Man in the middle: lo que aun no sabías
¿Sabes qué es «man in the middle» (MITM), qué tan peligrosos son este tipo de ataques informáticos y cuales son los objetivos principales de cada atacante? Cuidar de nuestra información confidencial tanto personal como bancaria debería ser esencial, pero a través de ataques como este, el cual suele ser en muchos casos imperceptible, ese objetivo de seguridad se dificulta en gran medida. Conoce todo lo necesario.
Man in the middle | hombre en el medio: ¿Qué es?
Un ataque de hombre en el medio o más conocido como «man in the middle» (MITM), es un tipo de ataque informático en el que el atacante toma una posición entre dos víctimas que se comunican entre sí a través de una conexión “privada”, la cual en realidad está siendo controlada por el atacante y la información a su vez, siendo escuchada, analizada y modificada.
MITM: Antes VS Después
Los ataques – Man in the middle – se conocían mucho antes de la llegada de las computadoras, puesto que no eran reconocidos, en aquel entonces, como ataques informáticos, sino mas bien exclusivamente como un método de espionaje en donde sólo se necesitaba que el atacante se situara entre las dos partes que intentaban comunicarse; interceptando los mensajes enviados e imitando al menos a una de ellas.
Algunos ejemplos:
Uno de los primeros ataques de este tipo fue realizado en el reconocido Babington Plot (1586). Un plan que pretendía asesinar a la reina Elizabeth I y el cual fue interceptado, descodificado y modificado por un experto en criptografía Thomas Phelippes.
También, durante la Segunda Guerra Mundial, la inteligencia británica realizó ataques MITM contra las fuerzas nazis utilizando transmisores de onda media, específicamente el Aspidistra. Igualmente, el craqueo del código Enigma también podría considerarse un ataque MITM.
Así mismo, en la medida que fue pasando el tiempo, estos ataques se comenzaron a considerar ataques informáticos por el impacto de sus objetivos. En el mundo informático, algunos de los casos mas reconocidos en relación con ataques MITIM han sido:
- 2013, se filtró información sobre el sistema Quantum / FoxAcid MITM empleado por la NSA para interceptar las conexiones TOR (Red de Anonimato).
- 2014, Lenovo instaló un adware MITM (SSL Hijacking) llamado Superfish en sus PC con Windows.
- 2015, una pareja británica (los Luptons) perdió £ 340,000 en un correo electrónico de interceptación / correo electrónico que secuestró un ataque MITM.
¿Qué tan peligrosos son los ataques Man in the middle?
Usualmente los ciberdelincuentes usan ataques de intermediarios para espiar las comunicaciones entre un cliente y un servidor. Esto incluye conexiones HTTPS a sitios web, otras conexiones SSL / TLS, conexiones Wi-Fi y más.
La forma más común (y más simple) de hacer esto es un ataque pasivo en el que un atacante pone a disposición puntos de acceso WiFi gratuitos y maliciosos para el público. Estos no están protegidos con contraseña y una vez que la víctima se conecta a ese punto de acceso, el atacante obtiene visibilidad completa de cualquier intercambio de datos en línea.
La ejecución exitosa de MITM tiene dos fases distintas: interceptación y descifrado.
Se intercepta el tráfico del usuario a través de la red del atacante antes de que llegue a su destino deseado. Tipos de interceptación:
- La suplantación de IP implica que un atacante se disfraza de aplicación al alterar los encabezados de paquetes en una dirección IP. Como resultado, los usuarios que intentan acceder a una URL conectada a la aplicación se envían al sitio web del atacante.
- La simulación de ARP es el proceso de vincular la dirección MAC de un atacante con la dirección IP de un usuario legítimo en una red de área local mediante mensajes ARP falsos. Como resultado, los datos enviados por el usuario a la dirección IP del host se transmiten al atacante.
- La falsificación de DNS, también conocida como envenenamiento de caché de DNS, implica infiltrarse en un servidor DNS y alterar el registro de direcciones de un sitio web. Como resultado, los usuarios que intentan acceder al sitio son enviados por el registro de DNS modificado al sitio del atacante.
Después de la intercepción, cualquier tráfico SSL de dos vías debe ser descifrado sin alertar al usuario o la aplicación. Existen varios métodos para lograr esto:
- La falsificación de HTTPS envía un certificado falso al navegador de la víctima una vez que se realiza la solicitud de conexión inicial a un sitio seguro. Tiene una huella digital asociada con la aplicación comprometida, que el navegador verifica de acuerdo con una lista existente de sitios de confianza. El atacante puede acceder a cualquier dato ingresado por la víctima antes de que pase a la aplicación.
- SSL BEAST (vulnerabilidad del navegador frente a SSL / TLS) apunta a una vulnerabilidad de la versión 1.0 de TLS en SSL. Aquí, la computadora de la víctima está infectada con JavaScript malicioso que intercepta las cookies cifradas enviadas por una aplicación web. Luego, el cifrado de bloques de la aplicación (CBC) se ve comprometido para descifrar sus cookies y tokens de autenticación.
