Ayuda Ley Protección Datos

Ataque Man in the middle. Características, tipos y ejemplos

Los ciberdelincuentes utilizan numerosas técnicas para robar información de los usuarios y después utilizarla con fines maliciosos. Uno de estos métodos es el llamado ataque man in the middle o ataque de intermediario. ¿En qué consiste? ¿Cuáles son sus peligros? ¿Cómo prevenirlo? En este artículo te lo contamos.

¿Qué es un ataque man in the middle?

Un ataque informático man in the middle se produce cuando un hacker interviene en la transmisión de datos entre dos partes que realizan una comunicación electrónica, El ciberdelincuente se hace pasar por cualquier de ellas o por las dos, «secuestrando» los datos y haciendo creer a las partes que se están comunicando entre ellas, cuando en realidad no es así, y es el hackers quien actúa como intermediario de esa comunicación.

Los ataques MITM no son exclusivos del mundo online. Imagina un cartero que lee tu correspondencia antes de entregársela a sus destinatarios o que, incluso, llegase a modificar al contenido de las cartas. Ese sería el concepto básico de un ataque de intermediario.

Sin embargo, es cierto que este tipo de técnicas se utilizan principalmente en el entorno online. Con un ataque man in the middle en informática el hacker intercepta la comunicación entre dos partes, haciéndose pasar por alguna de ellas y haciéndoles creer que se están comunicando de forma directa.

A través de este tipo de ataques los hackers pueden descifrar la información enviada en una comunicación, y utilizar dicha información con diversos fines maliciosos, por ejemplo, para robar los datos de la víctima o para llevar a cabo chantajes y extorsiones.

Características de los ataques de intermediario

Las principales características de un ataque MITM son las siguientes:

Objetivos

La finalidad de un ataque man-in-the-middle es obtener información confidencial que se transmite entre dos partes de una comunicación, normalmente para realizar fraudes o estafas. Por ejemplo, entre los principales objetivos de los hackers están los sitios web de banca online, de compras en línea o, en general, cualquier otro sitio web o servicio en el que el usuario tenga que introducir sus datos para acceder al portal y a la información de sus cuentas bancarias.

Aparte de los ya citados, los ataques man in the middle también pueden tener otros objetivos, por ejemplo robar información confidencial de empresas. Imaginemos que un atacante logra entrometerse en la comunicación entre dos entidades que se envían comunicación de alto secreto, y luego usa esa información comprometida en su beneficio, por ejemplo para pedir dinero para no hacer pública dicha información, u otro tipo de chantajes.

¿Cómo hacer un ataque man in the middle?

El ataque man-in-the-middle se realiza mediante una serie de métodos que requieren un proceso por parte del hacker.

En primer lugar, proceden a interceptar el tráfico de datos entre dos partes, antes de que esta información llegue a su destino. Para ello pueden usar diversos métodos:

Más adelante profundizaremos más en este tipo de ataques.

El siguiente paso es descifrar la información que ha interceptado. También existen varios métodos para ello:

Tipos de ataques man-in-the-middle

Ya hemos visto cómo proceden los atacantes a realizar un ataque man in the middle. Pero veamos más en profundidad qué tipos de ataques existen y en qué consiste cada uno de estos métodos.

Ataques basados en servidores DHCP

Los atacantes utilizan su ordenador como si fuera un servidor DHCP en una red local. Estos servidores sirven para asignar direcciones IP y realizar la configuración de los dispositivos que forman parte de una red, para que se puedan comunicar con otras redes. Mediante un DHCP simulado, los hackers pueden controlar las direcciones IP locales para desviar e interceptar el tráfico saliente.

ARP cache poisoning

El protocolo ARP tiene como función resolver IPs en redes LAN. Para proceder al envenenamiento de caché ARP, el hacker necesita conocer el sistema del destinatario. Al hacer una petición ARP se envía tanto la IP como la dirección MAC del equipo que realiza la solicitud, así como la IP del equipo de destino. Mediante el ARP cache poisoning, se busca dar respuestas falsas en estas peticiones, para que el usuario use el ordenador del hacker como punto de acceso a internet y así poder interceptar los datos salientes de los ordenadores de las víctimas.

Ataques basados en servidores DNS

En este tipo de ataques los ciberdelincuentes manipulan el caché de servidores DNS con el objetivo de dar direcciones falsas. Generalmente, estos ataques se centran en servidores que utilizan versiones del software DNS muy antiguas, ya que son más vulnerables. Además, en caso de lograr acceso a estos servidores, será mucho más sencillo enviar registros falsos y envenenar su caché.

Simulación de un punto de acceso inalámbrico

Este tipo de ataque man in the middle por WiFi está dirigido principalmente a los usuarios de los teléfonos móviles. El hacker crea un punto de acceso inalámbrico en una red pública, por ejemplo en una biblioteca o cafetería. El objetivo es hacer que el equipo del atacante funcione como un punto de acceso inalámbrico a internet, para que los usuarios se conecten a él a través de sus dispositivos móviles y así hacer de intermediario entre los usuarios y la red pública.

Ataque Man in the Browser

Mediante este sistema, los atacantes instalan un malware en el navegador del usuario. Este malware se ejecuta en el equipo de forma silenciosa y clandestina, interceptando los datos que el usuario intercambia con páginas web y otros servicios de internet. Generalmente, los ciberdelincuentes usan este método en equipos que no están actualizados y que, por tanto, cuentan con mayores brechas de seguridad.

¿Por qué son tan peligrosos?

Como ya imaginarás, la intención de los ciberdelincuentes no es conseguir esa receta de albóndigas que tu madre te ha pasado por correo electrónico, por muy rica que esté. Sus intenciones suelen ser muchos más oscuras, por ejemplo robarte las credenciales de tu banca online.

Básicamente, a través de este tipo de ataques los ciberdelincuentes pueden tener acceso a cualquier tipo de datos que los usuarios intercambien en la red, ya sea con otros usuarios o con servicios de internet. Con estos datos en su poder podrían proceder a suplantar la identidad de la víctima, robarle sus credenciales o llevar a cabo todo tipo de acciones maliciosas.

Ejemplos de ataque MITM

Los ataques MITM pueden interceptar comunicaciones en internet de cualquier tipo, véase:

Pero veamos un ejemplo de ataque man in the middle un poco distinto, y las consecuencias que podría tener.

Imagina a dos personas que chatean a través de redes sociales o servicios de mensajería instantánea. Entre ellos realizan una práctica llamada sexting, que consiste en el envío de fotografías subidas de tono. Esta práctica en sí misma no tiene nada de malo, mientras se realice con personas de confianza. Pero, ahora imagina que un ciberdelincuente pueda interceptar esas comunicaciones a través de un ataque man in the middle. Podría conseguir dichas fotografías y chantajear a los usuarios a cambio de no hacerlas públicas en internet (sextorsión).

Detectar ataques de intermediario 

Uno de los principales peligros de los ataques de intermediario es que son muy difíciles de detectar, ya que las víctimas no son conscientes de que su tráfico de datos está siendo interceptado. Sin embargo, existen algunos métodos que pueden ayudar a descubrir cuándo se está produciendo uno de estos ataques:

También existen herramientas para detectar un ataque man in the middle. Por ejemplo, Wireshark es un software que analiza protocolos de red y permite detectar suplantaciones de ARP. Por otro lado, SSL Eye es un programa para Windows gratuito que identifica las credenciales SSL de los sitios a los que se conecta el usuario, indicando si son de confianza.

¿Cómo protegerse frente a esta amenaza?

Debido a la dificultad de detectar este tipo de ataques, lo más recomendable es poner en práctica las medidas de seguridad adecuadas para prevenirlos. Algunas de las mejores recomendaciones que te podemos dar son:

Estos son solo algunos consejos para evitar los ataques man in the middle, pero ya te lo adelantamos: no hay ningún método 100% seguro.