34960601623
Blog AVG Signal Seguridad Amenazas Ataques de intermediario: en qué consisten y cómo evitarlos
What_is_a_Man-in-the-Middle_Attack-Hero

Escrito por Gonzalo Torres
Fecha de publicación September 25, 2018

¿Qué es un ataque de intermediario?

Un ataque de intermediario (Man in the middle en inglés) es un nombre genérico para definir un ciberataque en el que alguien se coloca entre usted y lo que sea que esté haciendo en línea, por ejemplo, entre usted y sus transacciones bancarias en línea, entre usted y el chat con su madre, entre sus correos electrónicos de trabajo y la persona que los tenga que recibir o los envíe, o bien entre usted y el cuadro en que introduce su información de pago, entre otras muchas situaciones.

Este artículo contiene:

    Imagínese que el cartero echase un ojo a sus cartas antes de entregárselas. Que cogiese esa nueva tarjeta de crédito que está llegando por correo con su nombre. Que cambiase unas frasecillas de la carta que le escribió a su ex. Que compartiese sus detalles más íntimos con el mejor postor de su vecindario.

    En un ataque de intermediario, los hackers se colocan entre usted y sus transacciones bancarias en línea, el chat con su madre, sus correos electrónicos de trabajo, su información de pago...

    A esto se resume un ataque de intermediario (MitM a partir de ahora porque nadie tiene demasiado tiempo para escribirlo entero), la única diferencia es que tiene lugar en Internet. Los ataques MitM permiten a los hackers interceptar, enviar y recibir datos a su dispositivo y desde este, y no se detectan hasta que la transacción haya finalizado.

    Objetivos más habituales de los ataques MitM (pista: dinero, dinero y más dinero)

    Los objetivos más habituales de los ataques de este tipo son los siguientes:

    • Los sitios web de compras en línea.

    • Los sitios web de banca en línea.

    • Cualquier otro sitio en el que tenga que iniciar sesión antes de acceder a su cuenta y a la información de su tarjeta de crédito.

    Como es lógico, los delincuentes van a donde está su dinero.

    Tipos de ataques de intermediario

    Secuestros de correo electrónico (o cómo perder 500.000 dólares con un único correo)

    Si la idea de que alguien le intercepte los correos electrónicos, e incluso envíe mensajes desde su cuenta, le parece de película de ciencia ficción, tiene que conocer a los Lupton.

    Los Lupton son una pareja británica que decidió vender su piso. Cuando terminaron con la venta, su abogado les envió un correo electrónico para pedirles su número de cuenta bancaria y, así, transferirles el dinero. Los Lupton lo hicieron sin ningún problema.

    Lo que no sabían era que una banda de ciberdelincuentes había leído el correo electrónico de su abogado, además de su respuesta. Estos delincuentes enviaron un correo electrónico inmediatamente al abogado desde la cuenta de los Lupton y le dijeron que ignorase el número de cuenta anterior y que les enviase el dinero a una diferente. Así es como estos delincuentes les robaron 333.000 libras (casi 400.000 euros) a Paul y Ann Lupton.

    Los Lupton no fueron el objetivo por pura casualidad. Las herramientas de hackeo pueden analizar de forma masiva los correos electrónicos que no son seguros con la combinación de palabras adecuada

    Es posible que esté pensando que hay que tener muy mala suerte para que alguien estuviera espiando sus comunicaciones por correo electrónico en ese justo momento y que la probabilidad de que esto ocurra debe ser exageradamente reducida.

    Pero la cosa no funciona así.

    Los Lupton no fueron el objetivo por pura casualidad y tampoco fue algo personal. Actualmente las herramientas de hackeo permiten a los delincuentes analizar de forma masiva las comunicaciones por correo electrónico que no son seguras con la combinación de palabras adecuada hasta que encuentran lo que buscan. Como ha podido comprobar con el ejemplo de los Lupton, le puede pasar a cualquiera.

    MitM relacionado con el Wi-Fi (o lo que es lo mismo «DIOS MÍO, ¿POR QUÉ?»

    Que le intercepten el wi-fi es un grave problema. Los ataques de intermediario relacionados con el wi-fi suelen darse en forma de redes maliciosas o de un «gemelo malvado», que, si alguna vez ha visto una telenovela, es exactamente lo que parece).

    • Las redes maliciosas son básicamente redes Wi-Fi públicas configuradas por hackers y con nombres atractivos, como «Wi-Fi gratuita» o «Parece la Wi-Fi de Starbucks, pero no lo es».

    • Los ataques de gemelo malvado se producen cuando los hackers configuran redes Wi-Fi públicas que imitan por completo redes legítimas que haya usado anteriormente. Estas redes pueden engañar a sus dispositivos para que se conecten automáticamente porque estos están diseñados para hacerle la vida más fácil y que no tenga que introducir contraseñas una y otra vez.

    En cualquier caso, estas conexiones pertenecen por completo a los hackers y, cuando la gente se conecta a ellas, todo lo que hacen lo reciben directamente los delincuentes. Así, pueden robar contraseñas, información de inicio de sesión y de pago y otra información personal que sea confidencial.

    Los gemelos malvados pueden parecerse a su amable pareja, es decir, la red Wi-Fi del hotel en el que está, la cafetería que frecuenta o el aeropuerto desde el que viaja.

    Seguramente se preguntará cómo se supone que puede saber si la red Wi-Fi gratuita a la que se acaba de conectar es real o falsa y cómo puede protegerse. No se preocupe, todavía hay esperanza y la forma de conseguir protección es relativamente sencilla. Llegaremos a eso en un minuto.

    Pero, primero, echemos un vistazo a lo siguiente...

    Secuestros de sesiones (o cómo los adultos ahora roban galletas cookies)

    Otro tipo de ataque MitM se produce cuando los delincuentes consiguen los pedacitos de código que genera su navegador para conectarse a diferentes sitios web. Esta técnica se conoce como «secuestro de cookies» y es, en absoluto, tan divertida como parece.

    Estos pedacitos de código, o cookies de sesión, pueden contener un montón de información personal importante, desde nombres de usuario y contraseñas hasta formularios rellenados previamente, las actividades que realiza en línea e, incluso, su dirección postal. Y una vez que un hacker consigue todos estos datos, puede realizar con ellos todo tipo de cosas, y ninguna de ellas buena, por ejemplo, suplantar su identidad en línea, iniciar sesión en lugares relacionados con asuntos financieros o cometer robos o fraudes de identidad, entre otras muchas acciones.

    Ataque de intermediario en el navegador

    Es posible que esté realizando transacciones bancarias en línea y vea la misma pantalla de siempre, pero esto es simplemente una cortina de humo para engañarle mientras los hackers sacan el dinero de su cuenta.

    Intermediario en el navegador. MitB. MiB. Este ataque consiste básicamente en lo siguiente: un troyano infecta su dispositivo y permite a los delincuentes ponerse entre usted y las transacciones que realiza en línea (correos electrónicos, pagos, transacciones bancarias, es decir, todo lo que se pueda imaginar). Por último, las cambia para que se adapten a sus necesidades; y todo esto sin que usted se dé ni cuenta porque lo que ve es aquello que los hackers quieren que vea.

    Es posible que esté realizando transacciones bancarias en línea y vea la misma pantalla de siempre con el importe que espera ver, pero esto es simplemente una cortina de humo para engañarle: los delincuentes se están haciendo pasar por usted y les están haciendo solicitudes al banco, están sacando dinero de la cuenta, o están realizando cualquier otra acción, pero usted sencillamente no puede verlo. Cuando se dé cuenta de lo que está ocurriendo, será demasiado tarde.

    Este tipo de troyanos MitB suele entrar en su ordenador a través de estafas de phishing, motivo por el cual le insistimos tanto en lo importante que es que no abra correos electrónicos peligrosos y en que tome las precauciones adecuadas cuando navegue por Internet. 

    ¿Cómo funcionan los ataques de intermediario?

    Actúan en pasos:

    Paso 1: Interceptación

    Lo primero que hacen los delincuentes que quieren perpetrar un ataque de intermediario es interceptar su tráfico en Internet antes de que llegue a su destino. Para conseguirlo, existen varios métodos:

    • Suplantación de IP: Igual que las bandas de ladrones de bancos ponen matrículas falsas en el coche que usan para escapar, la suplantación de IP consiste en que los hackers falsifican la fuente real de los datos que envían desde su equipo y la camuflan como si fuera una fuente de confianza. Los datos se transmiten por Internet en pequeños paquetes y, cada uno, tiene su propia etiqueta de identificación. Las personas que suplantan IP cambian esa etiqueta por algo que su ordenador o su smartphone reconozca como sitio web o servicio legítimo. La conclusión es que su dispositivo termina hablando con un impostor disfrazado de algo real.

    • Suplantación de ARP: Para llevar a cabo este método MitM, que también envenena la caché ARP o enruta el envenenamiento de ARP, los hackers envían un ARP falso (parece un eructo, pero es la sigla en inglés de «protocolo de resolución de direcciones») a una LAN (no me refiero a la aerolínea nacional de Chile, sino a una «red de área local») para que la dirección del MAC (esto no es ni un maquillaje ni un portátil, sino el «control de acceso a medios») del hacker pueda vincularse a su dirección IP (no tengo hipo, lo que quiere decir es «protocolo de internet») y recibir toda la información que se supone que se dirige a usted. ¿Se ha quedado ya con todos los acrónimos?

    • Suplantación de DNS: Aquí tenemos otra. DNS son las siglas que forman Domain Name System, es decir, sistema de nombres de dominio. Este sistema se encarga de traducir los nombres de dominios de Internet de direcciones IP numéricas, impronunciables y largas en títulos fáciles para las personas y pegadizos, como https://omfgdogs.com (venga, haga clic, es increíble) y viceversa. Para acelerar los procesos en línea, los servidores «recuerdan» estas traducciones y las guardan en una caché. Cuando se realiza una suplantación de DNS o un ataque de envenenamiento de la caché del DNS (lo mismo con un nombre diferente), los hackers acceden a esta caché y cambian las traducciones, por lo que se le redirige automáticamente a un sitio falso en lugar de al real al que quería ir.

    Paso 2: Descifrado

    Una vez que los hackers han interceptado el tráfico de su sitio web, tienen que descifrarlo. A continuación, le indicamos algunos de los métodos de descifrado habituales que se usan en los ataques MitM:

    • Suplantación de HTTPS: Durante mucho tiempo, si veía las letras HTTPS (protocolo seguro de transferencia de hipertexto) delante de una dirección de Internet, sabía que estaba en buenas manos. El HTTPS es la clave del certificado de un sitio web que indica que sus transacciones en ese sitio están cifradas y que, por lo tanto, sus datos están a salvo. Sin embargo, en un ataque MitM de HTTPS, un hacker instala un certificado raíz de seguridad falso para que su navegador crea que es uno de confianza. Como el navegador confía en él, le proporciona la clave de cifrado necesaria para descifrar los datos que usted envía y, en ese momento, el hacker puede recibir y descifrar todo, leerlo, volver a cifrarlo y enviar lo a su destino son que usted o el sitio final sepa que se interceptó la comunicación. Duro y peligroso, por ejemplo, así es cómo sus correos electrónicos y sus chats en línea podrían ser leídos cuando los envía y recibe.

    • BEAST en SSL: ¡Vuelve la fiesta de los acrónimos! «BEAST» significa Browser Exploit Against SSL/TLS o lo que es lo mismo, «vulnerabilidad del navegador en SSL/TLS». El SSL es el protocolo Secure Sockets Layer (es el «seguro» de HTTP seguro). Esto quiere decir que los hackers pueden aprovechar los puntos débiles del CBC, es decir, el «cifrado por bloques» (lo siento, me gustaría decirle que esta será la última) para atrapar y descifrar los datos que se mueven entre su navegador y un servidor web. En otras palabras, es otra forma de descifrar de forma maliciosa nuestro tráfico en Internet y algo muy negativo para los usuarios.

    • Secuestro de SSL: Un ataque de intermediario de SSL funciona así: cuando se conecta a un sitio web, su navegador se conecta primero a la versión HTTP (no segura) del sitio. El servidor de la HTTP le redirige a la versión HTTPS (segura) del sitio y el nuevo servidor seguro proporciona a su navegador un certificado de seguridad. ¡Tachán! Está conectado. El secuestro del SSL se produce justo antes de que se conecte al servidor seguro. Los hackers cambian la ruta de todo su tráfico a su equipo para que su información (correos electrónicos, contraseñas, información de pago, etc.) les llegue a ellos primero.

    • Stripping de SSL: Este ataque consiste en cambiar la categoría de un sitio web de HTTPS (segura) a HTTP (no segura). Un hacker usa un servidor proxy o uno de esos trucos de suplantación de ARP de los que hemos hablado antes para situarse entre usted y una conexión segura, y le ofrece una versión no segura (HTTP) de ella para que todos sus datos, contraseñas, pagos, etc., le lleguen en forma de texto descifrado y sin formato. Sin que lo sepa, por supuesto.

    Cómo evitar los ataques de intermediario

    Los ataques MitM son bastante horribles, pero existen muchas formas de evitarlos y reducir los riesgos, además de mantener a salvo sus datos, su dinero y su dignidad.

    Use siempre una VPN

    Para que lo entienda, una VPN es un programa o una aplicación que oculta, cifra y camufla todo lo que hace en línea, es decir, sus correos electrónicos, sus chats, sus búsquedas, sus pagos e, incluso, su ubicación. Las VPN le ayudan a protegerse de los ataques MitM y protegen cualquier Wi-Fi mediante el cifrado de todo el tráfico que realiza en Internet y la conversión de este en tonterías indescifrables para cualquier persona que lo pueda estar interceptando.

    Existen un montón de VPN y muchas de ellas no sirven para nada porque son demasiado lentas o descuidadas en lo que respecta a sus datos y, además, no son tan privadas como querrían que piense que son. Por suerte, su empresa de seguridad en línea favorita cuenta con una VPN increíble que, además, puede probar gratis.

    Recuerde los consejos de seguridad básicos de los sitios web

    Aquí tiene una breve guía perfecta para saber cómo comprobar si un sitio web es seguro. En realidad, no necesita disponer de unos grandes conocimientos técnicos para empezar a seguir estos consejos y, si los usa, podrá ahorrarse serios problemas, tanto en línea como fuera de ella.

    Obtenga un buen antivirus

    Los ataques MitM suelen usar malware para hacer su trabajo, por lo que es fundamental que tenga un buen software antivirus en el que pueda confiar.

    Si su presupuesto no es demasiado elevado, empiece por obtener este excelente antivirus gratuito. Sin embargo, si busca acabar con los ataques de intermediario, también puede probar gratis la protección premium , que incluye un Escudo de Sitios web falsificados diseñado especialmente para evitar que lo redirijan a sitios web de suplantación. Existen muy buenas opciones de seguridad para todos los bolsillos. No busque excusas.

    Cómo evitar los ataques de intermediario de HTTPS

    ¿Se acuerda del SSL de antes? Es el tipo de ataque MitM que convierte el certificado de seguridad HTTPS en papel mojado, al cambiar la categoría de los sitios a una HTTP menos segura sin que se dé cuenta.

    La solución se llama HSTS (HTTP con Seguridad de Transporte Estricta), una política de seguridad web que obliga a los navegadores y sitios web a usar conexiones HTTPS seguras, sin importar la que sea. ¿Conexión HTTP? Ni hablar. La HSTS no solo se encarga de los ataques de stripping de SSL, sino que también se ocupa de los robos de cookies y los secuestros de sesiones, lo que es una ventaja importante.

    La buena noticia es que la HSTS cada vez es más habitual y la usan sitios web importantes como Google, Gmail, Twitter y Paypal, y navegadores como Chrome, Firefox, Safari, Edge e IE, compatibles desde hace años.

    No hay un único y sencillo botón en el que pueda hacer clic para convertir todas sus conexiones en HSTS, pero le será de gran ayuda usar uno de estos navegadores HSTS mencionados anteriormente. Además, si posee un sitio web o un servidor y se atreve a jugársela técnicamente, aquí tiene varias instrucciones para conseguir que sea compatible con HSTS.

    Cómo detectar un ataque de intermediario

    Los ataques MitM son muy difíciles de detectar mientras se están produciendo, por lo que la mejor forma de mantenerse a salvo es llevar a cabo una buena prevención.

    Existen varias pruebas que podrían indicarle que está siendo víctima de un ataque MitM:

    • De repente, las páginas tardan mucho en cargar sin ningún motivo aparente.

    • Las URL pasan de ser HTTPS a HTTP.

    Es una lista muy corta.

    La realidad es que los ataques MitM son muy difíciles de detectar mientras se están produciendo, por lo que la mejor forma de mantenerse a salvo es llevar a cabo una buena prevención. Como se ha indicado anteriormente, lo que debe hacer es obtener y usar una VPN, evitar conectarse directamente a redes wi-fi públicas, instalar un antivirus de confianza y prestar atención a las estafas de phishing.  

    En lo que respecta a la parte técnica, hay herramientas de confianza que sirven para detectar suplantaciones de ARP, un claro indicio de que se ha producido un ataque MitM. Wireshark es el analizador de protocolos de red más usado a nivel mundial. Esta herramienta es gratuita y de código abierto, y le ayudará a hacer exactamente eso.

    SSL Eye es un software gratuito para Windows que determina las credenciales del SSL de todos los sitios con los que se comunica y, por lo tanto, puede indicarle si ha sufrido un ataque MitM.

    Su lista para evitar ataques de intermediario

    Proteja su iPhone de amenazas con AVG Mobile Security

    Instalación gratis

    Proteja su dispositivo Android de amenazas con AVG AntiVirus

    Instalación gratis
    Amenazas
    Seguridad
    Gonzalo Torres
    25-09-2018