Blog/El ABC de la seguridad online/

Todo lo que necesitas saber sobre los ataques de intermediario

Lukas Grigas
Redactor de contenidos sobre ciberseguridad
man in the middle attacks

El mundo digital está lleno de amenazas. Una de ellas es conocida como ataque de intermediario, un tipo de ataque donde el delincuente intercepta de forma secreta las comunicaciones online entre dos personas.

Índice:

¿Qué es un ataque de intermediario?

Un ataque de intermediario (MITM por sus siglas en inglés: a-man-in-the-middle) es un tipo de ciberataque donde los criminales interceptan una conversación entre el usuario y la aplicación. Los ataques de intermediario pueden adoptar distintas formas. Sin embargo, este ataque puede definirse como una interceptación maliciosa de las comunicaciones. Generalmente, el objetivo es robar información sensible, como nombres de usuario, contraseñas, número de tarjetas de créditos, direcciones de correos electrónicos y demás datos que puedan beneficiar al atacante.

¿Cómo funciona un ataque de intermediario?

Este ataque se compone de dos fases: interceptación y descifrado.

Interceptación

Durante la primera fase, el delincuente intercepta las comunicaciones. En la mayoría de casos, los hackers interceptan la comunicación tomando el control de una red wifi pública o creando una wifi falsa. En cuanto la víctima se conecta a la red wifi maliciosa, el atacante puede ver todo su intercambio de datos.

Descifrado

Como ambas direcciones del tráfico en Internet cuenta con un cifrado SSL, el delincuente necesita descifrarlo para poder acceder a los datos. Durante la fase de descifrado, los hackers utilizan distintas técnicas de descifrado, pero entraremos en detalles más adelante.

Ataques de intermediario conocidos

  • En 2013, se descubrió que el navegador Xpress de Nokia estaba descifrando el tráfico HTTPS, lo que permitía que la información de los usuarios quedara expuesta y accesible para terceros.

  • En 2011, la autoridad de certificación holandesa DigiNotar fue víctima de unos certificados fraudulentos utilizados para destrozar sus muros de seguridad web, lo que dejó a sus clientes indefensos.

  • El 21 de septiembre de 2017, Equifax descubrió que algunos usuarios eran redirigidos a una página phishing como resultado de un ataque de intermediario. En este caso, el atacante cambió el nombre del dominio a securityequifax2017.com en vez de equifaxsecurity2017.com.

Tipos de ataques de intermediario

Los hackers pueden lanzar un ataque de intermediario de muchas formas. Sin embargo, todos estos ataques incluyen la interceptación y descifrado. A continuación, ejemplos de los distintos tipos de ataques de intermediario.

  • Suplantación de IP se produce cuando los ciberdelincuentes alteran la dirección IP de origen de un sitio web o dispositivo para enmascararla. Como resultado, los usuarios creen estar accediendo a una página o dispositivo legítimo cuando todos sus datos compartidos durante esa interacción están siendo recabados por los ciberdelincuentes.

  • Suplantación de DNS es, básicamente, bastante similar a la suplantación de IP. La diferencia es que, en lugar de alterar una dirección IP, los atacantes modifican los nombres del dominio para redirigir el tráfico a páginas falsas. Los usuarios que entran en un sitio web afectado por la suplantación de DNS pueden pensar que han aterrizado en un sitio legítimo; por desgracia, acaban en un sitio web falso, a menudo diseñado para robar credenciales de inicio de sesión.

  • Suplantación de HTTPS se produce cuando los ciberdelincuentes configuran un sitio web que envía un certificado falso al navegador de la víctima potencial para establecer una conexión segura falsa. Como resultado, los hackers pueden recopilar cualquier dato que el usuario afectado introduzca en un sitio web falsificado.

  • Secuestro de SSL es una técnica durante la cual los hackers deslizan claves de autenticación falsas al usuario y a la aplicación al mismo tiempo que tiene lugar el apretón de manos TCP. A simple vista, parece tratarse de una conexión segura. Desgraciadamente, la cruda realidad es que el atacante toma el control de la sesión y del flujo de datos.

  • Secuestro del correo electrónico se produce cuando los atacantes se hacen con el control de la cuenta de correo electrónico de una entidad legítima y la utilizan para realizar fraudes financieros o incluso robos de identidad.

  • Wi-Fi eavesdropping o espionaje por wifi es probablemente el tipo más común de ataque MITM. Durante el espionaje por wifi, los atacantes obtienen el control de una red wifi pública o crean una falsa para que las víctimas se conecten a ella.

  • Secuestro de sesión es básicamente lo que se llamaría robo de cookies. Durante el secuestro de sesión, los delincuentes acceden a tus cookies y las utilizan para robar datos confidenciales. Como ya sabrás, las cookies almacenan información muy importante, como tus inicios de sesión y datos personales.

Cómo detectar un ataque de intermediario

Detectar un ataque de intermediario puede suponer todo un reto. Si no controlas activamente tus comunicaciones, uno de estos ataques puede pasar desapercibido hasta que es demasiado tarde. Si quieres ir un paso por delante de los hackers, tomar medidas relacionadas con la seguridad de las comunicaciones es crucial. Tienes que tomar consciencia de tus hábitos de navegación y comprender los peligros que conlleva entrar en determinadas webs.

Una señal de que eres víctima de un ataque de intermediario es la inesperada disrupción de un servicio o página web particular. Los atacantes desconectan tu sesión para interceptar la conexión y recoger datos, el objetivo de su intromisión.

Otro indicativo son las URL desconocidas o irreconocibles. Por ejemplo, te das cuenta de que en lugar de google.com aparece g00gle.com en tu navegador.

Si sospechas que has sido víctima de un ataque MITM, asegúrate de interrumpir tu conexión a Internet. Dado que los delincuentes podrían haberse apoderado de tus datos confidenciales, como nombres de usuario e inicios de sesión, te recomendamos encarecidamente que cambies las contraseñas de tus cuentas online para evitar males mayores. Puedes hacerlo de forma rápida y fácil con la ayuda de un generador de contraseñas una herramienta diseñada para crear contraseñas fuertes y únicas sobre la marcha.

Cómo protegerte frente ataques de intermediario

  • Evita redes wifi públicas

    Las redes wifi públicas son más peligrosas que las caseras porque carecen de las medidas de seguridad necesarias. Al evitar el uso de redes wifi públicas, reducirás significativamente el riesgo de ser víctima de un ataque de intermediario.

  • Usa una VPN para proteger la conexión

    Utilizar una VPN puede prevenir los ataques de intermediario. Una VPN crea una capa de seguridad extra que cifra tus datos, convirtiéndose en un escudo frente a estos ataques.

  • Presta atención a las notificaciones del navegador que informan sobre que una página no es segura

    Los navegadores actuales son muy seguros. La mayoría emplean avisos cuando estás a punto de entrar en una página con estándares de seguridad cuestionables. Asegúrate de visitar sitios web que tengan «HTTPS» en su barra de URL en lugar de solo «HTTP». «HTTPS» indica que el sitio web es seguro.

  • Evita correos phishing

    Las estafas de phishing se suceden todos los días. Los ciberdelincuentes emplean ataques de phishing para engañar a los usuarios para que se descarguen archivos maliciosos y expongan sus datos más sensibles. Generalmente, los mensajes de phishing se hacen pasar por una fuente legítima para interactuar con el usuario. Permanece alerta ante cualquier correo sospechoso. Puedes obtener más información sobre el phishing en general y sobre cómo detectar este tipo de estafas en la publicación anterior de nuestro blog.

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.