Artículos

¿Qué es un Ataque de Hombre en el Medio? Explicación de la jerga de seguridad

Un ataque de hombre en el medio es difícil de identificar y de defenderse. Los ataques MITM generalmente no dependen de la infección de los equipos en cualquiera de los extremos del sistema. En cambio, dependen del control de los equipos de comunicaciones entre dos sistemas. Por ejemplo, un enrutador malicioso que ofrezca Wi-Fi gratuito en un lugar público puede realizar un ataque de hombre en el medio.

Un ataque fuera de línea del hombre en el medio

Los ataques del hombre en el medio existían antes de las computadoras. Este tipo de ataque implica que un atacante se inserte entre dos partes comunicándose entre sí. Los ataques de hombre en el medio son esencialmente ataques de escucha.

Por ejemplo, supongamos que se está comunicando con alguien a través del correo físico, es decir, que se están escribiendo cartas el uno al otro. Si tuvieras un cartero loco, podrían interceptar cada carta que envíes, abrirla, leerla y luego reempaquetarla y enviarla a tu destinatario original. El destinatario original le devolvería la carta, y el cartero la abriría, la leería, la reenvasaría y se la daría a usted. No sabrías que hay un hombre en el medio de tu canal de comunicación; si se realiza correctamente, este tipo de ataque es invisible para los participantes.

Este tipo de escuchas – la toma de un canal de comunicación entre dos participantes y la escucha del tráfico – es el núcleo de un ataque del tipo “hombre en el medio”. Podría ser peor que simplemente leer la correspondencia personal. Si usted estaba enviando cartas de ida y vuelta con planes de negocios, el atacante podría interceptar esos datos sin que usted lo sepa.

El atacante también puede modificar los mensajes en tránsito. Digamos que le envías una carta a alguien. El hombre en el medio podría agregar una nota a esa carta, pidiéndole algún tipo de favor – tal vez le pidan a la persona del otro lado que incluya algo de dinero en efectivo porque realmente necesita dinero. Seguro, la escritura podría no parecer idéntica, pero el hombre en el medio podría reescribir su carta palabra por palabra, agregar su mensaje personalizado y enviar la carta al destinatario. Mientras el hombre en el medio esté haciendo esto todo el tiempo, el destinatario no notará que no es su letra. El destinatario podría devolverle la carta y mencionar que incluyó algo de dinero, y el intermediario podría quedarse con el dinero, reescribir su carta – omitiendo la referencia al dinero – y enviarle la carta a usted. Esto requiere un poco de trabajo en un mundo fuera de línea, pero es mucho más fácil hacer este tipo de cosas en línea donde puede ser automatizado por software.

Ataques en línea del hombre en el medio

Los ataques en línea de hombre en el medio funcionan de la misma manera. Por ejemplo, supongamos que se conecta a un enrutador inalámbrico malicioso, tal vez un enrutador que ofrece Wi-Fi gratuito en un lugar público. A continuación, intentará conectarse al sitio web de su banco. En el escenario de ataque más obvio, vería un error de certificado que le informa de que el sitio web del banco no tiene el certificado de cifrado adecuado. Esto le alertaría de un ataque de hombre en el medio, pero bastantes personas podrían hacer clic en este mensaje de error. Usted ingresa a su banco y realiza las transacciones como lo haría normalmente. Todo parece estar bien.

En realidad, un atacante podría haber creado un servidor falso que parece ser su banco. Cuando te conectas a él, recupera la página web del banco, lo modifica un poco y te lo presenta. Usted inicia sesión con los detalles de su cuenta y esos detalles se envían al servidor de hombre en el medio. El servidor inicia sesión por ti, toma la página de detalles de tu cuenta y te envía una copia. Todo puede parecer normal, pero en realidad hay un servidor en el medio, reenviando datos de un lado a otro y escuchando a escondidas la información confidencial. El problema del certificado era la única advertencia – el servidor de hombre en el medio no tendría el certificado de seguridad apropiado para el sitio web de su banco real.

Con los típicos sitios web HTTP no cifrados (no sitios web HTTPS cifrados), no tendrías ningún aviso de un ataque del tipo “hombre en el medio”. Esta es la razón por la que las páginas web sensibles como las páginas de acceso a la cuenta, los sistemas bancarios en línea, los sitios de compras y los servicios de correo electrónico suelen ofrecerse a través de HTTPS.

El ataque anterior no depende de que haga clic en una advertencia de certificado. La herramienta de ataque SSLStrip puede eliminar el cifrado HTTPS de un sitio, de modo que pueda visitar el sitio web de su banco, ser redirigido a una versión HTTP no cifrada y verse comprometido si intenta iniciar sesión. La única indicación de que había un problema sería que el sitio de su banco estaba siendo ofrecido a través de HTTP en lugar de HTTPS – algo muy fácil de pasar por alto.

Otros ataques de hombre en el medio podrían depender del software que infecte su computadora – por ejemplo, el malware podría esconderse en segundo plano en su computadora, insertándose entre su navegador web y los servidores que contacta para realizar un ataque de hombre en el medio en su navegador. Este tipo de malware debería ser detectable por un buen software antivirus, por supuesto.

Defensa contra los ataques del MITM

Los ataques MITM son difíciles de defender por tu parte. Generalmente indican que un canal de comunicación en sí mismo, como un router Wi-Fi, está comprometido. Es posible darse cuenta de los ataques del tipo “hombre en el medio”, pero el servidor remoto tendrá que usar encriptación HTTPS y es posible que necesite tener una visión clara. Aquí hay algunos consejos:

  • No ignore las advertencias de los certificados: Una advertencia de certificado de seguridad indica que hay un problema grave. El certificado no coincide con el servidor que está viendo, por lo que esto podría significar que se está comunicando con un servidor de phishing o un servidor impostor que realiza un ataque MITM. También podría indicar un servidor mal configurado, por lo que muchas personas han sido entrenadas para ignorarlo. No se limite a hacer clic en páginas de advertencia como ésta, especialmente cuando acceda a sitios sensibles como su correo electrónico o su banca en línea.
  • Compruebe si hay HTTPS: Cuando se conecte a un sitio sensible en el que haya introducido una contraseña importante o datos de tarjeta de crédito, asegúrese de que el sitio esté utilizando cifrado HTTPS. Echa un vistazo rápidamente a la barra de direcciones y asegúrate de que el cifrado esté en su lugar antes de iniciar sesión, especialmente en las redes Wi-Fi públicas. El plug-in HTTPS de la EFF de Everywhere ayudará un poco aquí, forzando a su navegador a usar HTTPS donde los sitios lo soportan.
  • Tenga cuidado con las redes públicas Wi-Fi: Tenga especial cuidado al conectarse a redes Wi-Fi públicas en las que no confía. Evite realizar operaciones bancarias en línea y otras actividades especialmente delicadas en dichas redes. Sospeche especialmente si ve mensajes de error en los certificados y sitios sensibles sin cifrado HTTPS en las redes Wi-Fi públicas.
  • Ejecute el software antivirus: El software antivirus y otras prácticas básicas de seguridad en Internet le ayudarán a protegerse contra los ataques del tipo “hombre en el medio” que requieren que el malware se ejecute en su equipo.

Los ataques del hombre en el medio dependen de que se comprometa un canal de comunicación. El canal de comunicación generalmente estará fuera de su control, por lo que querrá utilizar un canal de comunicación diferente si se encuentra con un posible ataque MITM. Esto puede significar desconectarse de una red Wi-Fi pública sospechosa y utilizar una conexión a Internet más segura.

Image Credit: Andy Rennie on Flickr, Josh McGinn on Flickr, Erin Pettigrew on Flickr

Fuente