Los ciberdelincuentes utilizan numerosas técnicas para robar información de los usuarios y después utilizarla con fines maliciosos. Uno de estos métodos es el llamado ataque man in the middle o ataque de intermediario. ¿En qué consiste? ¿Cuáles son sus peligros? ¿Cómo prevenirlo? En este artículo te lo contamos.
¿Qué es un ataque man in the middle?
Un ataque informático man in the middle se produce cuando un hacker interviene en la transmisión de datos entre dos partes que realizan una comunicación electrónica, El ciberdelincuente se hace pasar por cualquier de ellas o por las dos, «secuestrando» los datos y haciendo creer a las partes que se están comunicando entre ellas, cuando en realidad no es así, y es el hackers quien actúa como intermediario de esa comunicación.
Los ataques MITM no son exclusivos del mundo online. Imagina un cartero que lee tu correspondencia antes de entregársela a sus destinatarios o que, incluso, llegase a modificar al contenido de las cartas. Ese sería el concepto básico de un ataque de intermediario.
Sin embargo, es cierto que este tipo de técnicas se utilizan principalmente en el entorno online. Con un ataque man in the middle en informática el hacker intercepta la comunicación entre dos partes, haciéndose pasar por alguna de ellas y haciéndoles creer que se están comunicando de forma directa.
A través de este tipo de ataques los hackers pueden descifrar la información enviada en una comunicación, y utilizar dicha información con diversos fines maliciosos, por ejemplo, para robar los datos de la víctima o para llevar a cabo chantajes y extorsiones.
Características de los ataques de intermediario
Las principales características de un ataque MITM son las siguientes:
- El ataque se realiza sobre la transmisión de tráfico o datos entre dos partes, ya sean dos usuarios, o un usuario y un prestador de servicios.
- El atacante actúa como intermediario en la comunicación, esto es, suplanta la identidad de una de las partes (o de ambas), de forma que los datos siempre pasan por él antes de ser enviados a la otra parte.
- Aunque la información entre ambos host viaje cifrada, el atacante la descifra antes de transmitirla a la otra parte.
- Quienes realizan la comunicación no saben que están siendo objeto de este ataque, y creen que se están comunicando entre ellos de forma normal.
Objetivos
La finalidad de un ataque man-in-the-middle es obtener información confidencial que se transmite entre dos partes de una comunicación, normalmente para realizar fraudes o estafas. Por ejemplo, entre los principales objetivos de los hackers están los sitios web de banca online, de compras en línea o, en general, cualquier otro sitio web o servicio en el que el usuario tenga que introducir sus datos para acceder al portal y a la información de sus cuentas bancarias.
Aparte de los ya citados, los ataques man in the middle también pueden tener otros objetivos, por ejemplo robar información confidencial de empresas. Imaginemos que un atacante logra entrometerse en la comunicación entre dos entidades que se envían comunicación de alto secreto, y luego usa esa información comprometida en su beneficio, por ejemplo para pedir dinero para no hacer pública dicha información, u otro tipo de chantajes.
¿Cómo hacer un ataque man in the middle?
El ataque man-in-the-middle se realiza mediante una serie de métodos que requieren un proceso por parte del hacker.
En primer lugar, proceden a interceptar el tráfico de datos entre dos partes, antes de que esta información llegue a su destino. Para ello pueden usar diversos métodos:
- Suplantar la IP: los hackers falsifican la fuente de los datos para que el equipo de las víctimas crea que se está comunicando con un destinatario legítimo.
- Suplantar ARP: consiste en envenenar el caché ARP para que la dirección MAC del hacker pueda vincularse a la IP de la víctima.
- Suplantar DNS: el sistema DNS de nombres de dominio traduce los dominios de internet en títulos fáciles de recordar. Los servidores recuerdan estas traducciones y las guardan en un caché. El atacante accede al caché y cambia las traducciones para redirigir al usuario a un sitio web falso
Más adelante profundizaremos más en este tipo de ataques.
El siguiente paso es descifrar la información que ha interceptado. También existen varios métodos para ello:
- Suplantar HTTPS: el atacante instala un certificado de seguridad falso para que el navegador crea que es de confianza y le proporcione la clave para descifrar los datos que se envían.
- Vulnerar el navegador en SSL: los hackers se aprovechan de la vulnerabilidad del cifrado por bloques en el protocolo SSL.
- Secuestrar SSL: se produce cuando el navegador se conecta primero a un protocolo no seguro (HTTP) y luego redirige al usuario a la versión segura (HTTPS): El hacker actúa justo antes de que se produzca ese cambio, desviando la ruta del tráfico hacia su equipo.
- SSL stripping: el atacante usa alguno de los métodos que hemos citado anteriormente para establecerse como intermediario de la comunicación. Una vez hecho esto, cambiará la versión segura de la web (HTTPS) por una no segura (HTTP), de manera que los datos le lleguen descifrados.
Tipos de ataques man-in-the-middle
Ya hemos visto cómo proceden los atacantes a realizar un ataque man in the middle. Pero veamos más en profundidad qué tipos de ataques existen y en qué consiste cada uno de estos métodos.
Ataques basados en servidores DHCP
Los atacantes utilizan su ordenador como si fuera un servidor DHCP en una red local. Estos servidores sirven para asignar direcciones IP y realizar la configuración de los dispositivos que forman parte de una red, para que se puedan comunicar con otras redes. Mediante un DHCP simulado, los hackers pueden controlar las direcciones IP locales para desviar e interceptar el tráfico saliente.
ARP cache poisoning
El protocolo ARP tiene como función resolver IPs en redes LAN. Para proceder al envenenamiento de caché ARP, el hacker necesita conocer el sistema del destinatario. Al hacer una petición ARP se envía tanto la IP como la dirección MAC del equipo que realiza la solicitud, así como la IP del equipo de destino. Mediante el ARP cache poisoning, se busca dar respuestas falsas en estas peticiones, para que el usuario use el ordenador del hacker como punto de acceso a internet y así poder interceptar los datos salientes de los ordenadores de las víctimas.
Ataques basados en servidores DNS
En este tipo de ataques los ciberdelincuentes manipulan el caché de servidores DNS con el objetivo de dar direcciones falsas. Generalmente, estos ataques se centran en servidores que utilizan versiones del software DNS muy antiguas, ya que son más vulnerables. Además, en caso de lograr acceso a estos servidores, será mucho más sencillo enviar registros falsos y envenenar su caché.
Simulación de un punto de acceso inalámbrico
Este tipo de ataque man in the middle por WiFi está dirigido principalmente a los usuarios de los teléfonos móviles. El hacker crea un punto de acceso inalámbrico en una red pública, por ejemplo en una biblioteca o cafetería. El objetivo es hacer que el equipo del atacante funcione como un punto de acceso inalámbrico a internet, para que los usuarios se conecten a él a través de sus dispositivos móviles y así hacer de intermediario entre los usuarios y la red pública.
Ataque Man in the Browser
Mediante este sistema, los atacantes instalan un malware en el navegador del usuario. Este malware se ejecuta en el equipo de forma silenciosa y clandestina, interceptando los datos que el usuario intercambia con páginas web y otros servicios de internet. Generalmente, los ciberdelincuentes usan este método en equipos que no están actualizados y que, por tanto, cuentan con mayores brechas de seguridad.
¿Por qué son tan peligrosos?
Como ya imaginarás, la intención de los ciberdelincuentes no es conseguir esa receta de albóndigas que tu madre te ha pasado por correo electrónico, por muy rica que esté. Sus intenciones suelen ser muchos más oscuras, por ejemplo robarte las credenciales de tu banca online.
Básicamente, a través de este tipo de ataques los ciberdelincuentes pueden tener acceso a cualquier tipo de datos que los usuarios intercambien en la red, ya sea con otros usuarios o con servicios de internet. Con estos datos en su poder podrían proceder a suplantar la identidad de la víctima, robarle sus credenciales o llevar a cabo todo tipo de acciones maliciosas.
Ejemplos de ataque MITM
Los ataques MITM pueden interceptar comunicaciones en internet de cualquier tipo, véase:
- Entre el usuario y sus transacciones en línea.
- Entre un usuario y los amigos o familiares con los que chatea.
- En correos electrónicos entre compañeros de trabajo.
- Entre el usuario y el servicio de pasarela de pago de una web o tienda online.
Pero veamos un ejemplo de ataque man in the middle un poco distinto, y las consecuencias que podría tener.
Imagina a dos personas que chatean a través de redes sociales o servicios de mensajería instantánea. Entre ellos realizan una práctica llamada sexting, que consiste en el envío de fotografías subidas de tono. Esta práctica en sí misma no tiene nada de malo, mientras se realice con personas de confianza. Pero, ahora imagina que un ciberdelincuente pueda interceptar esas comunicaciones a través de un ataque man in the middle. Podría conseguir dichas fotografías y chantajear a los usuarios a cambio de no hacerlas públicas en internet (sextorsión).
Detectar ataques de intermediario
Uno de los principales peligros de los ataques de intermediario es que son muy difíciles de detectar, ya que las víctimas no son conscientes de que su tráfico de datos está siendo interceptado. Sin embargo, existen algunos métodos que pueden ayudar a descubrir cuándo se está produciendo uno de estos ataques:
- Las páginas web cargan de forma mucho más lenta.
- Las direcciones URL son HTTP cuando deberían ser HTTPS
También existen herramientas para detectar un ataque man in the middle. Por ejemplo, Wireshark es un software que analiza protocolos de red y permite detectar suplantaciones de ARP. Por otro lado, SSL Eye es un programa para Windows gratuito que identifica las credenciales SSL de los sitios a los que se conecta el usuario, indicando si son de confianza.
¿Cómo protegerse frente a esta amenaza?
Debido a la dificultad de detectar este tipo de ataques, lo más recomendable es poner en práctica las medidas de seguridad adecuadas para prevenirlos. Algunas de las mejores recomendaciones que te podemos dar son:
- Usar redes virtuales privadas que permiten navegar de forma anónima y que la información viaje cifrada.
- No conectarse a redes WiFi públicas.
- Contar con antivirus confiables y actualizados.
- Ser consciente de los métodos que emplean los ciberdelincuentes para realizar estafas como el phishing.
- Tener el sistema operativo y el navegador actualizados a su última versión (suelen parchear los errores de seguridad).
- Acceder solo a páginas web que tengan certificado SSL y usen el protocolo HTTPS.
- Asegúrate de que los servicios o apps que uses para comunicarte utilicen el cifrado de extremo a extremo.
- Si eres administrador, actualiza el software de los servidores.
Estos son solo algunos consejos para evitar los ataques man in the middle, pero ya te lo adelantamos: no hay ningún método 100% seguro.