Saltar al contenido principal

Ataques Man-in-the-Middle (MITM) explicados

Lectura de 2 min aprox.

Un ataque de intermediario (Man-in-the-Middle Attack, MITM) es una técnica de ataque en la que un atacante se interpone entre dos partes que se comunican, interceptando y manipulando el contenido de su comunicación. Como el atacante se hace pasar por un interlocutor legítimo ante ambas partes, a las víctimas les resulta difícil darse cuenta de que están siendo atacadas. Se utiliza de forma malintencionada para robar contraseñas e información de sesión, y la comunicación que no está cifrada es especialmente peligrosa.

Casos de uso reales

«Un empleado revisó su correo en el Wi-Fi de un hotel durante un viaje de negocios sin conectarse a la VPN corporativa, y una cookie de sesión fue robada mediante un ataque de intermediario. El atacante accedió al groupware de la empresa con esa sesión, por lo que invalidamos la sesión en cuestión y forzamos un restablecimiento de la contraseña.»

El flujo de un ataque de intermediario

Usuario
Atacante (intercepta / manipula)
Servidor legítimo

Métodos de ataque

Algunos métodos representativos son la suplantación ARP en redes Wi-Fi públicas, la suplantación de DNS y la instalación de puntos de acceso Wi-Fi falsos. En las comunicaciones que no usan HTTPS, existe el riesgo de que la información de inicio de sesión sea interceptada en texto plano. En un ataque de SSL stripping, una conexión HTTPS se degrada a HTTP para interceptar la comunicación.libros sobre defensa contra ataques de red (Amazon) permiten aprender en detalle.

Escenarios concretos de daño

Un error común es pensar que «un ataque de intermediario es imposible en un sitio HTTPS». En realidad, la «inspección SSL», en la que un servidor proxy corporativo descifra e inspecciona la comunicación SSL/TLS, es una forma legítima de ataque de intermediario. Además, al conectarte al Wi-Fi gratuito de una cafetería, si un atacante ha instalado un punto de acceso falso con el mismo nombre, te conectas al Wi-Fi falso sin darte cuenta y toda tu comunicación es interceptada. En casos en los que se interceptó la información de inicio de sesión de banca en línea, se han reportado transferencias fraudulentas ejecutadas en cuestión de minutos.

Medidas de defensa

Las medidas básicas consisten en verificar siempre la conexión HTTPS y usar una VPN en las redes Wi-Fi públicas. Además de una contraseña aleatoria robusta, si configuras la autenticación de dos factores, podrás evitar inicios de sesión no autorizados aunque tu contraseña sea interceptada. También es importante no ignorar las advertencias de certificado del navegador.libros sobre VPN y protección de la privacidad (Amazon) también sirven de referencia.

Términos relacionados

¿Te resultó útil este artículo?

XHatena