El mundo digital está lleno de amenazas. Una de ellas es conocida como ataque de intermediario, un tipo de ataque donde el criminal intercepta secretamente las comunicaciones en línea entre dos personas.
¿Qué es un ataque de intermediario?
Un ataque de intermediario (MITM por sus siglas en inglés: a-man-in-the-middle) es un tipo de ciberataque donde los criminales interceptan una conversación entre el usuario y la aplicación. Los ataques de intermediario pueden adoptar distintas formas. Sin embargo, este ataque puede definirse como una interceptación maliciosa de las comunicaciones. Generalmente, el objetivo es robar información sensible, como nombres de usuario, contraseñas, número de tarjetas de créditos, direcciones de correos electrónicos y demás datos que puedan beneficias al atacante.
¿Cómo funciona un ataque de intermediario?
Este ataque se compone de dos fases: intercepción y desencriptación.
Intercepción
Durante la primera fase, el criminal intercepta las comunicaciones. En la mayoría de casos, los hackers interceptan la comunicación tomando el control de una red wifi pública o creando una wifi falsa. En cuanto la víctima se conecta a la red wifi maliciosa, el atacante puede ver todo su intercambio de datos.
Desencriptación
Como ambas direcciones del tráfico en internet cuenta con encriptación SSL, el criminal necesita desencriptarlo para poder acceder a los datos. Durante la fase de desencriptación, los hackers utilizan distintas técnicas de desencriptación, pero entraremos en detalles más adelante.
Ataques de intermediario conocidos
En 2013, el navegador Xpress de Nokia fue descubierto desencriptando tráfico HTTPS, lo cual ofrecía acceso al tráfico de sus clientes.
En 2011, la autoridad de certificación holandesa DigiNotar fue víctima de unos certificados fraudulentos utilizados para destrozar sus muros de seguridad web, lo cual dejó a sus clientes indefensos.
El 21 de septiembre de 2017, Equifax descubrió que algunos usuarios eran redirigidos a una página phishing como resultado de un ataque de intermediario. En este caso, el atacante cambió el nombre del dominio a securityequifax2017.com en vez de equifaxsecurity2017.com.
Tipos de ataques de intermediario
Los criminales pueden lanzar un ataque de intermediario de muchas formas. Sin embargo, todos estos ataques incluyen la intercepción y desencriptación. A continuación, ejemplos de los distintos tipos de ataques de intermediario.
IP spoofing ocurre cuando los cibercriminales alteran la dirección IP original de una página web o dispositivo. Como resultado, los usuarios creen estar accediendo a una página o dispositivo legítimo cuando todos sus datos compartidos durante esa interacción están siendo recabados por los cibercriminales.
DSN spoofing es, en esencia, similar a IP spoofing. La diferencia es que, en lugar de alterar una dirección IP, los atacantes modifican los nombres del dominio para redirigir el tráfico a páginas falsas. Los usuarios que entran en un sitio afectado por DNS spoofing piensan encontrarse en una página legítima; por desgracia, sus credenciales serán robadas.
HTTPS spoofing ocurre cuando los cibercriminales crean una página web que envía un certificado falso al navegador de la víctima para establecer una conexión segura falsa. Como resultado, los delincuentes roban todos los datos del usuario que visita dicho sitio.
Secuestro SSL es una técnica durante la cual los cibercriminales cuelan claves de autenticación falsas al usuario y a la aplicación al mismo tiempo que sucede el saludo TCP. A simple vista, parece tratarse de una conexión segura. Desgraciadamente, la cruda realidad es que el atacante toma el control de la sesión y del flujo de datos.
Secuestro de correo electrónico ocurre cuando el atacante toma el control de una cuenta de correo electrónico legítima y la utiliza para llevar a cabo fraude financiero o robo de identidad.
Escucha wifi es el ataque de intermediario más común. Durante la escucha wifi, el ataque obtiene el control de una red wifi pública o crea una falsa para que las víctimas se conecten a ella.
Secuestro de sesión consiste en lo que llamarías un ladrón de cookies. Durante el secuestro de sesión, los criminales consiguen acceso a tus cookies y las utilizan para robar información sensible. Como ya sabrás, las cookies almacenan información muy importante, como tus inicios de sesión y datos personales.
Cómo detectar un ataque de intermediario
Detectar un ataque de intermediario puede suponer un desafío. Si no controlas activamente tus comunicaciones, uno de estos ataques puede pasar desapercibido hasta que es demasiado tarde. Si quieres ir un paso por delante de los hackers, tomar medidas relacionadas con la seguridad de las comunicaciones es crucial. Tienes que tomar consciencia de tus hábitos de navegación y comprender lo peligros que conlleva entrar en determinadas webs.
Una señal de que eres víctima de un ataque de intermediario es la inesperada disrupción de un servicio o página web particular. Los atacantes desconectan tu sesión para interceptar la conexión y recoger datos, el objetivo de su intromisión.
Otro indicativo son las URLs desconocidas o irreconocibles. Por ejemplo, te das cuenta de que en lugar de google.com aparece g00gle.com en tu navegador.
Si sospechas ser víctima de un ataque de intermediario, corta tu conexión a internet, pues los criminales podrían echar el guante a información sensible, como nombres de usuario e inicios de sesión. También recomendamos encarecidamente cambiar las contraseñas de tus cuentas online para prevenir posibles daños. Puedes hacerlo rápidamente con la ayuda de un generador de contraseñas, una herramienta diseñada para crear contraseñas seguras y únicas al instante.
Cómo protegerte frente ataques de intermediario
Evita redes wifi públicas
Las redes wifi públicas son más peligrosas que las caseras porque carecen de las medidas de seguridad necesarias. Al evitar el uso de redes wifi públicas, reducirás significativamente el riesgo de ser víctima de un ataque de intermediario.
Usa una VPN para proteger la conexión
Utilizar una VPN puede prevenir los ataques de intermediario. Una VPN crea una capa de seguridad extra que encripta tus datos, convirtiéndose en un escudo frente a estos ataques.
Presta atención a las notificaciones del navegador que informan sobre que una página no es segura
Los navegadores actuales son muy seguros. La mayoría emplean avisos cuando estás a punto de entrar en una página con estándares de seguridad cuestionables. Asegúrate de visitar páginas que incluyen "HTTPS" en su URL en lugar de solo "HTTP", pues el primero indica que el sitio es seguro.
Evita correos phishing
Las estafas phishing se suceden todos los días. Los cibercriminales emplean ataques phishing para engañar a los usuarios a que descarguen archivos maliciosos y expongan sus datos más sensibles. Generalmente, los mensajes phishing se hacen pasar por una fuente legítima para interactuar con el usuario. Permanece alerta ante cualquier correo sospechoso. Puedes saber más sobre el phishing y cómo detectarlo en nuestro artículo.