¿Qué es un ataque MITM?

Un ataque de intermediario es un tipo de ciberataque en el que un atacante espía la comunicación entre dos objetivos. El ciberdelincuente puede intentar "escuchar" una conversación entre dos usuarios, dos sistemas o un usuario y un sistema.

El objetivo de un ataque MITM es recopilar datos personales, contraseñas o datos bancarios, o convencer a la víctima de realizar una acción como cambiar sus credenciales de inicio de sesión, completar una transacción o iniciar una transferencia de fondos.

Si bien el objetivo de los ataques MITM suelen ser individuos, no dejan de ser una preocupación importante para las empresas y las grandes organizaciones. Un punto de acceso común para los hackers es mediante aplicaciones de software como servicio (SaaS), como servicios de mensajería, sistemas de almacenamiento de archivos o aplicaciones de trabajo remoto. Los ciberdelincuentes pueden utilizar estas aplicaciones como puerta de entrada a la red general de la organización y potencialmente comprometer cualquier número de recursos, como datos de clientes, propiedad intelectual (PI) o información confidencial sobre la organización y sus empleados.

¿Cómo funciona un ataque de intermediario?

Un ataque MITM generalmente consta de dos fases: interceptación y descifrado.

Fase 1: Interceptación

En la fase de interceptación, los ciberdelincuentes obtienen acceso a una red a través de un router Wi-Fi abierto o poco seguro, o manipulando servidores del sistema de nombres de dominio (DNS). Los ciberdelincuentes luego escanean el router buscando vulnerabilidades y posibles puntos de entrada. La mayoría de las veces, esto se hace mediante una contraseña débil, aunque los ciberdelincuentes también pueden emplear métodos más avanzados, como suplantación de IP o envenenamiento de caché.

Una vez que se identifica un objetivo, el ciberdelincuente normalmente implementa herramientas de captura de datos para acceder y recopilar los datos transmitidos de la víctima, redirigir estratégicamente el tráfico o manipular de otro modo la experiencia web del usuario.

Fase 2: Descifrado

La segunda fase de un ataque MITM es el descifrado. Es entonces cuando los datos robados se decodifican y se hacen inteligibles para los ciberdelincuentes. Los datos descifrados pueden utilizarse para diversos fines nefastos, como el robo de identidad, compras no autorizadas o actividades bancarias fraudulentas. En algunos casos, los ataques de intermediario se llevan a cabo sin ningún propósito obvio más allá de interrumpir las operaciones comerciales y sembrar el caos para sus víctimas.

Técnicas MITM

Los ciberdelincuentes utilizan una amplia variedad de métodos para lanzar ataques MITM. Algunas técnicas comunes son:

• Imitar un protocolo de Internet (IP) establecido para engañar a los usuarios a fin de que proporcionen información personal o incitarlos a realizar una acción deseada, como iniciar una transferencia bancaria o un cambio de contraseña
• Redirigir a un usuario desde un destino conocido a un sitio web falso para desviar el tráfico o recopilar credenciales de inicio de sesión y otra información personal
• Simular un punto de acceso Wi-Fi para interceptar cualquier actividad web y recopilar información personal
• Crear certificados de la capa de sockets seguros (SSL) ilegítimos, que dan la apariencia de una conexión segura a los usuarios, aunque esta se haya vulnerado
• Redirigir el tráfico a un sitio web no seguro, que luego recopila credenciales de inicio de sesión e información personal
• Espiar la actividad web, incluido el correo electrónico, para recopilar información personal e informar sobre otras actividades fraudulentas, como intentos de phishing
• Robar cookies del navegador, que contienen información personal

Ejemplo de ataque de intermediario

Un reciente ataque MITM identificado por CrowdStrike se llevó a cabo mediante un módulo de Trickbot llamado shaDll. El módulo instalaba certificados SSL ilegítimos en los equipos infectados, lo que permitía a la herramienta obtener acceso a la red del usuario. El módulo luego podía redirigir la actividad web, inyectar código, tomar capturas de pantalla y recopilar datos.

Lo particularmente interesante de este ataque fue que se trataba de una aparente colaboración entre dos conocidos grupos de ciberdelincuentes: LUNAR SPIDER y WIZARD SPIDER. El módulo empleaba el módulo proxy BokBot de LUNAR SPIDER como base, para luego implementar el módulo TrickBot de WIZARD SPIDER para completar el ataque. La probable colaboración entre estos dos adversarios resalta la creciente sofisticación de los ataques MITM y la necesidad de una mayor concienciación.

Prevención de los ataques de intermediario

Las siguientes recomendaciones pueden ayudarte a proteger tus redes contra ataques MITM:

• Exigir a los usuarios de la red que seleccionen contraseñas seguras y las cambien periódicamente
• Habilitar la autenticación multifactor (MFA) en todos los recursos y las aplicaciones de la red
• Desarrollar e implementar protocolos de cifrado sólidos
• Equipar todos los recursos de red con capacidades de red privada virtual (VPN)
• Implementar una solución integral de detección y monitorización de amenazas
• Segmentar la red para garantizar la contención de posibles brechas
• Formar a los empleados para que sean conscientes de los riesgos que entrañan las redes Wi-Fi públicas

Aunque puede no ser práctico para las personas instalar capacidades de detección para ataques de intermediario, seguir técnicas generales de seguridad cibernética puede ayudar a prevenir intrusiones. Las siguientes prácticas recomendadas pueden resultar útiles para usuarios individuales:

• Instalar software de seguridad para detectar malware
• Crear contraseñas seguras y cambiarlas periódicamente
• Habilitar capacidades de autenticación multifactor
• Evitar el uso de redes Wi-Fi abiertas o redes públicas poco seguras
• Asegurarse siempre de estar navegando en sitios web seguros, como lo indica el https:// en la URL