Man-in-the-Middle (MitM), “hombre en el medio”, es un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos (hosts) conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc; o para suplantar la identidad de alguna de las partes. Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, el delincuente debe estar presente en la misma red que los hosts apuntados en el ataque para cambiar la tabla de enrutamiento para cada uno de ellos.
Aunque alterar la tabla de enrutamiento es infinitamente más simple cuando se realiza en la misma red, técnicamente sería posible secuestrar los routers de los proveedores de Internet y alterar arbitrariamente sus tablas de enrutamiento, pero la complejidad de este tipo de ataque es incomparablemente mayor.
Como usar el ataque man in the middle
El ataque man-in-the-middle se realiza mediante una serie de métodos que requieren un proceso por parte del hacker.
En primer lugar, proceden a interceptar el tráfico de datos entre dos partes, antes de que esta información llegue a su destino. Para ello pueden usar diversos métodos:
Suplantar la IP: los hackers falsifican la fuente de los datos para que el equipo de las víctimas crea que se está comunicando con un destinatario legítimo.
Suplantar ARP: consiste en envenenar el caché ARP para que la dirección MAC del hacker pueda vincularse a la IP de la víctima.
Suplantar DNS: el sistema DNS de nombres de dominio traduce los dominios de internet en títulos fáciles de recordar. Los servidores recuerdan estas traducciones y las guardan en un caché. El atacante accede al caché y cambia las traducciones para redirigir al usuario a un sitio web falso.
El siguiente paso es descifrar la información que ha interceptado. También existen varios métodos para ello:
Suplantar HTTPS: el atacante instala un certificado de seguridad falso para que el navegador crea que es de confianza y le proporcione la clave para descifrar los datos que se envían.
Vulnerar el navegador en SSL: los hackers se aprovechan de la vulnerabilidad del cifrado por bloques en el protocolo SSL.
Secuestrar SSL: se produce cuando el navegador se conecta primero a un protocolo no seguro (HTTP) y luego redirige al usuario a la versión segura (HTTPS): El hacker actúa justo antes de que se produzca ese cambio, desviando la ruta del tráfico hacia su equipo.
SSL stripping: el atacante usa alguno de los métodos que hemos citado anteriormente para establecerse como intermediario de la comunicación. Una vez hecho esto, cambiará la versión segura de la web (HTTPS) por una no segura (HTTP), de manera que los datos le lleguen descifrados.
Consecuencias de un ataque de Man-in-the-Middle
Es posible desarrollar amenazas para realizar determinadas acciones dentro del tráfico interceptado o utilizar alguna de las soluciones ya creadas para realizar estas modificaciones. Una de las soluciones desarrolladas para este propósito fue Man-in-the-Middle Framework, o MITMf, que viene con varias funcionalidades instaladas por defecto. Algunas de estas funcionalidades permiten:
Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo;
Insertar en la página a la que se accede código en JavaScript creado por el atacante;
Ejecutar procesos que intentan abrir tráfico encriptado HTTPS;
Insertar un keylogger que capture todo lo que escribe la víctima.
Con esto, las opciones de ataque son prácticamente ilimitadas, y aún es posible utilizar el ataque para dirigir el tráfico a otros frameworks con aún más funcionalidades, como, por ejemplo, BeEF. Además del enfoque MitM más tradicional que menciono en esta publicación, los delincuentes usan este concepto de interceptar las acciones de las víctimas en varios otros tipos de ataques, como la alteración de la memoria cuando la víctima usa el portapapeles (al copiar y pegar algo), ataques de Man-in-the-Browser (que significa hombre en el navegador) cuando el ciberdelincuente modifica información transmitida directamente por el navegador, por ejemplo, cuando se realiza una compra.
Todos estos tipos de ataques tienen un impacto significativo en las víctimas y la mayoría de ellos no muestran signos de que la víctima esté siendo atacada en ese momento, lo que hace que las medidas de protección frente a este tipo de amenazas sean aún más necesarias.
Cómo protegerse de un ataque de Man-in-the-Middle
Siempre desconfíe de las redes Wi-Fi: Por definición, las redes Wi-Fi son más susceptibles a los ataques si alguien ha podido acceder a la red legítima de manera no autorizada o porque los actores maliciosos crean una red con el mismo nombre que la red legítima para engañar a los usuarios y que se conecten. Tenga siempre cuidado al utilizar redes Wi-Fi públicas. En caso de necesitar utilizarlas, evite compartir información importante y descargar archivos.
Solo instale software de fuentes conocidas: Muchas amenazas se esconden detrás de software o archivos que parecen inofensivos. Por eso es importante asegurarse de que el software que necesita descargar provenga de una fuente confiable para disminuir las posibilidades de que la descarga haya sido manipulada. Si un ataque Man-in-the-Middle ya está en marcha, es posible que los ciberdelincuentes puedan cambiar el archivo de destino que se descargará. Si este es el caso, el siguiente consejo le ayudará a identificar el proceso.
Antivirus: Esta es una recomendación presente en casi todas las publicaciones relacionadas a amenazas informáticas de WeLiveSecurity, por el simple hecho de que es una de las formas más eficientes de prevenir la mayoría de las amenazas. Mientras recopilaba imágenes para la elaboración de este artículo olvidé deshabilitar mi software de protección y me alertó sobre una amenaza potencial en la red e identificó un ataque de envenenamiento de caché ARP.
¿Quieres saber más?