para deshacerlo.
Al usar un MITM, un atacante puede intentar engañar a una computadora «degradando» su conexión de cifrada a no cifrada. Luego puede inspeccionar el tráfico entre las dos computadoras.
También puede ocurrir un ataque de «eliminación de SSL», en el que la persona ingresa a una conexión encriptada. Luego capta y modifica potencialmente el tráfico, luego se lo pasa a una persona desprevenida.
Ataques basados en red y enrutadores inalámbricos maliciosos
Los ataques MITM también ocurren a nivel de red. Un enfoque se llama ARP Cache Poisoning, en el que un atacante intenta asociar su dirección MAC (hardware) con la dirección IP de otra persona. Si tiene éxito, todos los datos destinados a la víctima se transmiten al atacante.
La suplantación de DNS es un tipo de ataque similar. DNS es la «guía telefónica» de Internet. Asocia nombres de dominio legibles por humanos, como google.com, con direcciones IP numéricas. Con esta técnica, un atacante puede enviar solicitudes legítimas a un sitio falso que controlan y luego capturar datos o implementar malware.
Otro enfoque es crear un punto de acceso no autorizado o colocar una computadora entre el usuario final y el enrutador o servidor remoto.
De manera abrumadora, la gente se confía demasiado cuando se trata de conectarse a puntos de acceso Wi-Fi públicos. Ven las palabras «Wi-Fi gratuito» y no se detienen a preguntarse si un hacker infame podría estar detrás de ellas. Se ha demostrado repetidamente que esto tiene un efecto cómico cuando las personas no leen los términos y condiciones de ciertos puntos calientes. Por ejemplo, algunos requieren que la gente limpia las letrinas sucias del festival Dónde abandonar a su primogénito.
Crear un punto de acceso no autorizado es más fácil de lo que parece. Incluso hay productos de hardware físico que lo hacen increíblemente simple. Sin embargo, estos están destinados a profesionales legítimos de seguridad de la información que realizan pruebas de penetración para ganarse la vida.
Además, no olvidemos que los enrutadores son computadoras que tienden a tener una seguridad pésima. Las mismas contraseñas predeterminadas tienden a usarse y reutilizarse en líneas completas, y también tienen acceso desigual a las actualizaciones. Otra posible ruta de ataque es un enrutador inyectado con código malicioso que permite a un tercero realizar un ataque MITM de forma remota.
Ataques de malware y man-in-the-middle
Como mencionamos anteriormente, es completamente posible que un oponente realice un ataque MITM sin estar en la misma habitación, o incluso en el mismo continente. Una forma de hacerlo es utilizar malware.
Un ataque de hombre en el navegador (MITB) ocurre cuando un navegador web se infecta con seguridad maliciosa. Esto a veces se hace a través de una extensión falsa, que le da al atacante un acceso casi ilimitado.
Por ejemplo, alguien podría manipular una página web para mostrar algo diferente del sitio original. También podría secuestrar sesiones activas en sitios web como páginas bancarias o redes sociales y difundir spam o robar fondos.
Un ejemplo de esto fue el Troyano SpyEye, que se utilizó como un registrador de teclas para robar las credenciales del sitio web. También podría completar formularios con nuevos campos, lo que permitiría al atacante capturar aún más información personal.
Como protegerse
Afortunadamente, existen formas de protegerse contra estos ataques. Al igual que con toda la seguridad en línea, se trata de una vigilancia constante. Trate de no utilizar puntos de acceso Wi-Fi públicos. Intente usar solo una red que usted mismo controle, como un punto de acceso móvil o Mi-Fi.
De lo contrario, una VPN cifrará todo el tráfico entre su computadora y el mundo exterior, protegiéndolo de los ataques MITM. Por supuesto, su seguridad aquí es tan buena como el proveedor de VPN que utilice, así que elija con cuidado. A veces vale la pena pagar un poco más por un servicio en el que puede confiar. Si su empleador le ofrece una VPN cuando viaja, definitivamente debería usarla.
Para protegerse de los ataques MITM basados en malware (como la variedad man-in-the-browser), practique una buena higiene de seguridad. No instale aplicaciones o extensiones de navegador desde ubicaciones vagas. Salga de las sesiones del sitio web cuando haya terminado con lo que está haciendo e instale un programa antivirus potente.