¿Qué es un ataque de intermediario (MITM)?

Después de situarse sigilosamente en medio de comunicaciones bipartitas, los atacantes MITM interceptan datos confidenciales como números de tarjetas de crédito, información de cuentas y credenciales de inicio de sesión. Luego, los hackers utilizan esa información para cometer otros delitos cibernéticos, como realizar compras no autorizadas, secuestrar cuentas financieras y robar identidades.

Además de los intercambios entre un usuario y una aplicación, un atacante MITM también podría espiar las comunicaciones privadas entre dos personas. En este escenario, el atacante desvía y retransmite mensajes entre las dos personas, a veces alterando o reemplazando mensajes para controlar la conversación.

Algunas organizaciones y expertos en ciberseguridad se están alejando del término "ataques de intermediario" (man-in-the-middle) porque algunos podrían considerar que el lenguaje es potencialmente sesgado. Es posible que el término no capture los casos en los que la entidad intermedia es un bot, un dispositivo o malware en lugar de una persona.

Los términos alternativos para este tipo de ciberataque incluyen machine-in-the-middle, on-path attack, adversary-in-the-middle (AITM) y manipulator-in-the-middle.

Las vulnerabilidades en las redes, los navegadores web, las cuentas de correo electrónico, los comportamientos de los usuarios y los protocolos de seguridad son los puntos de partida de los ataques MITM. Los ciberdelincuentes explotan estas debilidades para insertarse entre los usuarios y las aplicaciones de confianza para poder controlar las comunicaciones e interceptar datos en tiempo real.

Los ataques de phishing son un medio común de entrada para los atacantes MITM. Al hacer clic en un enlace malicioso en un correo electrónico, un usuario puede lanzar sin saberlo un ataque man-in-the-browser. Los atacantes MITM a menudo confían en esta táctica para infectar el navegador web de un usuario con malware que les permite realizar cambios encubiertos en las páginas web, manipular transacciones y espiar la actividad del usuario.

Otra fuente común de ataques MITM son los puntos de acceso wifi públicos. Los routers wifi públicos tienen menos protocolos de seguridad que los routers wifi domésticos o laborales. Esto facilita que los usuarios cercanos se conecten con la red. Pero también facilita que los hackers comprometan el enrutador para que puedan espiar el tráfico de Internet y recopilar datos de los usuarios.

Los atacantes MITM a veces crean sus propias redes wifi públicas maliciosas para atraer a usuarios desprevenidos y recopilar sus datos personales.

Los atacantes de MITM también pueden crear sitios web falsos que parecen legítimos, pero que en realidad están recopilando datos críticos, como credenciales de inicio de sesión. Los hackers pueden usar esas credenciales para iniciar sesión en cuentas de usuario en sitios web auténticos. O podrían utilizar el sitio web falso para engañar a los usuarios para que realicen pagos o transfieran fondos.

Los ataques de intermediario requieren que los ciberdelincuentes: 1) intercepten los datos que pasan entre sus dos objetivos y 2) descifren esa información.

Para meterse en medio de dos objetivos que se comunican, como un usuario y una aplicación web, un atacante debe interceptar los datos que viajan entre los dos. A continuación, el atacante transmite esa información desviada entre los objetivos como si se tratara de comunicaciones normales para que las víctimas no sospechen nada.

Hoy en día, la mayoría de las comunicaciones por Internet están cifradas, por lo que es probable que cualquier dato que intercepte un atacante MITM deba descifrarse antes de que el atacante pueda utilizarlo. Los atacantes pueden descifrar datos robando claves de cifrado, ejecutando ataques de fuerza bruta o utilizando técnicas de ataque MITM especializadas (consulte la siguiente sección).

Los atacantes utilizan una variedad de técnicas para interceptar y descifrar datos durante los ataques MITM. Las técnicas comunes incluyen:

Suplantación de IP: las direcciones de Internet Protocol (IP) identifican entidades en línea como sitios web, dispositivos y direcciones de correo electrónico. Los atacantes MITM alteran o "falsifican" sus direcciones IP para que parezca que un usuario se está comunicando con un host genuino cuando en realidad está conectado a una fuente maliciosa.

Suplantación de ARP o envenenamiento de caché ARP: el protocolo de resolución de direcciones (ARP) conecta una dirección IP con la dirección correcta de control de acceso a medios (MAC) en una red de área local. Al suplantar la dirección ARP, un atacante puede enrutar esta conexión a su propia dirección MAC para extraer información.

Suplantación de DNS: el sistema de nombres de dominio (DNS) conecta los nombres de dominio de los sitios web con sus direcciones IP asignadas. Al cambiar un nombre de dominio en los registros DNS, un atacante MITM puede desviar a los usuarios de un sitio legítimo a otro fraudulento.

Suplantación de HTTPS: el protocolo de transferencia de hipertexto seguro (HTTPS) garantiza comunicaciones seguras mediante el cifrado de los datos que viajan entre un usuario y un sitio web. Los atacantes MITM derivarán en secreto a los usuarios a una página HTTP estándar sin cifrar para que puedan acceder a datos no protegidos.

Secuestro de SSL: Secure Sockets Layers (SSL) es la tecnología que proporciona autenticación y cifrado entre un navegador web y un servidor web mediante certificados SSL. Los atacantes MITM utilizan un certificado SSL falso para secuestrar este proceso e interceptar datos antes de que puedan cifrarse.

Eliminación de SSL: esta técnica tiene lugar cuando un sitio web acepta conexiones HTTP entrantes antes de dirigir ese tráfico a conexiones HTTPS seguras. Los atacantes MITM interrumpen este proceso de transición para poder acceder a los datos no cifrados antes de que pasen a una conexión HTTPS segura.

En este tipo de ataques, los ciberdelincuentes toman el control de las cuentas de correo electrónico de una empresa u organización. Los atacantes MITM a menudo se dirigen a instituciones financieras como bancos o compañías de tarjetas de crédito para este tipo de ataque.

Los hackers vigilan las comunicaciones, recopilan datos personales y recaban información sobre las transacciones. En algunos casos, falsifican una dirección de correo electrónico de la empresa para convencer a clientes o socios de que realicen depósitos o transfieran fondos a una cuenta fraudulenta.

Cuando el navegador web de un usuario se comunica con un sitio web, almacena temporalmente
información en una cookie de sesión. Los atacantes MITM obtienen acceso a estas cookies y las utilizan para hacerse pasar por un usuario o robar la información que contienen, que puede incluir contraseñas, números de tarjetas de crédito y otra información de la cuenta.

Dado que la cookie caduca cuando lo hace la sesión, los hackers deben actuar con rapidez antes de que desaparezca la información.

Los atacantes MITM a veces crean redes WiFi públicas y puntos de acceso en lugares públicos populares, como aeropuertos, restaurantes y centros de ciudades. Los nombres de estas redes fraudulentas suelen ser similares a los de empresas cercanas u otras conexiones wifi públicas de confianza. Los hackers también pueden comprometer los puntos de acceso wifi públicos legítimos utilizados por el público.

En cualquier caso, cuando usuarios desprevenidos inician sesión, los atacantes recopilan datos confidenciales como números de tarjetas de crédito, nombres de usuario y contraseñas.

En 2017, la agencia de información crediticia Equifax fue víctima de un ataque man-in-middle debido a una vulnerabilidad no parcheada en su marco de aplicaciones web. El ataque expuso la información financiera de casi 150 millones de personas.

Al mismo tiempo, Equifax descubrió brechas de seguridad en sus aplicaciones móviles que podrían dejar a los clientes vulnerables ante nuevos ataques MITM. Equifax eliminó las aplicaciones de la App Store y Google Play.

Gracias a sitios web falsos para recopilar contraseñas, los piratas informáticos lanzaron un exitoso ataque MITM contra la autoridad holandesa de seguridad digital DigiNotar en 2011.

La vulneración fue importante porque provocó que DigiNotar emitiera más de 500 certificados de seguridad comprometidos a importantes sitios web, como Google, Yahoo! y Microsoft. Finalmente, DigiNotar fue eliminado como proveedor de certificados de seguridad y se declaró en quiebra.

En 2024, los investigadores de seguridad informaron de que una vulnerabilidad permite a los hackers lanzar un ataque MITM para desbloquear y robar vehículos Tesla.1

Al utilizar un punto de acceso wifi falsificado en una estación de carga de Tesla, un atacante podría recopilar las credenciales de la cuenta de un propietario de Tesla. El atacante podría entonces añadir una nueva “llave de teléfono” que desbloquee y arranque el vehículo sin el conocimiento del propietario, según los investigadores.

Existen medidas de ciberseguridad que las organizaciones y las personas pueden implementar para protegerse contra los ataques de intermediario. Los expertos recomiendan centrarse en estas estrategias:

HTTPS: los usuarios solo deben visitar sitios web con una conexión segura, indicada con "HTTPS" y un icono de candado en la barra de direcciones del navegador. Deben evitarse las páginas web que solo ofrecen conexiones HTTP no seguras. Además, los protocolos SSL y Transport Layer Security (TLS) para las aplicaciones pueden proteger contra el tráfico web malintencionado y evitar los ataques de suplantación de identidad.

Seguridad de endpoints: los endpoints, como ordenadores portátiles, teléfonos inteligentes, estaciones de trabajo y servidores, son los principales objetivos de los atacantes MITM. La seguridad de los endpoints, incluidos los últimos parches y software antivirus, es fundamental para evitar que los atacantes instalen malware en estos dispositivos.

Redes privadas virtuales: una VPN proporciona una sólida defensa contra los ataques MITM mediante el cifrado del tráfico de red. Incluso si se produce una vulneración, los hackers no podrán leer datos confidenciales como credenciales de inicio de sesión, números de tarjetas de crédito e información de cuentas.

Autenticación multifactor (MFA): la MFA requiere un paso adicional más allá de introducir una contraseña para acceder a cuentas, dispositivos o servicios de red. Incluso si un atacante MITM puede obtener credenciales de inicio de sesión, la autenticación multifactor puede ayudar a evitar que el atacante se apodere de una cuenta.

Cifrado: el cifrado es un requisito fundamental para la seguridad de la red y la defensa contra ataques MITM. Un cifrado sólido de extremo a extremo en todo el tráfico y los recursos de la red (incluido el contenido del correo electrónico, los registros DNS, las aplicaciones de mensajería y los puntos de acceso) puede frustrar muchos ataques MITM.

Redes wifi públicas: los usuarios deben evitar redes wifi públicas al realizar transacciones que involucren datos sensibles, como al realizar compras.