¿Qué es un ataque de intermediario (MITM)? | EasyDMARC

¿Qué es un ataque de intermediario (MITM)?

8 min de lectura
A person on a dark-blue background

Los ataques cibernéticos están aumentando, multiplicándose significativamente después de la pandemia de COVID; los piratas informáticos siguen usando diversos medios para explotar sistemas, robar información confidencial e interceptar datos. El perpetuo objetivo de estos ataques es ganar dinero y dañar la reputación, operaciones y finanzas de una empresa.

Ya sabes lo peligroso que es el malware, pero ¿has oído hablar de los ataques de intermediarios o ataques MITM?

Seguramente te estás preguntando ¿qué es un ataque de intermediario? Aquí vas a descubrir cómo funciona este tipo de ataque en línea, sus síntomas, los métodos más idóneos para prevenirlos y mucho más.

¿Qué es un ataque de intermediario?

Vamos a iniciar nuestra explicación respondiendo una interrogante: ¿Qué es un ataque de intermediario o ataque MITM? Expertos en seguridad lo definen como un tipo de ataque de espionaje en el que un delincuente informático intercepta las comunicaciones o transferencias de datos entre dos partes, insertándose en el «medio» (de ahí el nombre «intermediario») y actuando como una parte legítima para ambos.

Los piratas informáticos que sirven como intermediarios pueden interceptar, robar o modificar datos, así como sabotear comunicaciones y enviar enlaces y archivos maliciosos a cualquiera de los participantes.

¿Cómo funciona un ataque de intermediario (MITM)?

Generalmente, un ataque de intermediario funciona en dos fases: interceptación y descifrado. Te explicamos: 

Intercepción

En la fase de intercepción, los delincuentes ingresan a un sistema vulnerable e interceptan las comunicaciones o datos transmitidos usando herramientas maliciosas y actuando como interlocutores entre una víctima (como un usuario bancario) y otro participante (como el sitio web del banco), interceptando y robando datos como credenciales de inicio de sesión. En su rol de intermediario, los piratas informáticos reciben los datos confidenciales del remitente y pueden modificar o corromper dichos datos antes de enviarlos al receptor.

Para los ataques de intermediario el wifi es la puerta de enlace más común para la intercepción, las técnicas de ataques más comunes incluyen:

Suplantación de la IP

Cuando se falsifica una IP, el pirata informático manipula los paquetes de IP para hacerse pasar por el sistema de la víctima; cuando ésta accede a una URL conectada a ese sistema, es redirigido al sitio web del atacante.

Suplantación de identidad ARP

ARP es la abreviación en inglés para “Protocolo de resolución de direcciones” y es un método de ataque bastante común para los ataques MITM, ya que los actores maliciosos usan mensajes ARP falsos para vincular sus computadoras a las direcciones IP legítimas de sus víctimas y obtener todos los datos enviados a la dirección IP del host.

Suplantación de DNS

La suplantación del DNS o servidor de nombres de dominio ocurre cuando los delincuentes cibernéticos alteran un servidor para redirigir a una víctima a un sitio web falso de apariencia legítima y así enviar información crucial tales como direcciones de correo electrónico, claves de acceso, números de teléfono, etc., que posteriormente son usados en múltiples actividades ilícitas. 

Descifrado

En la segunda fase del ataque, los piratas informáticos descifran los datos robados o interceptados en sus ataques de intermediario, lo cual les permite a vender esta información o usarla con fines maliciosos; a continuación, te presentamos algunos métodos comunes de descifrado.

Suplantación de HTTPS

Es cuando los delincuentes cibernéticos engañan a tu navegador web para que perciba un sitio web falso como legítimo, en este tipo de ataques MITM, tu navegador es manipulado para hacerte visitar un sitio web fraudulento donde eres coercido a compartir información confidencial.

Secuestro SSL

SSL significa “Secure Socket Layer” en inglés, es una tecnología para la seguridad de conexiones en la red que se activa cuando visitas un sitio web que no es seguro indicado por la dirección HTTP en la URL; la acción inmediata que toma tu navegador es llevarte automáticamente a una versión segura de la página que pretendes visitar que se maneje con una dirección HTTPS.

En el secuestro de SSL, los piratas informáticos utilizan sus computadoras y servidores para interceptar la ruta modificada y obtener acceso a los datos confidenciales que buscan.

Ejemplo de ataque de intermediario

En 2015, se descubrió que Superfish, un programa publicitario, analizaba el tráfico SSL e instalaba certificados de seguridad falsos, los cuales permitieron a un grupo de delincuentes MITM interceptar y asegurar el tráfico entrante a la página.

Síntomas del ataque de intermediario

Como propietario de negocio, es tu responsabilidad aprender y entrenar a tu personal para detectar los síntomas de los ataques de intermediario, para así proteger todos tus datos relacionados a clientes, socios comerciales, campañas, etc., lo que en última instancia también sirve para proteger la imagen de tu empresa y tu marca.

A continuación, te mostramos algunos de los síntomas más comunes de ataques de intermediarios:

Desconexión inesperada o frecuente

Para llevar a cabo los ataques de intermediario, los piratas informáticos a menudo desconectan a los usuarios para poder interceptar sus nombres de usuario y contraseñas mientras intentan volver a conectarse, si esto sucede con frecuencia, es mejor estar atento.

Notas una URL desconocida en la barra de direcciones

Comprueba dos veces la dirección web de los sitios que visitas, si la URL parece estar modificada, podrías estar enfrentando un secuestro de DNS, por lo que toca verificar cuidadosamente si hay errores ortográficos, por ejemplo, la dirección usa vv (dos v) en lugar de W (la letra 23 en el alfabeto inglés).

URL HTTP

Si una URL pierde la ‘S’ en HTTPS, debes tener mucho cuidado, ya que cualquier sitio web sin el protocolo HTTPS maneja datos que están cifrados y que los criminales informáticos pueden interceptar fácilmente, es por eso que la “S” indica “seguridad”.

¿Cómo prevenir los ataques de intermediarios?

Podemos adelantar un poco estableciendo que conocer los síntomas de los ataques de intermediario no es suficiente, ya que es necesario ser proactivo para prevenir este tipo de amenazas, si quieres saber cómo, te invitamos a seguir leyendo; hemos compilado los mejores consejos para ti.

No use redes Wi-Fi no seguras

Las redes Wi-Fi en lugares públicos no están protegidas con contraseñas, por lo que es recomendable evitar usarlas, especialmente para llevar a cabo transacciones financieras o compartir información confidencial.

Usa un VPN

Los VPN o redes virtuales privadas encripta tu actividad en línea y evitan que los piratas informáticos tengan acceso a esta, por lo que te recomendamos usarlos siempre, especialmente si estás en un lugar público.

Esta práctica es imprescindible si eres un viajero frecuente, ya que a menudo tendrás la necesidad de conectarte en las redes Wi-Fi de hoteles, aeropuertos y cafeterías.

Asegúrate de cerrar sesión en sitios web confidenciales

Siempre asegúrate de cerrar sesión en sitios web y aplicaciones relacionadas a la banca electrónica, es importante cerrar sesión en tu cuenta de correo electrónico cuando hayas culminado con tus labores diarias; estas medidas reducen el riesgo de que piratas informáticos realicen ataques MITM en tu computadora.

Mantén buenos hábitos para crear contraseñas

Te recomendamos nunca utilizar la misma contraseña dos veces, especialmente para otras plataformas, también es necesario que tus claves digitales sean fuertes e indescifrables (evita usar contraseñas fáciles de adivinar, como el nombre de tu perro, tu lugar de nacimiento o tu película favorita).

Usar MFA (verificación multifactor)

MFA es una abreviación en inglés para autenticación multifactor, un método en el cual los usuarios deben proporcionar dos o más factores de autenticación para acceder a una cuenta.

¿Son comunes los ataques MITM?

Los ataques MITM prevalecen en el panorama digital actual, pero no son tan comunes como los ataques de phishing y ransomware, ya que los delincuentes cibernéticos suelen ejecutar este tipo de ataques con propósitos específicos o como parte de un ataque a gran escala.

Pensamientos finales

Los ataques de intermediario acontecen cuando los piratas informáticos se colocan entre dos participantes con el fin de acceder, robar o modificar las comunicaciones o transferencias de datos; pueden usarse con el fin de suplantar IPs, ARP y DNS o secuestrar SSL y suplantar HTTPS, los ataques MITM tiene el potencial de ser devastadores.

Te recomendamos usar contraseñas seguras e indescifrables, instala y utiliza un VPN y asegúrate de incorporar la autenticación multifactor, evita el uso de redes públicas para transacciones confidenciales y mantente siempre un paso adelante de los atacantes cibernéticos.