El objetivo de un ataque de intermediario, más conocido como ataque «Man in the Middle” (MITM), es interceptar nuestra información personal, como credenciales de inicio de sesión de cuentas, datos financieros personales o números de tarjetas de crédito. Los ciberdelincuentes que atacan haciendo uso de MITM lo realizan interponiéndose entre dos partes en línea e interceptando y descifrando datos.
Si se es víctima de este tipo de ciberataque, nuestra cuenta bancaria o de criptomonedas podría vaciarse, o los estafadores podrían engañarnos para enviar una transacción legítima a una cuenta de los criminales.
Aunque las preocupaciones sobre la ciberseguridad y las violaciones de datos se han vuelto comunes en un mundo actual altamente conectado, muchas personas no toman las precauciones necesarias para mantener seguras sus actividades en Internet. Esto los deja vulnerables a una variedad de peligros que acechan en las sombras digitales, incluidos los ataques de intermediarios Man in the Middle.
¿Quieres profundizar en los ataques MITM? Te contamos cómo prevenirlos y protegerte.
¿Qué es un ataque de Man in the Middle?
magina que estás depositando un cheque en el banco. Mientras escribes el número de cuenta corriente, hay alguien detrás de que mira por encima de tu hombro y lo copia. Luego escuchan tu nombre y dirección y también los anotan. Cuando insertas tu tarjeta de débito para demostrarle al cajero del banco que eres tú, también lo observan cuando pulsas el código PIN.
Un ataque de intermediario consiste en observar y escuchar. Pero cuando los piratas informáticos cometen ataques MITM, tienden a hacerlo de manera un poco más sofisticada. A través de tácticas en línea que analizaremos más adelante, no solo descubrirán tu información, sino que también sabrán con quién estás intentando comunicarte. Incluso pueden hacerse pasar por tu banco, una empresa de confianza o un amigo.
¿Cómo funciona un ataque Man in the Middle?
Los ataques MITM ocurren con mayor frecuencia después de que un ciberdelincuente obtiene el control de una red Wi-Fi o crea una conexión Wi-Fi gratuita y no cifrada. De esta forma, el atacante puede interceptar datos entre dos partes. Estos ataques son esencialmente una forma digital de escuchas ilegales en la que los delincuentes roban tus datos personales o financieros a través de redes comprometidas.
Esta es la versión más peligrosa de un ataque MITM, ya que todo lo que se dice o comparte se puede leer y robar fácilmente, sin que el atacante necesite siquiera descifrar los datos. Si está en una red comprometida e intentas acceder a tu aplicación de banca en línea, por ejemplo, un actor malintencionado podría observar y registrar fácilmente cualquier información confidencial que se utilice.
Este tipo de ataques pueden apuntar a cualquier tipo de comunicación en línea, como intercambios de correo electrónico, mensajes de redes sociales o visitas a sitios web.
Dado que el ciberdelincuente controla la red Wi-Fi, también puede hacerse pasar por partes diferentes y engañar a las víctimas para que entreguen datos, realicen transferencias u otras acciones que de otro modo no habrían realizado.
Diferentes tipos de ataques de Man in the Middle
Hay diferentes formas en que un tercero puede lanzar un ataque MITM. Todos ellos incluyen la interceptación de la información y la actividad de las víctimas. Debido a los protocolos de seguridad modernos, los piratas informáticos a menudo también deben descifrar los datos para que sean legibles y utilizables.
Mientras interceptan, los delincuentes redirigen su actividad en línea a través de su red antes de que llegue a donde desea que vaya. Esta actividad podría incluir utilizar credenciales de inicio de sesión o números de tarjetas de crédito, o incluso compartir fotos o videos privados con amigos en una aplicación de mensajería. A continuación, se muestran algunas formas comunes en que los atacantes interceptan sus datos.
Escuchas Wi-Fi: Esta es una táctica que mencionamos anteriormente. Imagina que te sientas en una cafetería Starbucks y quieres conectarte a su Wi-Fi gratuito. Ves «STRBUX Free Wi-Fi», así que haces clic en él y conectas tu dispositivo portátil. Lo que no te das cuenta es que un ciberdelincuente, que probablemente esté muy cerca de ti, ahora está observando todos tus movimientos en línea.
El atacante configuró la red Wi-Fi con el objetivo de engañar a la gente para que la usara. Mientras tanto, puede anotar contraseñas, nombres de usuario y cualquier dato privado que los usuarios envíen mientras están en su red. Dado que se trata de una conexión insegura y no cifrada, el descifrado ni siquiera es necesario.
Secuestro de correo electrónico: En los ataques de secuestro de correo electrónico (que también es una forma de phishing), un delincuente ataca las cuentas de correo electrónico de organizaciones como bancos e instituciones financieras. Obtienen acceso a las cuentas personales de empleados y clientes para interceptar transacciones y consultas.
Si estás intentando realizar operaciones bancarias en línea, es posible que recibas un correo electrónico que parece provenir de una fuente confiable como aparentemente tu banco. Si sigues las instrucciones mencionadas en el correo electrónico, podrías enviar dinero por error a los atacantes en lugar de enviar el dinero al lugar previsto.
Suplantación de IP: Una dirección de Protocolo de Internet (IP) es un número único que identifica un dispositivo de red. Este número está vinculado a toda tu actividad en línea y funciona como una especie de dirección de devolución electrónica. Los sitios web también tienen direcciones IP.
En los ataques MITM, un pirata informático puede falsificar una dirección IP y engañar a su dispositivo haciéndole creer que está interactuando con un sitio web familiar como PayPal. En realidad, te estás comunicando con el delincuente y, posiblemente, dándole acceso a tu información privada.
Suplantación de DNS: La suplantación del sistema de nombres de dominio (DNS) se produce cuando un usuario se ve obligado a acceder a un sitio web falso diseñado para parecerse a uno real. Esto es similar a la suplantación de IP, pero en este caso, los piratas informáticos redirigen las consultas DNS a sitios falsos (suplantados).
Si eres objeto de suplantación de DNS, es probable que creas que estás visitando un sitio legítimo. En cambio, estás interactuando con un atacante que intenta desviar el tráfico del sitio real y del verdadero servidor DNS para poder robar datos como la información de inicio de sesión del usuario. Si deseas obtener más información sobre DNS y servidores DNS, consulta nuestro artículo completo aquí.
Eliminación y secuestro de SSL: Los sitios que manejan información financiera confidencial para los clientes, como sitios de comercio electrónico como Amazon, bancos y plataformas de intercambio de criptomonedas, utilizan protocolos de sitios web HTTPS seguros. Los sitios web que ofrecen transacciones financieras necesitan un certificado SSL (Secure Sockets Layer) para mantener segura la información y la privacidad de los clientes. Este protocolo es una capa extra de protección, ya que cifra la transferencia de datos entre navegadores y servidores. La mayoría de los navegadores actuales (Chrome, Firefox, Edge, etc.) marcarán un sitio que no utiliza HTTPS como inseguro.
Con un ataque de intermediario MITM, un delincuente informático intercepta y envía un sitio HTTP comprometido a la víctima. Todo esto sucede en un breve momento. Repasemos este proceso, usando PayPal nuevamente como ejemplo:
- Una víctima escribe una solicitud HTTPS segura para PayPal.
- El MITM (atacante) intercepta y envía la solicitud HTTPS segura al servidor.
- El servidor responde a la solicitud HTTPS segura.
- El MITM intercepta y envía una respuesta HTTP insegura a la víctima.
Como resultado, la víctima es redirigida a un sitio HTTP PayPal falso y sin cifrar donde el ciberdelincuente puede registrar los datos de su cuenta. La víctima podría descubrir lo que está sucediendo solo si nota que está utilizando una conexión HTTP en lugar de HTTPS o si recibe una advertencia de su navegador.
Secuestro de sesión y robo de cookies: Se produce un ataque de secuestro de sesión cuando inicia sesión en un sitio web como el de su banco. Una sesión es el período de tiempo que permanece conectado al sitio. Estas sesiones suelen ser el objetivo de piratas informáticos que desean obtener su información. Hay varias formas en que un atacante puede acceder a su sesión, pero un método común es robar las cookies de tu navegador.
Las cookies son pequeños fragmentos de código que los sitios web adjuntan a tu dispositivo para mejorar su experiencia de usuario. Con las cookies, los sitios web pueden recordar cosas como su información de inicio de sesión o el contenido de tu carrito de compras en línea. Una vez que un delincuente se ha insertado entre el sitio web y tú, puede robar estas cookies y descifrarlas para descubrir inicios de sesión, contraseñas o incluso números y credenciales de tarjetas de crédito almacenados.
5 pasos para protegerse de los ataques MITM
Cualquier usuario de Internet puede ser objetivo de un ataque MITM. Aunque protegerse puede resultar difícil teniendo en cuenta la naturaleza complicada de los ataques mencionados anteriormente, existen medidas que puede tomar. A continuación, se ofrecen cinco consejos clave para protegerse contra un ataque de intermediario:
- Ten cuidado con las redes Wi-Fi: Tanto tu red doméstica como las redes Wi-Fi públicas pueden convertirse en el objetivo de un ataque MITM. Asegúrese de que la red Wi-Fi de tu hogar esté segura y protegida con contraseña. Tus nombres de usuario y contraseñas deben ser seguros, únicos y difíciles de adivinar. En cuanto a las redes Wi-Fi públicas: proceder con precaución. Es mejor evitar conectarse a redes abiertas, especialmente aquellas sin protección con contraseña. Si necesitas utilizar una de estas redes, evita iniciar sesión y nunca las utilices para acceder a cuentas financieras. Una capa adicional de protección en sus dispositivos tampoco vendrá mal, lo que nos lleva al siguiente punto.
- Utilizar una VPN: Al acceder a una red Wi-Fi pública, siempre debes utilizar una VPN para mantenerte a ti y a tus datos seguros. Instalar una VPN es una forma extremadamente efectiva de mantener sus datos seguros. Las mejores VPN crean una conexión cifrada de nivel militar que protege los datos que envías y recibes mientras estás conectado a Wi-Fi. Incluso si la red está comprometida, un hacker MITM no podrá ver lo que estás haciendo en línea si usas una VPN. Esto también significa que no podrán acceder a sus credenciales de inicio de sesión, datos financieros ni información personal. Para seguridad y privacidad de primer nivel, recomendamos NordVPN. Proporciona cifrado de 256 bits de grado militar, protocolos de seguridad del más alto nivel y se ha demostrado que no mantiene registros de la actividad del usuario a través de dos auditorías independientes.
- Obtener un software antivirus premium: Si estás en una red comprometida, los piratas informáticos pueden inyectar malware en tu navegador o dispositivo. Además de permitirles leer su información de inicio de sesión, contraseñas y otros datos confidenciales, ciertos troyanos y gusanos también pueden permitir al atacante violar redes y conexiones. Otros programas maliciosos como ransomware, adware y spyware pueden causar todo tipo de estragos en dispositivos y redes. Es por eso que la línea de defensa más importante para cualquier dispositivo o red es un software antivirus potente. Los buenos programas antivirus se actualizan constantemente sobre las últimas amenazas. Si implementa protección en tiempo real, te impedirán acceder a un sitio malicioso que pretenda obligarnos a descargar malware o ejecutar una campaña MITM. Mediante análisis profundos programados periódicamente en el dispositivo, también eliminará cualquier virus, troyano o gusano que pueda haber infectado el dispositivo o red. Tenemos una lista sólida de programas antivirus que recomendamos, pero cualquiera ofrece protección frente a los virus. Los mejores tienen una sólida protección antiphishing y antimalware en tiempo real. También permiten que tu dispositivo funcione con un rendimiento óptimo mientras está activo en segundo plano.
- Utiliza únicamente conexiones HTTPS: En el pasado, la mayoría de los sitios web transmitían datos a través de conexiones HTTP no seguras, pero muchas cosas han cambiado en los últimos años. Ahora, la mayoría de los sitios web utilizan conexiones HTTPS como defensa contra los ciberataques. Son un poco más complicados y su instalación cuesta más, pero las empresas han descubierto que el tiempo y el coste extra merecen la pena. Asegúrate de poder ver «HTTPS» en las URL de los sitios que visitas y presta atención al icono del candado en el navegador. Si no ves el HTTPS, agrégalo manualmente. Luego intenta recargar el sitio. Si el candado es visible, significa que tu conexión está asegurada.
- Mantén tus sistemas y programas actualizados: Los piratas informáticos descubren constantemente nuevas formas de intentar ataques MITM y los desarrolladores de software suelen actualizar programas y sistemas para combatir esto. Asegúrate de ser diligente para mantener tus sistemas y programas actualizados. Simplemente revisa tus sistemas en busca de actualizaciones y no las pospongas. Esto incluye actualizaciones en el navegador web, tus dispositivos y cualquier aplicación en tus ordenadores y teléfonos inteligentes. Estas actualizaciones garantizan que obtengan los parches y correcciones de seguridad más recientes para mantener alejados a los atacantes.
Recuerda que Kymatio® es la solución de gestión de ciberriesgo de empleados, concienciación en seguridad de la información y gestión del riesgo de exposición de credenciales «todo en uno». Apóyate en la solución más avanzada del mercado para minimizar los riesgos.
