Un ataque de "Man in the Middle" (MITM) es un término general que describe cuando un atacante se coloca en medio de una conversación entre un usuario y una aplicación, ya sea para escuchar en secreto o para suplantar a una de las partes, haciendo que parezca que se está produciendo un intercambio normal de información.
El objetivo de un ataque es robar información personal, tales como credenciales de inicio de sesión, detalles de cuentas i números de tarjetas de crédito. Los objetivos típicamente son los usuarios deaplicaciones financieras, empresas SaaS, sitios de comercio electrónico y otros sitios web donde se requiere iniciar sesión. La información obtenida durante un ataque puede ser utilizada para varios propósitos, incluido el robo de identidad, transferencias de fondos no autorizadas o un cambio de contraseña ilícito. Además, puede utilizarse para obtener una base dentro de un perímetro seguro durante la etapa de infiltración de un ataque avanzado persistente (APT).
En términos generales, un ataque MITM es el equivalente a un cartero que abre tu extracto bancario, anota los detalles de tu cuenta y después vuelve a sellar el sobre y lo entrega en tu puerta.
¿Cómo se ejecuta un ataque MITM?
La ejecución de un ataque MITM exitoso tiene dos fases distintas: la intercepción y el descifrado.
- La intercepción es el primer paso que intercepta el tráfico del usuario a través de la red del atacante antes de que llegue a su destino previsto. La forma más común (y sencilla) de hacer esto es un ataque pasivo en el que un atacante pone a disposición del público puntos de acceso WiFi gratuitos y maliciosos. Normalmente llamados de una forma que corresponde a su ubicación, no están protegidos con contraseña. Una vez una víctima se conecta a uno de estos puntos de acceso, el atacante obtiene visibilidad completa de cualquier intercambio de datos online. Los atacantes que deseen adoptar un enfoque más activo en la intercepción pueden lanzar uno de los siguientes ataques:
- La falsificación de IP: Implica que un atacante se disfrace como una aplicación alterando las cabeceras de los paquetes en una dirección IP. Como resultado, los usuarios que intentan acceder a una URL conectada a la aplicación son enviados al sitio web del atacante.
- El spoofing ARP: Es el proceso de enlazar la dirección MAC de un atacante con la dirección IP de un usuario legítimo en una red de área local utilizando mensajes ARP falsos. Como resultado, los datos enviados por el usuario a la dirección IP del anfitrión son transmitidos al atacante.
- El spoofing DNS: También conocido como envenenamiento de la caché DNS, implica infiltrarse en un servidor DNS y alterar el registro de direcciones de un sitio web. Como resultado, los usuarios que intentan acceder al sitio son enviados por el registro DNS alterado al sitio del atacante.
- Después de la intercepción: Cualquier tráfico SSL bidireccional necesita ser descifrado sin alertar al usuario o la aplicación.Existen varias maneras de conseguir esto:
- El spoofing HTTPS: Envía un certificado falso al navegador de la víctima una vez realizada la solicitud de conexión inicial a un lugar seguro. Contiene una impronta digital asociada a la aplicación comprometida, que el navegador verifica según una lista existente de sitios de confianza. Entonces, el atacante puede acceder a cualquier dato introducido por la víctima antes de que se transmita a la aplicación.
- El SSL BEAST: (Exploit del navegador contra SSL/TLS) ataca una vulerabilidad de la versión TLS 1.0 en SSL. Aquí, el ordenador de la víctima está infectado con JavaScript malicioso que intercepta cookies encriptadas enviadas por una aplicación web. Entonces, el blog de cifrado de la aplicación (CBC) está comprometido para descifrar sus cookies y tokens de autenticación.
- El secuestro SSL: Se produce cuando un atacante pasa claves de autenticación falsas tanto al usuario como a la aplicación durante un emparejamiento TCP. Esto configura lo que parece ser una conexión segura cuando, de hecho, el man in the middle controla toda la sesión.El SSL stripping: Degrada una conexión HTTPS a HTTP interceptando la autenticación TLS enviada desde la aplicación al usuario. El atacante envía una versión no cifrada del sitio de la aplicación al usuario mientras mantiene la sesión segura con la aplicación. Mientras, toda la sesión del usuario es visible para el atacante.
¿Cómo bloqueo un ataque MITM?
Bloquear los ataques MITM requiere de varios pasos prácticos por parte de los usuarios, así como una combinación de métodos de encriptación y verificación para las aplicaciones.
Para los usuarios, esto significa:
- Evitar conexiones WiFi que no estén protegidas con contraseña.
- Cuidar de las notificaciones del navegador que informan de que un sitio web no es seguro.
- Cerrar sesión inmediatamente de una aplicación segura cuando no se esté utilizando.
- No utilizar redes públicas (por ejemplo, cafeterías, hoteles) cuando se realicen transacciones sensibles.
- Para los operadores de sitios web, los protocolos de comunicación seguros, incluyendo TLS y HTTPS, ayudan a mitigar los ataques de falsificación cifrando y autenticando robustamente los datos transmitidos. Esto impide la intercepción del tráfico del sitio y bloquea el descifrado de datos sensibles, como los tokens de autenticación.
- Se considera una buena práctica para las aplicaciones utilizar SSL/TLS para asegurar cada página de su sitio y no sólo las páginas que requieren que los usuarios inicien sesión. Esto ayuda a disminuir la posibilidad de que un atacante pueda robar cookies de sesión de un usuario que navega por una sección no segura de un sitio web mientras está conectado.
Contacta con nosotros para tener más información.
