¿Qué es un ataque de intermediario (MITM)?

Luego de colocar sigilosamente en medio de comunicaciones bipartitas, los atacantes MITM interceptan datos confidenciales, como números de tarjetas de crédito, información de cuentas y credenciales de inicio de sesión. Luego, los hackers emplean esa información para cometer otros delitos cibernéticos, como realizar compras no autorizadas, secuestrar cuentas financieras y robar identidad.

Además de los intercambios entre un usuario y una aplicación, un atacante MITM también podría espiar las comunicaciones privadas entre dos personas. En este escenario, el atacante desvía y retransmite mensajes entre las dos personas, a veces alterando o reemplazando mensajes para controlar la conversación.

Algunas organizaciones y expertos en ciberseguridad se están alejando del término "ataques de intermediario" porque algunos podrían considerar que el lenguaje es potencialmente sesgado. El término también podría no capturar instancias en las que la entidad intermedia sea un bot, dispositivo o malware en lugar de una persona.

Los términos alternativos para este tipo de ataque cibernético incluyen máquina en el medio, ataque en la ruta, adversario en el medio (AITM) y manipulador en el medio.

Las vulnerabilidades en redes, navegadores sitio web, cuentas de email, comportamientos de los usuarios y protocolos de seguridad son los puntos de partida de los ataques MITM. Los ciberdelincuentes aprovechan estas debilidades para insertar entre los usuarios y las aplicaciones de confianza para poder controlar las comunicaciones e interceptar datos en tiempo real.

Los ataques de phishing son un medio común de entrada para los atacantes MITM. Al hacer clic en un enlace malicioso en un email, un usuario puede lanzar, sin saberlo, un ataque de hombre en el navegador. Los atacantes MITM a menudo confían en esta táctica para infectar el navegador sitio web de un usuario con malware que les permite realizar cambios encubiertos en los sitios web, manipular transacciones y espiar la actividad del usuario.

Otra fuente común de ataques MITM son los puntos de acceso wifi públicos. Los enrutadores wifi públicos tienen menos protocolos de seguridad que los enrutadores wifi domésticos o laborales. Esto facilita que los usuarios cercanos se conecten con la red. Pero también facilita que los hackers comprometan el enrutador para que puedan espiar el tráfico de Internet y recopilar datos de los usuarios.

Los atacantes MITM a veces crean sus propias redes wifi públicas maliciosas para atraer a usuarios desprevenidos y recopilar sus datos personales.

Los atacantes MITM también pueden crear sitios web falsos que parezcan legítimos pero que en realidad estén recopilando datos críticos, como las credenciales de inicio de sesión. Los piratas informáticos pueden emplear esas credenciales para acceder a cuentas de usuario en sitios web auténticos. O podrían emplear el sitio web falso para engañar a los usuarios para que realicen pagos o transferencias de fondos.

Los ataques de intermediario requieren que los delincuentes cibernéticos: 1) intercepten los datos que pasan entre sus dos objetivos y 2) descifren esa información.

Para interponer entre dos objetivos que se comunican, como un usuario y una aplicación sitio web, un atacante debe interceptar los datos que viajan entre ambos. El atacante luego transmite esa información desviada entre los objetivos como si se tratara de una comunicación normal para que las víctimas no sospechen nada.

Hoy en día, la mayoría de las comunicaciones por Internet están encriptadas, por lo que es probable que cualquier dato que intercepte un atacante MITM deba descifrarse antes de que el atacante pueda usarlo. Los atacantes pueden descifrar datos robando claves de cifrado, ejecutando ataques de fuerza bruta o mediante técnicas especializadas de ataques MITM (vea la siguiente sección).

Los atacantes emplean una variedad de técnicas para interceptar y descifrar datos durante los ataques MITM. Las técnicas comunes incluyen:

Suplantación de IP: las direcciones de Internet Protocol (IP) identifican entidades en línea, como sitios web, dispositivos y direcciones de email. Los atacantes MITM alteran o "falsifican" sus direcciones IP para que parezca que un usuario se está comunicando con un host genuino cuando en realidad está conectado a una fuente maliciosa.

Suplantación de ARP o envenenamiento de caché ARP: El protocolo de resolución de direcciones (ARP) conecta una dirección IP con la dirección de control de acceso a medios (MAC) correcta en una red de área local. Al suplantar la dirección ARP, un atacante puede enrutar esta conexión a su propia dirección MAC para extraer información.

Spoofing de DNS: El Sistema de Nombres de Dominio (DNS) conecta los nombres de dominio de los sitios web a sus direcciones asignadas. Al cambiar un nombre de dominio en los registros DNS, un atacante MITM puede desviar a los usuarios de un sitio legítimo a un sitio web fraudulento.

Suplantación de HTTPS: Protocolo de transferencia de hipertexto seguro (HTTPS) garantiza comunicaciones seguras mediante el cifrado de los datos que viajan de un lado a otro entre un usuario y un sitio web. Los atacantes MITM dirigen secretamente a los usuarios a una página HTTP estándar sin cifrar para que puedan acceder a datos no protegidos.

Secuestro de SSL: Secure Sockets Layers (SSL) es la tecnología que proporciona autenticación y cifrado entre un navegador sitio web y un servidor sitio web mediante certificados SSL. Los atacantes MITM emplean un certificado SSL falso para secuestrar este proceso e interceptar datos antes de que puedan cifrar.

Eliminación de SSL: esta técnica se lleva a cabo cuando un sitio web acepta conexiones HTTP entrantes antes de dirigir ese tráfico a conexiones HTTPS seguras. Los atacantes MITM interrumpen este proceso de transición para poder acceder a datos no cifrados antes de que se muevan a una conexión HTTPS segura.

En este tipo de ataques, los delincuentes cibernéticos toman el control de las cuentas de correo electrónico de una compañía u organización. Los atacantes MITM a menudo se dirigen a instituciones financieras como bancos o compañías de tarjetas de crédito para este tipo de ataque.

Los hackers monitorean las comunicaciones, recopilan datos personales y recopilan inteligencia sobre las transacciones. En algunos casos, falsifican la dirección de email de una compañía para convencer a los clientes o socios de que realicen depósitos o transfieran fondos a una cuenta fraudulenta.

Cuando el navegador sitio web de un usuario se comunica con un sitio web, almacena temporalmente
información en una cookie de sesión. Los atacantes MITM obtienen acceso a estas cookies y las emplean para hacer pasar por un usuario o robar la información que contienen, que puede incluir contraseñas, números de tarjetas de crédito y otra información de la cuenta.

Debido a que la cookie caduca cuando lo hace la sesión, los hackers deben actuar rápidamente antes de que desaparezca la información.

Los atacantes MITM a veces crean redes wifi públicas y puntos calientes en lugares públicos populares como aeropuertos, restaurantes y centros urbanos. Los nombres de estas redes fraudulentas suelen ser similares a los de empresas cercanas u otras conexiones wifi públicas confiables. Los hackers también pueden comprometer los puntos de acceso wifi públicos legítimos empleados por el público.

En ambos casos, cuando los usuarios desprevenidos se conectan, los atacantes recopilan datos confidenciales como números de tarjetas de crédito, nombres de usuario y contraseñas.

En 2017, la agencia de reportes crediticios Equifax fue víctima de un ataque de intermediario debido a una vulnerabilidad sin parches en su infraestructura web. El ataque expuso la información financiera de casi 150 millones de personas.

Al mismo tiempo, Equifax descubrió brechas de seguridad en sus aplicaciones móviles que podrían dejar a los clientes vulnerables a nuevos ataques MITM. Equifax eliminó las aplicaciones de Apple App Store y Google Play.

Empleando sitios web falsos para recopilar contraseñas, los piratas informáticos lanzaron un exitoso ataque MITM contra la autoridad de seguridad digital holandesa DigiNotar en 2011.

La filtración fue significativa porque hizo que DigiNotar emitiera más de 500 certificados de seguridad comprometidos a los principales sitios web, incluidos Google, Yahoo! y Microsoft. Finalmente, DigiNotar fue eliminado como proveedor de certificados de seguridad y se declaró en quiebra.

En 2024, los investigadores de seguridad informaron que una vulnerabilidad permite a los hackers lanzar un ataque MITM para desbloquear y robar vehículos Tesla.1

Mediante un punto de acceso wifi falsificado en una estación de carga de Tesla, un atacante podría obtener las credenciales de la cuenta del propietario de un Tesla. El atacante podría agregar una nueva "llave de teléfono" que desbloquea y enciende el vehículo sin el conocimiento del propietario del vehículo, según los investigadores.

Existen medidas de ciberseguridad que las organizaciones y las personas pueden implementar para proteger contra los ataques de intermediarios. Los expertos recomiendan centrar en estas estrategias:

HTTPS: Los usuarios solo deben visitar sitios web con una conexión segura, indicada por “HTTPS” y un icono de candado en la barra de direcciones del navegador. Se deben evitar los sitios web que sólo ofrecen conexiones HTTP no seguras. Además, los protocolos SSL y Transport Layer Security (TLS) para aplicaciones pueden proteger contra el tráfico sitio web malicioso y prevenir ataques de suplantación de identidad.

Seguridad de los endpoints: Los endpoints, como computadoras portátiles, smartphones, estaciones de trabajo y servidores, son objetivos principales de los atacantes MITM. La seguridad de los endpoints, incluidos los últimos parches y software antivirus, es fundamental para evitar que los atacantes instalen malware en estos dispositivos.

Redes privadas virtuales: Una VPN proporciona una fuerte defensa contra los ataques MITM al cifrar el tráfico de la red. Incluso si se produce una violación, los piratas informáticos no podrán leer datos confidenciales como credenciales de inicio de sesión, números de tarjetas de crédito e información de cuenta.

Autenticación multifactor (AMF): MFA requiere un paso adicional más allá de introducir una contraseña para acceder a cuentas, dispositivos o servicios de red. Incluso si un atacante MITM puede obtener credenciales de inicio de sesión, la autenticación multifactor puede ayudar a evitar que el atacante se apodere de una cuenta.

Cifrado: el cifrado es un requisito fundamental para la seguridad de la red y la defensa contra los ataques MITM. Un cifrado estable de extremo a extremo en todo el tráfico y los recursos de la red, incluido el contenido del email, los registros DNS, las aplicaciones de mensajería y los puntos de acceso, puede frustrar muchos ataques MITM.

Redes wifi públicas: Los usuarios deben evitar las redes wifi públicas cuando realicen transacciones que involucren datos confidenciales, como cuando realicen compras.