¿Qué es un ataque de intermediario?

Qué es un ataque de intermediario o ataque MiTM

Un ataque de intermediario o man-in-the-middle es un ataque de seguridad durante el cual un atacante se introduce en una comunicación entre dos partes sin ser detectado, y redirige los datos para que pasen a través de un nodo bajo su control. Es un tipo de secuestro de sesión. Veamos en detalle qué es, cómo se previene y cómo se detecta este tipo de ataque.

Ataque de intermediario o ataque MiTM

El ataque de intermediario, abreviado como «ataque MiTM» por sus siglas en inglés, consiste en un atacante que se sitúa entre dos partes que se comunican, mientras que estas creen estar comunicándose de forma directa y segura. El atacante redirige los datos para que pasen a través de un nodo bajo su control para monitorizar, transmitir e incluso modificar su contenido. Su objetivo suele ser robar información personal, como credenciales de acceso o datos de pago.

Este tipo de ataque existe para muchos protocolos de comunicación. El ataque MiTM es el ciberataque más común en la capa de red del modelo OSI.

Fases de un ataque MiTM

La ejecución de un ataque de intermediario se suele dividir en dos fases: la de interceptación y la de desencriptación.

Fase de interceptación

Los atacantes usan diferentes métodos para interceptar datos, como:

  • Wi-Fi eavesdropping. El atacante pone a disposición del público un punto de acceso Wi-Fi sin contraseña y con un nombre que se corresponda con la ubicación. En el momento en que un usuario se conecta a dicho punto de acceso Wi-Fi, puede obtener visibilidad sobre el tráfico de datos del usuario.
  • Suplantación de IP. El atacante modifica las cabeceras de un paquete IP para hacerse pasar por otro sistema o aplicación. Cuando un usuario intenta conectarse a dicho sistema o aplicación, es redirigido al sitio del atacante.
  • Suplantación de ARP. El atacante enlaza su dirección MAC con la dirección IP de su objetivo, usando mensajes falsos del Protocolo de Resolución de Direcciones (ARP), de modo que los datos se redirijan hacia él.
  • Suplantación de DNS. El atacante usa registros DNS modificados para enviar tráfico a un sitio fraudulento similar al real. También se conoce como envenenamiento de caché DNS.

Fase de desencriptación

Tras la fase de interceptación, los atacantes usan diferentes métodos para desencriptar el tráfico SSL sin ser descubiertos:

  • Suplantación de HTTPS. El atacante envía un certificado falso al navegador del usuario una vez se ha realizado la solicitud inicial de conexión al sitio seguro. Cuando el navegador verifica la huella digital asociada, el ciberatacante puede acceder a los datos antes de que se transmitan a la aplicación.
  • Secuestro de SSL. El atacante pasa unas llaves de autenticación falsas al servidor y al cliente durante el TCP handshake, y se hace con el control de la sesión.
  • SSL stripping. El atacante intercepta la autenticación TLS para degradar una conexión HTTPS a HTTP. De este modo, el usuario utiliza una versión sin encriptar de la aplicación o sitio.

Cómo prevenir un ataque de intermediario

Para evitar que se lleven a cabo ataques de intermediario, es esencial asegurarse de que se dispone de los certificados y cifrado adecuados. No obstante, aplicar políticas corporativas y de usuario restrictivas es tan importante como educar a los usuarios para que utilicen las redes de forma segura y reconozcan las señales de un posible ataque.

Entre las medidas de prevención por parte del usuario están, entre otras:

  • Usar métodos de seguridad adicionales siempre que sea posible, como la autenticación multifactor mediante contraseñas de un solo uso.
  • Mantener las contraseñas actualizadas, que sean únicas para cada aplicación, y evitar reutilizar contraseñas antiguas. Aquí podéis encontrar algunas buenas prácticas para proteger contraseñas.
  • Cerrar la sesión de las aplicaciones seguras cuando no se estén usando.
  • Prestar atención a las notificaciones del navegador que nos alertan de sitios web inseguros.
  • Evitar las conexiones Wi-Fi públicas y sin protección; especialmente cuando se manejan datos sensibles.
  • En caso de duda sobre la seguridad de la conexión, también es recomendable usar una VPN corporativa o segura para redirigir el tráfico a través de la misma, de modo que las comunicaciones sean cifradas.

Autenticación mutua

La autenticación mutua desempeña un papel importante en la prevención de los ataques MiTM. Por ejemplo, protocolos criptográficos como TLS permiten la autenticación de ambas partes utilizando una infraestructura de clave pública. El servidor y el cliente intercambian certificados emitidos y verificados por una autoridad de certificación de confianza para validarse mutuamente. Si la identidad de una de las partes no puede ser verificada o validada, la sesión finaliza.

Como buena práctica, las aplicaciones deberían proteger todas las páginas usando un certificado SSL actualizado y emitido por una autoridad fiable; no solo aquellas que requieran iniciar sesión.

Cómo detectar un ataque de intermediario

La detección de manipulaciones puede utilizarse para identificar si una comunicación ha sido alterada. Por ejemplo, las funciones hash criptográficas y las firmas electrónicas se pueden utilizar como una capa adicional de protección contra la manipulación. Además, revisar cambios en la latencia y los tiempos de respuesta también puede ayudar a detectar ataques en determinados casos.

Asimismo, el uso de sistemas de antivirus avanzados en los equipos de los usuarios también puede ayudar a detectar y prevenir ciertos tipos de ataque MiMT.

Si te ha gustado, compártelo en redes sociales

Servicios gestionados

Servicio de administración de sistemas integral o parcial para proyectos que requieren alta disponibilidad y alto rendimiento.

DESCUBRIR MÁS