Ataque "Man in the Middle": ¿qué es, cómo funciona y cómo protegerse?

Compañía líder en detección proactiva de amenazas, analiza Man-in-the-Middle (MitM), que en español significa "hombre en el medio", un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos conectados a una red.

Este ataque permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes.

Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, debe estar presente en la misma red que los dispositivos apuntados en el ataque para cambiar la tabla de enrutamiento para cada uno de ellos.

Consecuencias de un ataque de Man-in-the-Middle

Es posible desarrollar amenazas para realizar determinadas acciones dentro del tráfico interceptado o utilizar alguna de las soluciones ya creadas para realizar estas modificaciones. Algunas de estas funcionalidades permiten:

• Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo.
• Insertar en la página a la que se accede código en JavaScript creado por el atacante.
• Ejecutar procesos que intentan abrir tráfico encriptado HTTPS.
• Insertar un keylogger que capture todo lo que escribe la víctima.

Consejos para protegerse de un ataque de Man-in-the-Middle

• Siempre desconfíar de las redes Wi-Fi: por definición, las redes Wi-Fi son más susceptibles a los ataques si alguien ha podido acceder a la red legítima de manera no autorizada o porque los actores maliciosos crean una red con el mismo nombre que la red legítima para engañar a los usuarios y que se conecten. Tener siempre cuidado al utilizar redes Wi-Fi públicas. En caso de necesitar utilizarlas, evitar compartir información importante y descargar archivos.
• Solo instalar software de fuentes conocidas: muchas amenazas se esconden detrás de software o archivos que parecen inofensivos. Por eso es importante asegurarse de que el software que se necesita descargar provenga de una fuente confiable para disminuir las posibilidades de que la descarga haya sido manipulada. Si un ataque Man-in-the-Middle ya está en marcha, es posible que los ciberdelincuentes puedan cambiar el archivo de destino que se descargará.
• Antimalware: una de las formas más eficientes de prevenir la mayoría de las amenazas. Tener siempre en los dispositivo una solución de seguridad correctamente instalada, actualizada y configurada para detener las amenazas que llegan a través de archivos o redes.

En caso de querer proteger un entorno de red corporativa de los ataques MitM, se recomienda tomar algunas medidas adicionales:

• Segregar redes: sacar hosts del mismo dominio de colisión ayuda a evitar que se realicen ataques en toda la red a la vez.
• Firewall: proteger estas redes con un firewall que tenga reglas adecuadas, evitando interacciones no deseadas.
• Configurar los routers: muchos dispositivos de red tienen la capacidad de inspeccionar la tabla ARP para evitar ataques de envenenamiento, identificar si sus dispositivos tienen esta función y, si la tienen, habilitarla.