Imagina por un momento que estás manteniendo una conversación privada mediante un teléfono fijo, y una persona está escuchando desde otra habitación utilizando un supletorio conectado a la misma base.
El llamado ataque man-in-the-middle es algo parecido.
Los tres actores involucrados en este tipo de ataque son:
- La víctima.
- La entidad con la que está tratando de comunicarse.
- El hombre en el medio, que intercepta la comunicación entre ambos.
El atacante también puede posicionarse entre un usuario y una aplicación.
Para que el ataque tenga éxito, es fundamental que los perjudicados no se den cuenta de que sus comunicaciones están siendo interceptadas.
En otras palabras, durante un ataque man-in-the-middle, un actor malintencionado se coloca en medio de una conversación entre dos partes, se hace pasar por una de ellas (o por ambas) y obtiene acceso a la información que estan compartiendo.
El objetivo principal de este tipo de ataque es robar credenciales de inicio de sesión, detalles de cuentas bancarias y números de tarjetas de crédito.
Los objetivos suelen ser los usuarios de aplicaciones financieras, empresas SaaS, sitios de comercio electrónico y otros sitios web donde se requiere iniciar sesión.
La información obtenida durante un ataque puede usarse para muchos propósitos, entre ellos: el robo de identidad, transferencias bancarias no autorizadas o cambiar las contraseñas de servicios en línea.
Otras formas abreviadas de man-in-the-middle son: MITM, MitM, MiM o MIM.
La ejecución exitosa de MITM tiene dos fases distintas: intercepción y descifrado.
Intentaremos explicarlos de la forma más sencilla posible.
Interceptación
El primer paso es interceptar el tráfico del usuario haciéndolo pasar por la red del atacante antes de que llegue a su punto de destino.
La manera más común (y más sencilla) de hacer esto es un ataque pasivo en el que un atacante pone a disposición del público puntos de acceso WiFi maliciosos y gratuitos.
Por lo general, el punto de acceso wifi malicioso, tiene un nombre similar al punto de acceso legítimo y no está protegido por contraseña.
Por ejemplo: Airport_Free_Wifi_AENA por Airport_Plus_Wifi_AENA
Una vez que la víctima se conecta a dicho punto de acceso, el atacante obtiene el control de cualquier intercambio de datos en línea.
Pero los villanos también pueden adoptar un enfoque más activo para la interceptación perpetrando uno de los siguientes ataques:
Suplantación de IP
Básicamente, implica la creación de paquetes de protocolo de Internet (IP) con una dirección de origen modificada para poder ocultar la identidad del emisor, suplantar a otro sistema informático o ambas cosas.
Como resultado, los usuarios que intentan acceder a una aplicación o sitio web mediante su URL legítima, son enviados al sitio web del delincuente.
Dicho de otra manera: un forajido puede cambiar la dirección IP de su dispositivo y engañar a una red para que le abra la puerta pensando que se trata de alguien de confianza.
Suplantación de ARP
Es el proceso de vincular la dirección MAC de un atacante con la dirección IP de un usuario legítimo en una red de área local utilizando mensajes ARP falsos.
Como resultado, los datos enviados por el usuario se transmiten al atacante.
Para ello, el atacante debe estar conectado físicamente a la red desde su propio equipo, lo que significa que debe estar cerca de la red atacada.
O también puede haber intervenido de forma remota uno de los equipos conectados a la red.
Suplantación de DNS
También conocida como envenenamiento de la caché de DNS, consiste en acceder a los servidores de nombres de dominio de un sitio web, y modificar sus direcciones IP para redirigirlas a servidores maliciosos.
Como resultado, los usuarios que intentan acceder al sitio legítimo son enviados por el registro DNS alterado al sitio del atacante.
Descifrado
Después de la interceptación, cualquier tráfico SSL bidireccional debe descifrarse sin alertar al usuario o a la aplicación.
Existen varios métodos para lograr esto:
Suplantación de HTTPS
El villano envía un certificado de seguridad falso al navegador de la víctima una vez que se realiza la solicitud de conexión inicial a un sitio seguro.
Tiene una huella digital asociada con la aplicación comprometida, que el navegador verifica de acuerdo con una lista existente de sitios confiables.
Luego, el atacante puede acceder a los datos que la víctima ingresa en formularios de su banca en línea, aplicaciones, páginas web etc.
SSL BEAST
Exploit del navegador contra SSL /TLS que apunta a una vulnerabilidad TLS versión 1.0 en SSL.
En este caso, el ordenador de la víctima es infectado con código JavaScript malicioso que intercepta las cookies cifradas enviadas por una aplicación web.
El ciberdelincuente puede descifrar las cookies y tokens de autenticación (mecanismos de autenticación de usuario que mejoran la seguridad de las aplicaciones).
Secuestro de SSL
Ocurre cuando un atacante pasa claves de autenticación falsificadas tanto al usuario como a la aplicación durante un enlace TCP, que es el protocolo que permite que dos máquinas que están comunicadas controlen el estado de la transmisión.
Eso es detectado por ambos como una conexión segura, cuando de hecho, es el hombre en el medio quien controla toda la sesión.
Ataques de eliminación de SSL
Explicado de forma muy básica, el atacante envía al usuario una versión sin cifrar de una aplicación, mientras este mantiene una sesión segura con la misma.
Como resultado, toda la comunicación entre el usuario y la aplicación es visible para el atacante.
Prevención del ataque de hombre en el medio
El bloqueo de los ataques MITM requiere varios pasos por parte de los usuarios, así como la implementación de métodos de cifrado y verificación por parte de los desarrolladores de páginas web y aplicaciones.
- Evitar las conexiones wifi que no están protegidas por contraseña.
- Prestar atención a las notificaciones del navegador que informan que un sitio web no es seguro.
- Cerrar sesión inmediatamente en una aplicación cuando no está en uso.
- No utilizar redes públicas (por ejemplo, cafeterías, hoteles) al realizar transacciones sensibles.
- Evitar que el teléfono se conecte automáticamente a redes wifi.
- Emplear servicios VPN confiables.
- Mantener el sistema operativo y las aplicaciones actualizadas, sobre todo los navegadores web.
- Utilizar la autenticación en múltiples factores.
- Cuidado con los posibles correos electrónicos de phishing.
Para los administradores de sitios web, los protocolos de comunicación segura, TLS y HTTPS, ayudan a mitigar los ataques de suplantación de identidad al cifrar y autentificar de manera sólida los datos transmitidos entre el servidor y sus usuarios.
Hacerlo evita la interceptación del tráfico del sitio y bloquea el descifrado de datos confidenciales, como los tokens de autenticación.
Se considera una buena práctica que las aplicaciones usen SSL /TLS para proteger todas las páginas del sitio y no solo las que requieren que los usuarios inicien sesión.
Hacerlo ayuda a disminuir la posibilidad de que un atacante robe las cookies de sesión de un usuario.
