¿Qué es un ataque del hombre de en medio?

Un ataque man in the middle (a menudo abreviado como MitM o MiM) es un tipo de ciberataque de secuestro de sesión. Los piratas informáticos interceptan información compartida digitalmente, normalmente como escuchas o para hacerse pasar por otra persona. Este tipo de ataque es extremadamente peligroso, ya que puede conllevar varios riesgos, como el robo de información o comunicaciones falsas, que a menudo son difíciles de detectar porque la situación parece completamente normal para los usuarios legítimos.

Este artículo cubrirá todo lo que necesita saber sobre los ataques man in the middle, incluyendo:

• ¿Qué es un ataque "man in the middle"?
• ¿Cómo funciona un ataque man in the middle?
• ¿Cuáles son los diferentes tipos de ataque del hombre en el medio?
• ¿Cuáles son los riesgos potenciales de un ataque del tipo "hombre en el medio"?
• ¿Cómo evolucionan los ataques del hombre en el medio?
• ¿Qué ejemplos hay en la vida real de un ataque del tipo "hombre en el medio"?
• ¿Cómo puede protegerse contra un ataque del tipo "hombre en el medio"?

Un ataque man in the middle se produce cuando un tercero intercepta una conversación digital sin que los participantes legítimos tengan conocimiento de dicha interceptación. Esta conversación puede producirse entre dos usuarios humanos, un usuario humano y un sistema informático o dos sistemas informáticos.

En cualquiera de estos casos, el atacante puede simplemente espiar la conversación para obtener información (por ejemplo, credenciales de inicio de sesión, información sobre cuentas privadas, etc.) o puede hacerse pasar por el otro usuario para manipular la conversación. En este último caso, el atacante puede enviar información falsa o compartir enlaces maliciosos que pueden bloquear los sistemas o abrir la puerta a otros ciberataques. Por lo general, los usuarios legítimos no son conscientes de que se están comunicando con un tercero ilegítimo hasta mucho después, cuando el daño ya está hecho. 

Un ataque man in the middle es un ejemplo de secuestro de sesión. Otros tipos de ataques de secuestro de sesión son el cross-site scripting, el session side-jacking, el session fixation y los ataques de fuerza bruta.

Ejecutar un ataque man in the middle requiere que un hacker acceda a la conexión de un usuario. Una de las formas más comunes de hacerlo es creando un punto de acceso wifi público al que pueda unirse cualquier persona cercana, sin necesidad de contraseña. Una vez que los usuarios se unen a esta red, el hacker puede acceder a todas sus comunicaciones digitales e incluso registrar las pulsaciones del teclado para actuar como hombre en el medio.

El ejemplo del wifi público es la forma más común y sencilla de lanzar un ataque man in the middle, pero no es la única manera de hacerlo. Otros enfoques comunes incluyen:

• Enviar a los usuarios a un sitio web falso: Los piratas informáticos pueden enviar a los usuarios a un sitio web falso en lugar de a su destino previsto mediante la suplantación de IP o la suplantación de DNS . La suplantación de IP se produce cuando el hacker altera las cabeceras de los paquetes en una dirección IP, mientras que la suplantación de DNS se produce cuando el hacker accede a un servidor DNS y cambia el registro DNS del sitio web. En ambos casos, el usuario acaba en un sitio web falso propiedad del pirata informático (donde puede capturar toda la información) a pesar de que parezca completamente real.
• Redireccionamiento de transferencias de datos: Los piratas informáticos pueden redirigir el destino de las comunicaciones mediante la suplantación de ARP. Esto ocurre cuando el hacker conecta su dirección MAC a la dirección IP perteneciente a uno de los usuarios legítimos implicados en las comunicaciones. Una vez realizada esa conexión, el pirata informático puede recibir cualquier dato destinado a la dirección IP del usuario legítimo.

En algunos casos, las comunicaciones pueden quedar expuestas abiertamente, pero en los casos en los que los datos están cifrados, los ataques de hombre en el medio implican un paso más para que esa información sea legible para los piratas informáticos. Los piratas informáticos pueden intentar descifrar cualquier información cifrada mediante métodos como:

• SSL Secuestro: Los piratas informáticos falsifican las claves de autenticación para establecer lo que parece una sesión legítima y segura. Sin embargo, como el hacker es el propietario de estas claves, en realidad puede controlar toda la conversación.

• SSL BESTIA: Los piratas informáticos aprovechan una vulnerabilidad en SSL para instalar malware en el dispositivo de un usuario que puede interceptar cookies cifradas destinadas a mantener las comunicaciones digitales privadas y seguras.
• SSL stripping: Los hackers pueden convertir una conexión HTTPS más segura en una conexión HTTP menos segura, lo que elimina el cifrado de las sesiones web y expone todas las comunicaciones durante esas sesiones.

Existen varios tipos de ataques de este tipo, cada uno de los cuales tiene consecuencias potencialmente diferentes para las víctimas. Entre los tipos más comunes de ataques man in the middle se incluyen:

Un hacker puede fisgonear conversaciones durante cualquier periodo de tiempo para captar información que utilizará más adelante. No tienen por qué alterar la comunicación de ninguna manera, pero si consiguen acceder a los detalles compartidos, pueden conocer información confidencial u obtener credenciales de inicio de sesión para utilizarlas en cualquier momento.

Un hacker puede utilizar una técnica como SSL hijacking para alterar las comunicaciones haciéndose pasar por otro usuario. Por ejemplo, supongamos que Alice y Bob creen que se están comunicando entre sí. En ese caso, el hacker podría sentarse en medio de esta conversación y alterar los mensajes que cada uno envía al otro. Este método puede utilizarse para enviar información falsa, compartir enlaces maliciosos o incluso interceptar detalles importantes, como que un usuario envíe su cuenta bancaria y número de ruta para un ingreso.

Un hacker puede enviar a los usuarios a un sitio web falso (un ejemplo común de esto es a través de un intento de phishing) que parece exactamente como su destino previsto. Esta configuración les permite capturar cualquier información como credenciales de inicio de sesión o detalles de la cuenta que los usuarios enviarían al sitio web legítimo. A su vez, el pirata informático puede utilizar esta información para hacerse pasar por el usuario en el sitio web real y acceder a información financiera, modificar datos o incluso enviar mensajes falsos.

Un ataque de hombre en el medio puede acarrear diversas consecuencias negativas. De hecho, los ataques de este tipo suelen ser un trampolín para que los piratas informáticos lancen ataques aún mayores y más impactantes. Teniendo esto en cuenta, algunos de los mayores riesgos potenciales de un ataque de hombre en el medio incluyen:

Un ataque de intermediario puede dar lugar a transacciones fraudulentas, ya sea mediante escuchas para recopilar información de inicio de sesión y de cuentas o mediante el desvío de transferencias. La mayoría de las veces, esto se aplica a las transacciones financieras, ya sea directamente desde un banco o a través de pagos con tarjeta de crédito.

Capturar las credenciales de inicio de sesión de un usuario, enviarlo a un sitio web falso o incluso simplemente espiar correos electrónicos puede conducir al robo de información confidencial. Esta consecuencia puede ser especialmente preocupante para las organizaciones a gran escala que han protegido la propiedad intelectual o recopilan datos sensibles como los historiales médicos o los números de la seguridad social de los clientes. También es preocupante a medida que surgen cada vez más leyes sobre privacidad que obligan a todo tipo de empresas a proteger la información que procesan sobre sus clientes.

Robar las credenciales de inicio de sesión de los usuarios mediante un ataque de intermediario también puede dar a los piratas informáticos acceso a cualquier número de sistemas adicionales. Esto significa que incluso si sólo un sistema es susceptible de ataque, puede hacer que otros sistemas más seguros sean más vulnerables como resultado. En general, esta situación exige que los equipos de seguridad de las organizaciones se aseguren de que no hay ningún eslabón débil, por trivial que parezca cualquier punto de conexión.

Los hackers pueden utilizar un ataque man in the middle para compartir malware con los usuarios. A su vez, este malware puede conducir a un ataque generalizado, como el que derriba todo un sistema o el que proporciona acceso continuo a información o sistemas para ejecutar un asalto a largo plazo.

Dos tendencias han conducido a una evolución de los ataques del hombre en el medio y, como consecuencia, han creado un mayor riesgo para las organizaciones.

En primer lugar, el aumento de los entornos de trabajo móviles y distribuidos, lo que en última instancia significa que más personas se conectan a través de redes wifi públicas (tanto para uso personal como profesional). Cuanto más común sea esto, más oportunidades se crean para que los hackers accedan a través de estas conexiones no seguras. 

En segundo lugar, y lo que más preocupa a las organizaciones de cara al futuro, es el aumento de los dispositivos de la Internet de las cosas (IoT) y de las identidades de las máquinas. Los dispositivos de IoT no solo requieren un tipo de seguridad diferente, sino que también crean más puntos de conexión e identidades que requieren autenticación. Si no se protegen adecuadamente, estas máquinas crean una variedad de puntos de acceso para los piratas informáticos, muchos de los cuales son aparentemente inocentes (por ejemplo, las unidades de climatización). Por mundanas que parezcan, todas estas máquinas requieren una seguridad sólida, por ejemplo mediante cifrado y actualizaciones periódicas para asegurarse de que se adhieren a los últimos protocolos de seguridad, a fin de evitar que sean vulnerables a ataques del tipo "man in the middle".

Desgraciadamente, los ataques de tipo "man in the middle" son bastante frecuentes. Algunos de los ejemplos recientes más notables de este tipo de ataque incluyen:

En 2015, las autoridades europeas detuvieron a 49 sospechosos por una serie de robos de cuentas bancarias ejecutados en toda Europa mediante técnicas de man in the middle. El grupo robó aproximadamente €El grupo robó aproximadamente 6 millones de euros a empresas europeas accediendo a cuentas de correo electrónico corporativas, vigilando las comunicaciones para detectar solicitudes de pago y dirigiendo esas transacciones a sus propias cuentas. Este ataque incluía intentos de suplantación de identidad y la creación de sitios web falsos que parecían reales.

En 2017, unos investigadores descubrieron un fallo en la tecnología de fijación de certificados utilizada en aplicaciones móviles de los principales bancos, como HSBC, NatWest, Co-op, Santander y Allied Irish Bank. El fallo permitía que un hacker en la misma red que un usuario legítimo pudiera acceder a credenciales de inicio de sesión como nombres de usuario, contraseñas y PIN sin ser detectado al no verificar correctamente el nombre de host de la aplicación.

Con este tipo de acceso, los hackers podrían realizar un ataque man in the middle para ver y recopilar información, actuar en nombre de usuarios legítimos o incluso lanzar ataques de phishing in-app. Curiosamente, el punto débil que proporcionaba acceso en este caso procedía de procesos mal gestionados para manejar certificados, que en realidad están pensados para mejorar la seguridad.

En 2017, Equifax, una de las mayores agencias de información crediticia de Estados Unidos, fue víctima de un ataque man in the middle a través de conexiones de dominio no seguras que condujo al robo de información crediticia de identificación personal de más de 100 millones de consumidores. El ataque comenzó porque Equifax no parcheó una vulnerabilidad en un marco de desarrollo que utilizaba, lo que permitió a los hackers incrustar código malicioso en las peticiones HTTP. A partir de ahí, los piratas informáticos pudieron acceder a los sistemas internos y espiar las actividades de los usuarios para recopilar diversa información durante meses.

Los ataques de tipo "hombre en el medio" siguen siendo demasiado frecuentes y, como consecuencia, suponen una grave amenaza para la seguridad de los usuarios y de la organización. A pesar de la elevada amenaza de estos ataques, hay varias medidas que tanto el equipo de seguridad de su organización como sus usuarios pueden tomar para protegerse contra estos riesgos. Las mejores medidas de protección incluyen:

Una de las formas más comunes en que los hackers obtienen acceso para ejecutar un ataque man in the middle es a través de puntos de conexión no seguros, como el wifi público. Como resultado, es importante que los usuarios sean extremadamente cuidadosos con los puntos de conexión. Esto significa evitar el wifi público (y desde luego no iniciar sesión en ningún sistema si está conectado a una red pública) y utilizar una VPN para cifrar las conexiones de red.

Los intentos de suplantación de identidad (phishing) son otro punto de entrada habitual para los ataques del hombre en el medio, y los mejores pueden ser muy convincentes. Educar a los usuarios sobre estos ataques y su evolución puede ayudarles mucho a detectar los intentos y evitar ser víctimas de ellos.

Navegar a un sitio web escribiendo la URL en lugar de hacer clic en un enlace es una de las mejores prácticas para ayudar a prevenir el éxito del phishing y otras tácticas comunes que inician ataques de hombre en el medio enviando a los usuarios a un sitio web falso o incrustando malware. De este modo se evitan los casos en los que los hackers envían un enlace ligeramente modificado que puede abrir la puerta a un ataque.

Cuando los usuarios teclean la dirección URL de un sitio web, también deberían incluir HTTPS y asegurarse de que cualquier sitio web que visitan cuenta con este nivel de seguridad. Comprobar el protocolo HTTPS puede parecer sencillo, pero puede ayudar mucho a verificar la legitimidad y seguridad del sitio antes de compartir información confidencial.

Varios ataques recientes del tipo "man in the middle" han pedido a los usuarios que realicen pasos para iniciar sesión en un sitio web que en realidad no forman parte del proceso normal de inicio de sesión, aunque parecían completamente legítimos. Educar a los usuarios sobre lo que implican y no implican los procesos normales de inicio de sesión puede ayudarles a identificar más fácilmente las situaciones que se salen de lo normal.

Por parte del equipo de seguridad, conocer los hábitos habituales de inicio de sesión de los usuarios puede ayudar a detectar más fácilmente cualquier patrón inusual. Por ejemplo, si la mayoría de los usuarios suelen iniciar sesión entre semana, pero de repente hay un pico de actividad los fines de semana, puede ser preocupante y requerir una investigación más profunda.

Exigir a los usuarios que inicien sesión con una autenticación multifactor puede proporcionar otra capa de protección contra los ataques del hombre en el medio. De esta forma, aunque los piratas informáticos consigan obtener una combinación de nombre de usuario y contraseña, no podrán acceder a las cuentas sin otra forma de verificación (por ejemplo, un código enviado por mensaje de texto).

Aunque este enfoque de dos capas no es hermético, ya que algunos ataques recientes del tipo "hombre en el medio" han atravesado ambas capas, proporciona una protección significativamente mayor.

Obligar a los usuarios a desconectarse de las sesiones seguras una vez finalizadas es una práctica importante, ya que el cierre de la sesión pone fin a cualquier acceso a la misma desde fuentes tanto legítimas como ilegítimas. En otras palabras, cuanto más tiempo permanezca abierta una sesión, mayor será el riesgo de que un pirata informático pueda acceder a ella de cualquier forma.

Por último, un programa PKI sólido es fundamental para autenticar las conexiones entre usuarios (tanto humanos como máquinas) y cifrar sus comunicaciones. Un enfoque de PKI basado en las mejores prácticas requiere un sistema muy ágil que pueda seguir el ritmo del rápido crecimiento del número de identidades, aplicar las normas de seguridad de forma coherente en todos los ámbitos y actualizar periódicamente las claves de cifrado para evitar riesgos como la proliferación de claves.