Comprendiendo los Tipos de Ataques de Intermediario (Man-in-the Middle / MitM)

Tipos de Ataques de Intermediario (Man-in-the Middle / MitM)

1. Secuestro de correo electrónico (Email hijacking)

Como su nombre indica, en este tipo de ataque, los ciberdelincuentes toman el control de las cuentas de correo electrónico de bancos, instituciones financieras u otras empresas de confianza que tienen acceso a datos sensibles y dinero. Una vez dentro, los atacantes pueden monitorear las transacciones y la correspondencia entre el banco y sus clientes.

En escenarios más maliciosos, los atacantes suplantan o falsifican la dirección de correo electrónico del banco y envían correos a los clientes solicitándoles que reenvíen sus credenciales, o peor aún, que envíen dinero a una cuenta controlada por los atacantes. En esta versión del ataque MitM, la ingeniería social, o ganarse la confianza de las víctimas, es clave para el éxito.

2. Espionaje Wi-Fi (Wi-Fi eavesdropping)

En el espionaje Wi-Fi, los ciberdelincuentes hacen que las víctimas se conecten a una red inalámbrica cercana con un nombre que suena legítimo. Pero en realidad, la red está configurada para realizar actividades maliciosas. La red inalámbrica puede parecer que pertenece a un negocio cercano que el usuario frecuenta o puede tener un nombre genérico aparentemente inofensivo, como “Red Wi-Fi Pública Gratuita”. En algunos casos, el usuario ni siquiera necesita ingresar una contraseña para conectarse.

Una vez que las víctimas están conectadas al Wi-Fi malicioso, el atacante tiene opciones: monitorear la actividad en línea del usuario o extraer credenciales de inicio de sesión, información de tarjetas de crédito o pago y otros datos sensibles.

Para protegerse contra este ataque, los usuarios siempre deben verificar a qué red están conectados. Con los teléfonos móviles, deben desactivar la función de conexión automática Wi-Fi cuando se mueven localmente para evitar que sus dispositivos se conecten automáticamente a una red maliciosa.

3. Suplantación de DNS (DNS spoofing)

La suplantación del Sistema de Nombres de Dominio (DNS), o envenenamiento de caché DNS, ocurre cuando se utilizan registros DNS manipulados para desviar el tráfico legítimo en línea hacia un sitio web falso o suplantado construido para parecerse a un sitio web que el usuario probablemente conocería y en el que confiaría.

Como con todas las técnicas de suplantación, los atacantes inducen a los usuarios a iniciar sesión sin saberlo en el sitio web falso y los convencen de que necesitan realizar una acción específica, como pagar una tarifa o transferir dinero a una cuenta específica. Los atacantes roban todos los datos posibles de las víctimas en el proceso.

4. Secuestro de sesión (Session hijacking)

El secuestro de sesión es un tipo de ataque MitM en el que el atacante espera a que una víctima inicie sesión en una aplicación, como banca o correo electrónico, y luego roba la cookie de sesión. El atacante luego usa la cookie para iniciar sesión en la misma cuenta propiedad de la víctima pero desde el navegador del atacante.

Una sesión es un fragmento de datos que identifica un intercambio temporal de información entre dos dispositivos o entre una computadora y un usuario. Los atacantes explotan las sesiones porque se utilizan para identificar a un usuario que ha iniciado sesión en un sitio web. Sin embargo, los atacantes necesitan trabajar rápidamente ya que las sesiones expiran después de un tiempo determinado, que podría ser tan corto como unos minutos.

5. Secuestro de SSL (SSL hijacking)

La mayoría de los sitios web hoy en día muestran que están usando un servidor seguro. Tienen “HTTPS”, abreviatura de Protocolo de Transferencia de Hipertexto Seguro, en lugar de “HTTP” o Protocolo de Transferencia de Hipertexto en la primera parte del Localizador Uniforme de Recursos (URL) que aparece en la barra de direcciones del navegador. Incluso cuando los usuarios escriben HTTP, o ningún HTTP, la versión HTTPS o segura se mostrará en la ventana del navegador. Este es un protocolo de seguridad estándar, y todos los datos compartidos con ese servidor seguro están protegidos.

SSL y su sucesor, la seguridad de la capa de transporte (TLS), son protocolos para establecer seguridad entre computadoras en red. En un secuestro SSL, el atacante intercepta todos los datos que pasan entre un servidor y la computadora del usuario. Esto es posible porque SSL es un protocolo de seguridad más antiguo y vulnerable que necesitó ser reemplazado (la versión 3.0 fue descontinuada en junio de 2015) con el protocolo TLS más fuerte.

5. Envenenamiento de caché ARP (ARP cache poisoning)

El Protocolo de Resolución de Direcciones (ARP) es un protocolo de comunicación utilizado para descubrir la dirección de capa de enlace, como una dirección de control de acceso al medio (MAC), asociada con una dirección de capa de Internet dada. El ARP es importante porque traduce la dirección de capa de enlace a la dirección del Protocolo de Internet (IP) en la red local.

En este esquema, la computadora de la víctima es engañada con información falsa del ciberdelincuente para hacerle creer que la computadora del estafador es la puerta de enlace de la red. Como tal, la computadora de la víctima, una vez conectada a la red, esencialmente envía todo su tráfico de red al actor malicioso en lugar de hacerlo a través de la puerta de enlace real de la red. El atacante luego utiliza este tráfico desviado para analizar y robar toda la información que necesita, como la información de identificación personal (PII) almacenada en el navegador.

6. Suplantación de IP (IP spoofing)

La suplantación de IP es similar a la suplantación de DNS en que el atacante desvía el tráfico de Internet dirigido a un sitio web legítimo hacia un sitio web fraudulento. En lugar de suplantar el registro DNS del sitio web, el atacante modifica la dirección IP del sitio malicioso para que parezca que es la dirección IP del sitio web legítimo que los usuarios pretendían visitar.

7. Robo de cookies del navegador (Stealing browser cookies)

En informática, una cookie es un pequeño fragmento de información almacenada. Una cookie del navegador, también conocida como cookie HTTP, es información recopilada por un navegador web y almacenada localmente en la computadora de un usuario. La cookie del navegador ayuda a los sitios web a recordar información para mejorar la experiencia de navegación del usuario. Por ejemplo, con las cookies habilitadas, un usuario no tiene que seguir completando los mismos elementos en un formulario, como nombre y apellido.

El robo de cookies del navegador debe combinarse con otra técnica de ataque MitM, como el espionaje Wi-Fi o el secuestro de sesión, para llevarse a cabo. Los ciberdelincuentes pueden obtener acceso al dispositivo de un usuario utilizando una de las otras técnicas MitM para robar cookies del navegador y explotar todo el potencial de un ataque MitM. Con acceso a las cookies del navegador, los atacantes pueden obtener acceso a contraseñas, números de tarjetas de crédito y otra información sensible que los usuarios almacenan regularmente en sus navegadores.

¿Cómo Funciona un Ataque de Intermediario (MitM)?

Independientemente de las técnicas específicas o el conjunto de tecnologías necesarias para llevar a cabo un ataque MitM, existe un orden de trabajo básico:

1. La Persona A envía un mensaje a la Persona B.
2. El atacante MitM intercepta el mensaje sin el conocimiento de la Persona A o la Persona B.
3. El atacante MitM cambia el contenido del mensaje o lo elimina por completo, nuevamente, sin el conocimiento de la Persona A o la Persona B.

En términos informáticos, un ataque MitM funciona explotando vulnerabilidades en los protocolos de seguridad de red, web o navegador para desviar el tráfico legítimo y robar información de las víctimas.

Ejemplos de Ataques Man-In-The-Middle

En 2013, Edward Snowden filtró documentos que obtuvo mientras trabajaba como consultor en la Administración de Seguridad Nacional (NSA). Los documentos mostraron que la NSA se hizo pasar por Google interceptando todo el tráfico con la capacidad de falsificar la certificación de cifrado SSL. La NSA utilizó este ataque MitM para obtener los registros de búsqueda de todos los usuarios de Google, incluidos todos los estadounidenses, lo que constituía espionaje doméstico ilegal de ciudadanos estadounidenses.

El Proveedor de Servicios de Internet Comcast utilizó JavaScript para sustituir sus anuncios por publicidad de sitios web de terceros. Este tipo de ataque MitM se llama inyección de código. El tráfico web que pasaba por el sistema Comcast le dio a Comcast la capacidad de inyectar código y cambiar todos los anuncios por anuncios de Comcast o insertar anuncios de Comcast en contenido que originalmente no tenía publicidad.

Un ejemplo famoso de ataque man-in-the-middle es Equifax, una de las tres compañías más grandes de informes de historial crediticio. La compañía sufrió una violación de datos MitM en 2017 que expuso los datos financieros de más de 100 millones de clientes a criminales durante varios meses.

Una falla en una aplicación bancaria utilizada por HSBC, NatWest, Co-op, Santander y Allied Irish Bank permitió a los criminales robar información personal y credenciales, incluyendo contraseñas y códigos PIN.

Los ataques MitM contribuyeron a violaciones masivas de datos. Las mayores violaciones de datos en 2021 incluyeron Cognyte (cinco mil millones de registros), Twitch (cinco mil millones de registros), LinkedIn (700 millones de registros) y Facebook (553 millones de registros).

MitM issues in mobile apps

Cualquier persona que use un dispositivo móvil es un objetivo potencial. Muchas aplicaciones no utilizan certificate pinning. El certificate pinning vincula el certificado de cifrado SSL al nombre del host en el destino adecuado. Este proceso requiere inclusión en el desarrollo de la aplicación mediante el uso de relaciones de pinning conocidas y válidas. No se puede implementar más tarde si ya hay un proxy malicioso operando porque el proxy suplantará el certificado SSL con uno falso.

Un proxy intercepta el flujo de datos del remitente al receptor. Si es un proxy malicioso, modifica los datos sin que el remitente o el receptor sean conscientes de lo que está ocurriendo.

¿Cómo detectar un ataque de intermediario (MitM)?

Debido a que los ataques MitM dependen de elementos más estrechamente asociados con otros ciberataques, como el phishing o la suplantación de identidad —actividades maliciosas para las que los empleados y usuarios ya pueden haber sido capacitados para reconocer y evitar— los ataques MitM podrían, a primera vista, parecer fáciles de detectar.

Sin embargo, dada la creciente sofisticación de los ciberdelincuentes, la detección debe incluir una variedad de protocolos, tanto humanos como técnicos. Como con todas las amenazas cibernéticas, la prevención es clave.

Las siguientes son señales de que podría haber espías maliciosos en tu red y que un ataque MitM está en curso:

1. Desconexiones inusuales: Las desconexiones inesperadas o repetidas de un servicio —cuando un usuario es expulsado de manera extraña de un servicio y debe iniciar sesión una y otra vez— suelen ser una señal de un intento o ataque MitM. Los ciberdelincuentes buscan todas las oportunidades posibles para obtener nombres de usuario y contraseñas, y aunque tener que ingresar repetidamente un nombre de usuario y contraseña puede parecer un inconveniente menor para el usuario, esta es una acción que los atacantes MitM necesitan que suceda una y otra vez para tener éxito.
2. URLs extrañas: En una estafa de suplantación de identidad, los ciberdelincuentes crean sitios web falsos que se ven idénticos a los reconocibles y confiables para atraer a las víctimas a ingresar sus credenciales. En la versión MitM de este ataque, la página web entregada al usuario en su navegador es un sitio suplantado, y la URL en la ventana de direcciones claramente no es la dirección reconocible del sitio o aplicación de confianza. Los atacantes MitM utilizan un DNS hijack para que los usuarios interactúen y se involucren con el sitio suplantado mientras el código malicioso intercepta sus mensajes y recopila sus datos. Para todas las transacciones financieras personales, los usuarios deben examinar cuidadosamente las páginas web de sus instituciones financieras para determinar si algo parece poco familiar.
3. Wi-Fi público no seguro: El Wi-Fi público disponible en establecimientos desconocidos debe evitarse si es posible. Esto es diferente del Wi-Fi municipal, que es la conectividad gratuita ofrecida por las ciudades para que los residentes se conecten a Internet. Incluso si los usuarios no realizan transacciones bancarias u otras tareas que involucren datos sensibles en un Wi-Fi público, un ataque MitM aún puede enviar código malicioso a un dispositivo para espiar chats y mensajes. Los criminales son conocidos por usar nombres de redes Wi-Fi que suenan inocentes, como “Wi-Fi Local Gratuito”, así que ten cuidado. Los atacantes pueden ofrecer conectividad gratuita, pero también observan toda la actividad del usuario.

Impacto de los Ataques de Intermediario en las Empresas

Los ataques MitM son graves y requieren prevención de ataques man-in-the-middle. Las empresas enfrentan mayores riesgos debido a la movilidad empresarial, los trabajadores remotos, la vulnerabilidad de los dispositivos IoT, el mayor uso de dispositivos móviles y el peligro de usar conexiones Wi-Fi no seguras.

El Almanaque de Ciberseguridad 2022, publicado por Cybercrime Magazine, reportó $6 billones en daños causados por el cibercrimen en 2021. Se espera que esta cifra alcance los $10 billones anuales para 2025.

Los ataques MitM recopilan credenciales personales e información de inicio de sesión. Un ataque puede instalar una actualización de software comprometida que contiene malware. La comunicación no cifrada, enviada a través de conexiones de red no seguras por dispositivos móviles, es especialmente vulnerable.

Business News Daily informa que las pérdidas por ciberataques en pequeñas empresas promedian $55,000.

¿Cómo Prevenir Ataques de Intermediario (Man-in-the-Middle Attacks)?

Las buenas prácticas de ciberseguridad generalmente ayudarán a proteger a individuos y organizaciones de los ataques MitM.

1. Actualizar y asegurar los routers Wi-Fi domésticos: Esto es quizás lo más importante, ya que las políticas de trabajo desde casa (WFH) generalmente exigen que los empleados usen un router doméstico para conectarse a Internet y acceder a la red corporativa. El software del router Wi-Fi, conocido como firmware, debe actualizarse de vez en cuando. Este proceso debe realizarse manualmente porque las actualizaciones de firmware no son automáticas. Además, asegúrate de que la configuración de seguridad del router esté establecida en la más fuerte, que según la Wi-Fi Alliance, actualmente es WPA3.
2. Usar una red privada virtual (VPN) al conectarse a Internet: Las VPN cifran los datos que viajan entre los dispositivos y el servidor VPN. El tráfico cifrado es más difícil de modificar.
3. Usar cifrado de extremo a extremo: Cuando sea posible, instruye a los empleados para que activen el cifrado para correos electrónicos y otros canales de comunicación. Para mayor seguridad, usa solo software de comunicaciones que ofrezca cifrado desde el principio. Algunas aplicaciones activan automáticamente el cifrado en segundo plano, como WhatsApp Messenger, por ejemplo. Sin embargo, si los empleados desean verificar que sus mensajes están realmente cifrados, deberán realizar un proceso especial, como escanear y comparar códigos QR disponibles en la aplicación WhatsApp en el teléfono de cada persona.
4. Instalar parches y usar software antivirus: Estas pueden ser prácticas básicas de ciberseguridad, pero vale la pena mencionarlas porque son fáciles de olvidar. Además, con las políticas de WFH, los empleados ahora son responsables de asegurar que todos los parches estén instalados y el software de seguridad esté actualizado en sus dispositivos. El personal de TI puede necesitar explicar la importancia de esto a los empleados para fortalecer la seguridad del punto final.
5. Usar contraseñas fuertes y un gestor de contraseñas: Dado que las contraseñas no desaparecerán pronto, anima a los empleados a usar contraseñas fuertes y un gestor de contraseñas. Para los dispositivos propiedad de la empresa, el personal de TI puede instalar software de gestión de dispositivos móviles que incluye una política de contraseñas con reglas relacionadas con la longitud, complejidad (es decir, uso de caracteres especiales), vencimiento, historial/reutilización y el número máximo de intentos de contraseña antes de que el dispositivo se borre remotamente.
6. Si está disponible, implementar autenticación multifactor (MFA): Para no depender únicamente de las contraseñas, las organizaciones deben fomentar el uso de MFA para el acceso a dispositivos y servicios en línea. Esta práctica se ha convertido rápidamente en la mejor defensa de las organizaciones contra las amenazas.
7. Conectarse solo a sitios web seguros: Esto significa buscar un pequeño icono de candado a la izquierda de la URL del sitio web en la barra de direcciones del navegador. Es una señal de que la página web que estás visitando es segura y usa el protocolo HTTPS. Por seguridad, los empleados —y los usuarios web en general— nunca deben conectarse a sitios HTTP regulares o aquellos que no tienen visible el icono del candado. Para garantizar esto, los usuarios pueden considerar instalar un complemento gratuito del navegador que pueda hacer cumplir esta regla. Además, la mayoría de las plataformas integrales de ciberseguridad incluyen protocolos de filtrado web que restringen el acceso de los empleados a sitios no HTTPS.
8. Cifrar el tráfico DNS: El DNS es el servicio de directorio distribuido de Internet. Las aplicaciones usan DNS para resolver un nombre de dominio a una dirección IP. Sin embargo, cuando el DNS quiere conectarse al resolutor DNS recursivo externo, la privacidad y la seguridad se convierten en un problema porque el DNS está distribuido y no existe un único protocolo de seguridad. Los mecanismos que han surgido, incluyendo DNS sobre TLS (DoT) y consultas DNS sobre HTTPS, cifran el tráfico DNS entre la computadora del usuario y el resolutor DNS externo para validar la autenticidad del resolutor usando certificados para asegurar que ninguna otra parte pueda suplantar al resolutor.
9. Adoptar la filosofía de confianza cero: Zero trust es un concepto de seguridad que requiere que las organizaciones no confíen automáticamente en nada dentro o fuera de sus perímetros. En su lugar, deben verificar primero cualquier cosa que intente conectarse a sus sistemas antes de conceder acceso. El modelo es “nunca confíes, siempre verifica”, y se basa en la verificación continua en todos los dispositivos, usuarios y aplicaciones. Los enfoques de confianza cero pueden prevenir que un ataque MitM comience o pueden proteger los activos de una organización si un ataque MitM ya está en curso.
10. Implementar una solución UEBA: El análisis de comportamiento de usuarios y entidades (UEBA) utiliza aprendizaje automático para detectar incluso las más pequeñas anomalías en el comportamiento de usuarios y dispositivos conectados a la red corporativa. A medida que los ciberataques se vuelven más complejos y los vectores de amenaza pueden aparecer en cualquier lugar, las herramientas de aprendizaje automático se utilizan cada vez más para monitorear pequeños cambios en el comportamiento que podrían ser sospechosos e indicativos de un ataque MitM.