Cómo funciona el ataque de Man in the Middle (MitM)
Para realizar un ataque MitM, el atacante necesita lograr dos objetivos. Primero, necesitan insertarse en la comunicación de una manera que les permita interceptar el tráfico en ruta hacia su destino. Algunas de las formas en que un atacante podría lograr esto incluyen:
- Wifi malicioso: todo el tráfico de Wi-Fi fluye a través de un punto de acceso (AP) inalámbrico, por lo que un atacante que controla un AP inalámbrico y puede engañar a los usuarios para que se conecten a él puede interceptar todo su tráfico.
- Spoofing ARP: El Protocolo de resolución de direcciones (ARP) se utiliza para asignar direcciones IP a direcciones MAC. Al usar mensajes ARP falsos, un atacante asigna la dirección IP del objetivo a su dirección MAC, lo que hace que el tráfico del objetivo se envíe a ellos en su lugar.
- La suplantación de DNS: El Sistema de nombres de dominio (DNS) asigna nombres de dominio a direcciones IP. Envenenar una caché DNS con registros DNS falsos puede hacer que el tráfico al dominio de destino se enrute a la dirección IP del atacante.
- Secuestro de BGP: el protocolo de puerta de enlace fronteriza (BGP) se utiliza para identificar el sistema autónomo (AS) con la mejor ruta hacia una dirección IP particular. El secuestro de BGP implica anunciar una ruta falsa para hacer que cierto tráfico fluya a través de los sistemas del atacante.
Una vez en medio de una comunicación, el atacante necesita poder leer los mensajes; sin embargo, un porcentaje significativo del tráfico de Internet se encripta mediante SSL/TLS. Si el tráfico está cifrado, la lectura y modificación de los mensajes requiere la capacidad de suplantación o interrupción de la conexión SSL/TLS.
Esto se puede lograr de diferentes maneras. Si un atacante puede engañar al usuario para que acepte un certificado digital falso para un sitio, entonces el atacante podría descifrar el tráfico del cliente y leerlo o modificarlo antes de enviarlo al servidor. Alternativamente, un atacante puede romper la seguridad de la sesión SSL/TLS mediante la eliminación de SSL o ataques de degradación.
Ejemplos de ataques de hombre en el medio
Los ataques MiTM se pueden llevar a cabo de varias maneras, que dependen del protocolo que se esté atacando y del objetivo del atacante. Por ejemplo, realizar un ataque MiTM es más fácil cuando el flujo de comunicación no está cifrado y cuando el atacante se encuentra naturalmente en la ruta que tomará el tráfico objetivo.
Escenario 1: Aplicación móvil/IoT vulnerable
El usuario promedio ha sido educado sobre cómo determinar si su sesión de navegación web está encriptada según el https y el ícono de candado en la barra de URL. Sin embargo, verificar que los flujos de datos estén cifrados es más difícil con las aplicaciones móviles y el Internet de las cosas (dispositivo de IoT). No es raro que estos tengan poca seguridad y usen protocolos no cifrados, como Telnet o HTTP, para comunicarse.
Si este es el caso, entonces un atacante puede leer fácilmente y potencialmente modificar los datos que fluyen entre la aplicación móvil o dispositivo de IoT y el servidor. Al usar un punto de acceso inalámbrico o alguna forma de suplantación, el atacante puede interponerse en el flujo de comunicación para que todo el tráfico fluya a través de ellos. Dado que estos protocolos carecen de comprobaciones integradas para la integridad o autenticidad de los datos, el atacante puede cambiar el contenido del tráfico a voluntad.
Escenario 2: Certificados digitales falsos
SSL/TLS está diseñado para proteger contra ataques MitM proporcionando confidencialidad, integridad y autenticación al tráfico de la red. Sin embargo, depende de que el usuario solo acepte certificados digitales válidos para un dominio en particular. Si el atacante puede engañar al usuario para que visite un sitio de phishing, convencerlo de que acepte un certificado falso o comprometer el certificado digital que una empresa utiliza para la inspección SSL, entonces estas protecciones se rompen.
En este escenario, el atacante mantiene dos sesiones separadas cifradas con SSL/TLS. En uno, se conecta con el cliente mientras se hace pasar por el servidor y usa su certificado SSL falso. En el otro, se hace pasar por un cliente que se conecta al servidor legítimo. Dado que el atacante controla ambas sesiones, puede descifrar datos de una sesión, inspeccionarlos y modificarlos, y volver a cifrarlos para la otra sesión.
Prevención de ataques de hombre en el medio
Los ataques MiTM dependen de que el atacante pueda interceptar y leer el tráfico. Algunas de las mejores prácticas de seguridad en Internet para evitar esto incluyen:
- Tenga cuidado con el wifi público: todo el tráfico a través de wifi público pasa a través del AP, que puede estar bajo el control de un atacante. Conéctate solo a redes wifi conocidas y confiables.
- Utilice una VPN: la red privada virtual (VPN) cifra el tráfico entre un usuario o sitio remoto y el terminal VPN. Esto evita que un atacante de MitM lea o modifique el tráfico interceptado.
Validar certificados digitales: Un sitio web legítimo siempre debe tener un certificado digital que se muestre como válido en un navegador. Confiar en un certificado sospechoso podría permitir un ataque MiTM.
Protéjase contra MITM con Check Point
Las VPN de acceso remoto de Check Point pueden ayudar a proteger a los empleados remotos contra ataques MitM y otros ciberataques. Para conocer más sobre las ciberamenazas a las que se enfrenta su organización, consulte el Informe de ciberseguridad 2023. Luego, realice el chequeo de seguridad gratuito para saber cómo su organización puede mejorar su postura de seguridad.
Comentarios