Ataques de intermediarios (MITM)
¿Qué es un ataque de intermediario?
Los ataques de intermediario o MITM, por sus siglas en inglés, consisten en un ataque cibernético donde el cibercriminal intercepta los datos enviados entre dos empresas o particulares. El objetivo es robar, espiar o modificar los datos con un fin malicioso, como la extorsión.
¿Cómo funciona un ataque de intermediario?
Estos ataques dependen de la manipulación de redes existentes o la creación de redes maliciosas que los cibercriminales controlan. Estos interceptan el tráfico y lo dejan pasar, recopilando información transaccional, o lo redirigen a otro lugar.
En esencia, los cibercriminales actúan como un "intermediario" entre la persona que envía la información y la que la recibe, de ahí su nombre. Estos ataques son sorprendentemente comunes, sobre todo en redes Wi-Fi públicas. Como las redes wifi públicas son a menudo poco seguras, no se puede saber quién supervisa o intercepta el tráfico web, ya que cualquier persona puede iniciar sesión.
Tipos de ataques de intermediario
Hay varios tipos de ataques de intermediario, lo que los convierte en las amenazas cibernéticas más versátiles que se encuentran hoy en día.
Red wifi pública
Uno de los métodos de ataque de intermediario más comunes se produce en redes wifi públicas. Las redes wifi públicas no suelen ser seguras, por lo que los cibercriminales pueden ver el tráfico web de cualquiera de los dispositivos conectados a la red y recopilar la información que necesiten.
Punto de acceso no autorizado
Se trata de un punto de acceso no autorizado e inalámbrico instalado en una red legítima. Esto le permite al cibercriminal interceptar o supervisar el tráfico entrante, que generalmente lo redirige a una red totalmente diferente para propiciar las descargas de malware o extorsionar al usuario. El malware es un tipo de software malicioso que se instala en el dispositivo de la víctima para espiar y robar datos.
Suplantación de la dirección IP
La suplantación de la dirección IP consiste en modificar la dirección IP para redirigir el tráfico al sitio web del atacante. Este “falsea” la dirección alterando las cabeceras de los paquetes para hacerse pasar por una aplicación o un sitio web legítimos.
Suplantación del ARP
Este ataque vincula la dirección MAC del atacante con la dirección IP de la víctima en una red de área local usando mensajes del ARP falsos. Cualquier dato que la víctima envíe a la red de área local se redirige en su lugar a la dirección MAC del cibercriminal, lo que le permite interceptar y manipular los datos a su antojo.
Suplantación de DNS
El cibercriminal accede al servidor DNS de un sitio web y modifica el registro de la dirección web del sitio. El registro del DNS alterado redirige el tráfico entrante al sitio web del cibercriminal.
Suplantación de HTTPS
Cuando el usuario se conecta a un sitio seguro con el prefijo https://, el cibercriminal envía un certificado de seguridad falso al navegador. Esto "engaña" al navegador para que piense que la conexión es segura cuando, en realidad, el cibercriminal está interceptando y posiblemente redirigiendo los datos.
Secuestro de sesiones
Los cibercriminales secuestran las sesiones para tomar su control en un sitio web o una aplicación. El secuestro expulsa al usuario legítimo de la sesión y bloquea al cibercriminal en la aplicación o el sitio web hasta que obtiene la información que quiere.
Inyección de paquetes
Los cibercriminales crean paquetes que parecen normales y los inyectan en una red establecida para acceder y supervisar el tráfico o iniciar ataques DDoS. Un ataque de denegación de servicio distribuido (DDoS) consiste en interrumpir el tráfico normal de un servidor saturándolo con una avalancha de tráfico de internet.
SSL Stripping
El cibercriminal intercepta la señal TLS de una aplicación o un sitio web y la modifica para que el sitio cargue en una conexión no segura como HTTP en lugar de HTTPS. Esto hace que la sesión del usuario esté visible para el cibercriminal y exponga información confidencial.
Suplantación de SSL
Este método implica suplantar la dirección de un sitio seguro para que la víctima acceda a él. El cibercriminal intercepta la comunicación entre la víctima y el servidor web del sitio al que quiere acceder, disfrazando el sitio malicioso como la URL del sitio legítimo.
SSL BEAST
El cibercriminal infecta la computadora de un usuario con JavaScript malicioso. Después, el malware intercepta las cookies del sitio web y los tokens de autenticación para descifrarlos, lo que expone la sesión completa de la víctima al cibercriminal.
Robo de las cookies del navegador de SSL
Las cookies son bits útiles de la información de sitio web que el sitio al que accede almacena en su dispositivo. Sirven para recordar la actividad web y los inicios de sesión, pero los cibercriminales pueden robarlas para obtener información y utilizarlas con fines maliciosos.
Rastreo
Los ataques de rastreo supervisan el tráfico para robar información. El rastreo se realiza con una aplicación o hardware y expone el tráfico web de la víctima al cibercriminal.
Cómo detectar los ataques de intermediario
Detectar un ataque de intermediario puede ayudar a una empresa o particular a mitigar el riesgo potencial que pueda causar un cibercriminal. Estos son algunos métodos para detectarlos:
Analizar direcciones web extrañas
- Haga que su equipo supervise sus navegadores web en busca de direcciones web extrañas en la barra de búsquedas o en la barra de la URL. El secuestro del DNS puede crear suplantaciones de direcciones comunes, por lo general a través de cambios que suelen pasar desapercibidos. Por ejemplo, un atacante puede reemplazar www.facebook.com por “www.faceb00k.com.” Este método de suplantación funciona sorprendentemente bien, y la mayoría de nosotros pasamos por alto cambios sencillos sin fijarnos bien.
Desconexiones inesperadas y retrasos en la red
- Algunos tipos de ataques de intermediario pueden causar retrasos en la red repentinos e inesperados o incluso desconexiones totales. Esto puede ocurrir con el tiempo y normalmente no van acompañados de problemas de red u otros síntomas obvios.
- Si observa desconexiones frecuentes o retrasos en su red, comprobar que no se trata de un simple problema de red puede ser una buena idea.
Supervisar redes wifi públicas
- A menudo, los atacantes interceptan la información enviada en redes públicas o incluso crean redes falsas en lugares públicos. Estas redes permiten a los cibercriminales ver toda su actividad web sin que ni siquiera sepa que lo están atacando. Evite las redes wifi públicas cuando sea posible y use una VPN si necesita conectarse. También debería evitar conectarse a redes extrañas con nombres sospechosos.
Cómo evitar los ataques de intermediario
Evitar estos ataques puede ahorrar tanto a personas como a empresas una gran cantidad de dinero en daños y mantener intactas las identidades web y públicas. Aquí tiene algunas herramientas esenciales para evitar estos ataques:
Gestor de contraseñas
- El uso de un gestor de contraseñas con funciones de seguridad de red adecuadas le garantiza que todas las credenciales de acceso se almacenan de forma segura. Una función importante contra estos ataques es el cifrado de extremo a extremo. Keeper ha integrado este cifrado en los intercambios entre bóvedas, que usan una infraestructura de clave pública (PKI). Esto significa que los cibercriminales no pueden interceptar contraseñas u otros registros compartidos en tránsito. Keeper también ofrece a las empresas carpetas compartidas entre equipos y funciones de control basado en roles, lo que permite a los administradores restringir y repartir el acceso entre los miembros del equipo.
Red privada virtual
- Una red privada virtual o VPN redirige todo el tráfico de internet a varios servidores diferentes y oculta la dirección IP del usuario para que la navegación sea más privada y segura. Las VPN también incluyen un cifrado inherente que ayuda a asegurar los mensajes y otros datos.
