¿Qué es un ataque Man-in-the-Middle?

Un ataque de intermediario (man-in-the-middle, a menudo abreviado como MitM o MiM) es un tipo de ciberataque de secuestro de sesión. Los hackers interceptan información compartida digitalmente, normalmente actuando como un fisgón o para suplantar a otra persona. Este tipo de ataque es extremadamente peligroso, ya que puede conllevar varios riesgos, como el robo de información o comunicaciones falsas, que a menudo son difíciles de detectar porque la situación parece completamente normal para los usuarios legítimos.

Este artículo cubrirá todo lo que necesita saber sobre los ataques de intermediario (man-in-the-middle), incluyendo:

• ¿Qué es un ataque de intermediario (man-in-the-middle)?
• ¿Cómo funciona un ataque de intermediario (man-in-the-middle)?
• ¿Cuáles son los diferentes tipos de ataques de intermediario (man-in-the-middle)?
• ¿Cuáles son los riesgos potenciales de un ataque de intermediario (man-in-the-middle)?
• ¿Cómo están evolucionando los ataques de intermediario (man-in-the-middle)?
• ¿Cuáles son ejemplos reales de un ataque de intermediario (man-in-the-middle)?
• ¿Cómo puede protegerse contra un ataque de intermediario (man-in-the-middle)?

Un ataque de intermediario (man-in-the-middle) ocurre cuando un tercero intercepta una conversación digital sin que los participantes legítimos tengan conocimiento de dicha intercepción. Esta conversación puede darse entre dos usuarios humanos, un usuario humano y un sistema informático, o dos sistemas informáticos.

En cualquiera de estos casos, el atacante podría simplemente escuchar la conversación para obtener información (por ejemplo, credenciales de inicio de sesión, información de cuentas privadas, etc.) o podría suplantar al otro usuario para manipular la conversación. En este último caso, el atacante podría enviar información falsa o compartir enlaces maliciosos que pueden bloquear sistemas o abrir la puerta a ciberataques adicionales. Normalmente, los usuarios legítimos no son conscientes de que en realidad se están comunicando con un tercero ilegítimo hasta mucho después de que el daño ya se haya producido. 

Un ataque de intermediario (man-in-the-middle) es un ejemplo de secuestro de sesión. Otros tipos de ataques de secuestro de sesión incluyen el cross-site scripting, el session side-jacking, la fijación de sesión y los ataques de fuerza bruta.

La ejecución de un ataque de intermediario (man-in-the-middle) requiere que un hacker obtenga acceso a la conexión de un usuario. Una de las formas más comunes de hacerlo es creando un punto de acceso wifi público al que cualquiera que esté cerca pueda unirse, sin necesidad de contraseña. Una vez que los usuarios se unen a esta red, el hacker puede acceder a todas sus comunicaciones digitales e incluso registrar las pulsaciones de teclas para actuar como intermediario.

El ejemplo del wifi público es la forma más común y sencilla de lanzar un ataque de intermediario (man-in-the-middle), pero no es la única. Otros enfoques comunes incluyen:

• Envío de usuarios a un sitio web falso: Los hackers pueden enviar a los usuarios a un sitio web falso en lugar de su destino previsto mediante la suplantación de IP (IP spoofing) o la suplantación de DNS (DNS spoofing). La suplantación de IP ocurre cuando el hacker altera los encabezados de los paquetes en una dirección IP, mientras que la suplantación de DNS ocurre cuando el hacker obtiene acceso a un servidor DNS y cambia el registro DNS del sitio web. En cualquier caso, el usuario termina en un sitio web falso propiedad del hacker (donde este puede capturar toda la información) a pesar de que parezca completamente real.
• Redireccionamiento de transferencias de datos: Los hackers pueden redirigir el destino de las comunicaciones mediante la suplantación de ARP (ARP spoofing). Esto ocurre cuando el hacker conecta su dirección MAC a la dirección IP perteneciente a uno de los usuarios legítimos involucrados en las comunicaciones. Una vez que establecen esa conexión, el hacker puede recibir cualquier dato destinado a la dirección IP del usuario legítimo.

En algunos casos, las comunicaciones pueden estar expuestas abiertamente, pero en los casos en que los datos están cifrados, los ataques de intermediario (man-in-the-middle) implican un paso adicional para hacer que esa información sea legible para los hackers. Los hackers pueden intentar descifrar cualquier información cifrada mediante enfoques como:

• Secuestro de SSL (SSL hijacking): Los hackers falsifican claves de autenticación para establecer lo que parece una sesión legítima y segura. Sin embargo, dado que el hacker posee estas claves, puede controlar toda la conversación.

• SSL BEAST: Los hackers atacan una vulnerabilidad en SSL para instalar malware en el dispositivo de un usuario que puede interceptar cookies cifradas destinadas a mantener las comunicaciones digitales privadas y seguras.
• Eliminación de SSL (SSL stripping): Los hackers pueden convertir una conexión HTTPS más segura en una conexión HTTP menos segura, lo que elimina el cifrado de las sesiones web y expone todas las comunicaciones durante esas sesiones.

Existe una variedad de tipos de ataques de intermediario, cada uno de los cuales puede tener consecuencias diferentes para las víctimas. Los tipos comunes de ataques de intermediario incluyen:

Un atacante puede interceptar conversaciones durante cualquier período para capturar información que utilizará en una fecha posterior. No necesitan necesariamente alterar la comunicación de ninguna manera, pero si logran acceder a los detalles compartidos, pueden obtener información confidencial o credenciales de inicio de sesión para usar en cualquier momento.

Un atacante puede utilizar una técnica como el secuestro de SSL para alterar las comunicaciones haciéndose pasar por otro usuario. Por ejemplo, supongamos que Alice y Bob creen que se están comunicando entre sí. En tal caso, el atacante podría interponerse en esta conversación y modificar los mensajes que cada uno envía al otro. Este enfoque puede emplearse para enviar información falsa, compartir enlaces maliciosos o incluso interceptar detalles importantes, como cuando un usuario envía su número de cuenta bancaria y número de ruta para un depósito.

Un atacante puede enviar a los usuarios a un sitio web falso (un ejemplo común de esto es a través de un intento de phishing) que parece exactamente su destino previsto. Esta configuración les permite capturar cualquier información, como credenciales de inicio de sesión o detalles de la cuenta, que los usuarios enviarían al sitio web legítimo. A su vez, el atacante puede usar esta información para hacerse pasar por el usuario en el sitio web real y acceder a información financiera, alterar detalles o incluso enviar mensajes falsos.

Un ataque de intermediario puede conducir a una variedad de consecuencias negativas. De hecho, los ataques de intermediario son a menudo un trampolín para que los atacantes lancen ataques aún mayores y de mayor impacto. Teniendo esto en cuenta, algunos de los mayores riesgos potenciales de un ataque de intermediario incluyen:

Un ataque de intermediario puede conducir a transacciones fraudulentas, ya sea mediante la intercepción para recopilar información de inicio de sesión y de cuenta, o mediante el redireccionamiento de transferencias. Con mayor frecuencia, esto se aplica a transacciones financieras, ya sea directamente desde un banco o a través de pagos con tarjeta de crédito.

La captura de las credenciales de inicio de sesión de un usuario, el envío a un sitio web falso o incluso la simple intercepción de correos electrónicos pueden conducir al robo de información confidencial. Esta consecuencia puede ser particularmente preocupante para organizaciones a gran escala que poseen propiedad intelectual protegida o recopilan datos sensibles como historiales de salud o números de seguridad social de clientes. También es una preocupación a medida que surge cada vez más legislación de privacidad que exige a todo tipo de empresas proteger la información que procesan sobre sus clientes.

El robo de credenciales de inicio de sesión de usuarios a través de un ataque de intermediario también puede otorgar a los atacantes acceso a cualquier número de sistemas adicionales. Esto significa que, incluso si solo un sistema es susceptible a un ataque, podría hacer que otros sistemas más seguros sean más vulnerables como resultado. En general, esta situación exige que los equipos de seguridad de las organizaciones se aseguren de que no haya ningún eslabón débil, por trivial que parezca cualquier punto de conexión.

Los atacantes pueden utilizar un ataque de intermediario para compartir malware con los usuarios. A su vez, este malware puede conducir a un ataque generalizado, como uno que derriba un sistema completo o que proporciona acceso continuo a información o sistemas para ejecutar un asalto a largo plazo.

Dos tendencias han propiciado una evolución en los ataques de intermediario y, como resultado, han creado un mayor riesgo para las organizaciones.

En primer lugar, el auge de los entornos de trabajo móviles y distribuidos, lo que en última instancia significa que más personas se conectan a través de redes wifi públicas (tanto para uso personal como empresarial). Cuanto más común se vuelve esto, más oportunidades crea para que los atacantes obtengan acceso a través de estas conexiones no seguras. 

En segundo lugar, y lo más preocupante para las organizaciones en el futuro, es el aumento de los dispositivos de Internet de las Cosas (IoT) y las identidades de máquinas. Los dispositivos IoT no solo requieren un tipo de seguridad diferente, sino que también crean más puntos de conexión e identidades que requieren autenticación. Si no se aseguran adecuadamente, estas máquinas crean una variedad de puntos de acceso para los atacantes, muchos de los cuales parecen inofensivos (es decir, unidades HVAC). Por muy mundanas que parezcan, todas estas máquinas requieren una seguridad robusta, por ejemplo, mediante cifrado y actualizaciones periódicas para asegurarse de que cumplen con los últimos protocolos de seguridad, a fin de evitar que sean vulnerables a ataques de intermediario.

Desafortunadamente, los ataques de intermediario son bastante comunes. Algunos de los ejemplos recientes más notables de este tipo de ataque incluyen:

En 2015, las autoridades europeas detuvieron a 49 sospechosos por una serie de robos de cuentas bancarias ejecutados en toda Europa mediante técnicas de ataque de intermediario. El grupo sustrajo aproximadamente €6 millones de euros a empresas europeas al obtener acceso a cuentas de correo electrónico corporativas, monitorear las comunicaciones para detectar solicitudes de pago y luego redirigir esas transacciones a sus propias cuentas. Este ataque implicó intentos de phishing, así como la creación de sitios web falsos diseñados para parecer legítimos.

En 2017, investigadores descubrieron una vulnerabilidad en la tecnología de fijación de certificados (certificate pinning) utilizada en aplicaciones móviles de importantes bancos, como HSBC, NatWest, Co-op, Santander y Allied Irish Bank. La vulnerabilidad permitía que un atacante en la misma red que un usuario legítimo pudiera acceder a credenciales de inicio de sesión, como nombres de usuario, contraseñas y PIN, sin ser detectado, al no verificar correctamente el nombre de host de la aplicación.

Con este tipo de acceso, los atacantes podrían realizar un ataque de intermediario para visualizar y recopilar información, actuar en nombre de usuarios legítimos o incluso lanzar ataques de phishing dentro de la aplicación. Curiosamente, el punto débil que proporcionó el acceso en este caso se originó en procesos de gestión de certificados gestionados de forma inadecuada, los cuales están diseñados, en realidad, para mejorar la seguridad.

En 2017, Equifax, una de las mayores agencias de informes de crédito en EE. UU., fue víctima de un ataque de intermediario a través de conexiones de dominio no seguras que resultó en el robo de información de crédito de identificación personal de más de 100 millones de consumidores. El ataque comenzó con la omisión de Equifax de parchear una vulnerabilidad en un framework de desarrollo que utilizaba, lo que permitió a los atacantes incrustar código malicioso en las solicitudes HTTP. A partir de ahí, los atacantes lograron acceder a sistemas internos y espiar las actividades de los usuarios para recopilar diversa información durante meses.

Los ataques de intermediario siguen siendo demasiado comunes y, como resultado, representan una seria amenaza para la seguridad de los usuarios y las organizaciones. A pesar de la elevada amenaza que suponen estos ataques, existen varias medidas que tanto el equipo de seguridad de su organización como sus usuarios pueden adoptar para protegerse contra estos riesgos. Las mejores medidas de protección incluyen:

Una de las formas más comunes en que los atacantes obtienen acceso para ejecutar un ataque de intermediario es a través de puntos de conexión no seguros, como las redes Wi-Fi públicas. Como resultado, es crucial que los usuarios sean extremadamente cautelosos con los puntos de conexión. Esto implica evitar las redes Wi-Fi públicas (y, por supuesto, no iniciar sesión en ningún sistema si están conectados a una red pública) y utilizar una VPN para cifrar las conexiones de red.

Los intentos de phishing son otro punto de entrada común para los ataques de intermediario, y los más sofisticados pueden ser muy convincentes. Educar a los usuarios sobre estos ataques y su evolución puede ser de gran ayuda para que detecten los intentos y eviten ser víctimas de ellos.

Navegar a un sitio web escribiendo la URL en lugar de hacer clic en un enlace es una buena práctica para ayudar a prevenir el phishing exitoso y otras tácticas comunes que inician ataques de intermediario al enviar a los usuarios a un sitio web falso o incrustar malware. Hacer esto evita casos en los que los atacantes envían un enlace ligeramente modificado que puede abrir la puerta a un ataque.

Cuando los usuarios escriban la dirección URL de un sitio web, también deben incluir HTTPS y asegurarse de que cualquier sitio web que visiten tenga este nivel de seguridad. Verificar el protocolo HTTPS puede parecer sencillo, pero contribuye en gran medida a verificar la legitimidad y seguridad del sitio antes de compartir cualquier información sensible.

Varios ataques de intermediario recientes han solicitado a los usuarios que sigan pasos para iniciar sesión en un sitio web que en realidad no forman parte del proceso de inicio de sesión normal, aunque parecieran completamente legítimos. Educar a los usuarios sobre lo que implican y no implican los procesos de inicio de sesión normales puede ayudarles a identificar más fácilmente situaciones que se salen de lo común.

Por parte del equipo de seguridad, conocer los hábitos de inicio de sesión normales de los usuarios puede ayudar a identificar más fácilmente cualquier patrón inusual. Por ejemplo, si la mayoría de los usuarios suelen iniciar sesión entre semana, pero de repente hay un pico de actividad los fines de semana, esto podría ser motivo de preocupación y requerir una investigación adicional.

Exigir a los usuarios que inicien sesión con autenticación multifactor puede proporcionar una capa adicional de protección contra los ataques de intermediario; de esta manera, incluso si los atacantes logran obtener una combinación de nombre de usuario/contraseña, no podrán acceder a las cuentas sin otra forma de verificación (por ejemplo, un código enviado por mensaje de texto).

Aunque este enfoque de dos capas no es infalible, ya que algunos ataques de intermediario recientes han logrado superar ambas capas, sí proporciona una protección significativamente mayor.

Obligar a los usuarios a cerrar las sesiones seguras una vez finalizadas es una práctica importante, ya que el cierre de la sesión finaliza cualquier acceso a la misma, tanto de fuentes legítimas como ilegítimas. En otras palabras, cuanto más tiempo permanezca abierta una sesión, mayor será el riesgo de que un atacante pueda acceder a ella de diversas maneras.

Finalmente, un programa robusto de PKI es fundamental para autenticar las conexiones entre usuarios (humanos y máquinas) y cifrar sus comunicaciones. Un enfoque de mejores prácticas para la PKI exige un sistema altamente ágil que pueda seguir el ritmo del número de identidades en rápido crecimiento, aplicar estándares de seguridad de manera consistente en todos los ámbitos y actualizar regularmente las claves de cifrado para evitar riesgos como la proliferación de claves.