¿Qué es un ataque de intermediario?
Un ataque de intermediario (a menudo abreviado como MitM o MiM) es un tipo de ataque de red de secuestro de sesión.
Los piratas informáticos interceptan información compartida digitalmente, a menudo actuando como espías o haciéndose pasar por otros. Este tipo de ataque es extremadamente peligroso ya que puede conllevar múltiples riesgos, como robo de información o comunicaciones falsas, que muchas veces son difíciles de detectar ya que la situación puede parecer completamente normal para los usuarios legítimos.
¿Qué es un ataque de intermediario?
Los ataques de intermediario ocurren cuando un tercero intercepta una conversación digital sin que los participantes legítimos sean conscientes de la interceptación. Esta conversación puede ocurrir entre dos usuarios humanos, un usuario humano y un sistema informático, o dos sistemas informáticos.
En cualquiera de estos casos, el atacante puede simplemente espiar la conversación para obtener información (piense en credenciales de inicio de sesión, información de cuenta privada, etc.), o puede hacerse pasar por otro usuario para manipular la conversación. En el último caso, un atacante podría enviar información falsa o *compartir enlaces maliciosos que podrían bloquear el sistema o abrir la puerta a otros ciberataques. A menudo, los usuarios legítimos no son conscientes de que en realidad se están comunicando con un tercero ilegal hasta mucho después de que se ha producido el daño.
Un ataque de intermediario es un ejemplo de secuestro de sesión. Otros tipos de ataques de secuestro de sesión incluyen secuencias de comandos entre sitios, secuestro del lado de la sesión, fijación de sesión y ataques de fuerza bruta.
¿Cómo funciona un ataque de intermediario?
Para realizar un ataque de intermediario se requiere que el hacker obtenga acceso a la conexión del usuario. Uno de los métodos más comunes es crear un punto de acceso wifi público al que pueda unirse cualquier persona cercana, sin necesidad de contraseña. Una vez que un usuario se une a la red, los piratas informáticos tienen acceso a todas sus comunicaciones digitales e incluso pueden registrar las pulsaciones de teclas, actuando como un intermediario.
El WiFi público es la forma más común y sencilla de lanzar un ataque de intermediario, pero no es la única. Otros métodos comunes incluyen:
Enviar usuarios a sitios web falsos: los piratas informáticos pueden enviar a los usuarios a sitios web falsos en lugar de su destino previsto mediante suplantación de IP o suplantación de DNS. La suplantación de IP ocurre cuando un pirata informático cambia los encabezados de los paquetes en una dirección IP, mientras que la suplantación de DNS ocurre cuando un pirata informático obtiene acceso a un servidor DNS y cambia los registros DNS de un sitio web. En cualquier caso, el usuario termina en un sitio web falso propiedad de los hackers (donde pueden capturar toda la información), aunque parezca completamente real.
Redireccionamiento de la transmisión de datos: los piratas informáticos pueden redirigir el destino de las comunicaciones mediante la suplantación de ARP. Esto sucede cuando un pirata informático conecta su dirección MAC con una dirección IP que pertenece a uno de los usuarios legítimos involucrados en la comunicación. Una vez que establecen una conexión, los piratas informáticos pueden recibir cualquier dato destinado a la dirección IP del usuario legítimo.
En algunos casos, las comunicaciones pueden quedar expuestas públicamente, pero cuando los datos están cifrados, un ataque de intermediario implica otro paso que permite a los piratas informáticos leer la información. Los piratas informáticos pueden intentar descifrar cualquier información cifrada mediante los siguientes métodos:
Secuestro de SSL: los piratas informáticos falsifican claves de autenticación para establecer una sesión aparentemente legítima y segura. Sin embargo, dado que los piratas informáticos tienen estas claves, pueden controlar toda la conversación.
SSL BEAST: Los piratas informáticos atacaron una vulnerabilidad en SSL para instalar malware en los dispositivos de los usuarios que podría interceptar cookies cifradas diseñadas para mantener las comunicaciones digitales privadas y seguras.
Eliminación de SSL: los piratas informáticos pueden convertir una conexión HTTPS más segura en una conexión HTTP menos segura, eliminando así el cifrado de las sesiones web y exponiendo todas las comunicaciones durante esas sesiones.
¿Cuáles son los diferentes tipos de ataques de intermediario?
Existen muchos tipos de ataques de intermediario, cada uno de los cuales puede tener diferentes consecuencias para la víctima. Los tipos comunes de ataques de intermediario incluyen:
Escuchas para obtener información
Los piratas informáticos pueden espiar conversaciones durante cualquier período de tiempo para capturar información que utilizarán más adelante. No necesariamente necesitan alterar las comunicaciones de ninguna manera, pero si tienen acceso a los detalles compartidos, siempre pueden conocer información confidencial u obtener credenciales de inicio de sesión para su uso.
Cambiar los métodos de comunicación
Los piratas informáticos pueden utilizar técnicas como el secuestro de SSL para disfrazarse de otro usuario y cambiar la comunicación.
Por ejemplo, supongamos que Alice y Bob creen que se están comunicando entre sí. En ese caso, los piratas informáticos podrían sentarse en medio de una conversación y cambiar los mensajes que se envían entre sí. Este método se puede utilizar para enviar información falsa, compartir enlaces maliciosos o incluso interceptar detalles importantes, como que un usuario envíe una cuenta bancaria y un número de ruta para realizar un depósito.
Dirigir a los usuarios a sitios web falsos
Los piratas informáticos pueden enviar a los usuarios a un sitio web falso que es exactamente igual a su destino previsto (un ejemplo común es a través de un intento de phishing). Esta configuración les permite capturar cualquier información que los usuarios envíen a sitios web legítimos, como credenciales de inicio de sesión o detalles de cuenta. A su vez, los piratas informáticos pueden utilizar esta información para hacerse pasar por usuarios en el sitio web real para acceder a información financiera, cambiar detalles o incluso enviar mensajes falsos.
¿Cuáles son los riesgos potenciales de los ataques de intermediario?
Los ataques de intermediario pueden tener diversas consecuencias negativas. De hecho, los ataques de intermediario suelen ser un trampolín para que los piratas informáticos lancen ataques más grandes y con mayor impacto. Teniendo esto en cuenta, algunos de los mayores riesgos potenciales de los ataques de intermediario incluyen:
Transacciones fraudulentas
Un ataque de intermediario puede resultar en Transacciones fraudulentas, ya sea mediante escuchas para recopilar información de inicio de sesión y de cuenta o desviando transferencias. En la mayoría de los casos, esto se aplica a transacciones financieras provenientes directamente de un banco o mediante pago con tarjeta de crédito.
Información confidencial robada
Capturar las credenciales de inicio de sesión de un usuario, enviarlas a un sitio web falso o incluso simplemente escuchar el correo electrónico puede resultar en el robo de información confidencial. Las consecuencias son particularmente preocupantes para las grandes organizaciones que protegen la propiedad intelectual o recopilan datos confidenciales, como registros médicos de clientes o números de Seguro Social. Esto también es un problema a medida que surgen cada vez más leyes de privacidad que exigen a las empresas de todo tipo proteger la información que manejan sobre sus clientes.
Acceso a otros sistemas
Robar las credenciales de inicio de sesión de un usuario mediante un ataque de intermediario también puede darle al hacker acceso a cualquier cantidad de otros sistemas. Esto significa que incluso si un solo sistema es vulnerable, podría hacer que otros sistemas más seguros sean más vulnerables. En general, esta situación requiere que el equipo de seguridad de una organización se asegure de que no haya enlaces débiles, sin importar cuán trivial pueda parecer cualquier punto de conexión.
Ataques amplios mediante malware
Los piratas informáticos pueden utilizar ataques de intermediario para compartir malware con los usuarios. A su vez, este malware puede provocar ataques generalizados, como aquellos que comprometen sistemas completos o proporcionan acceso persistente a información o sistemas para realizar ataques a largo plazo.
¿Cómo han evolucionado los ataques de intermediario?
Dos tendencias han propiciado la evolución de los ataques de intermediario y, por tanto, un mayor riesgo para las organizaciones.
El primero es el aumento de los entornos de trabajo móviles y distribuidos, lo que en última instancia significa que más personas están conectadas a través de redes wifi públicas (tanto para uso personal como empresarial). Cuanto más común suceda esto, más oportunidades habrá para que los piratas informáticos obtengan acceso a través de estas conexiones no seguras.
En segundo lugar, la mayor preocupación para las organizaciones en el futuro es el aumento de la identidad de los dispositivos y máquinas de Internet de las cosas (IoT). Los dispositivos IoT no sólo requieren diferentes tipos de seguridad, sino que también crean más puntos de conexión e identidades que requieren autenticación. Sin la protección adecuada, estas máquinas crean una variedad de puntos de acceso para los piratas informáticos, muchos de los cuales parecen inocentes (es decir, unidades HVAC). No importa cuán mundanas puedan parecer, todas estas máquinas requieren una seguridad sólida, como mediante cifrado y actualizaciones periódicas, para garantizar que cumplan con los protocolos de seguridad más recientes y evitar dejarlas vulnerables a ataques de intermediarios.
¿Cuáles son algunos ejemplos reales de ataques de intermediario?
Desafortunadamente, los ataques de intermediario son muy comunes. Algunos de los ejemplos recientes más destacados de este tipo de ataques incluyen:
Robos de cuentas bancarias de empresas en Europa
En 2015, las autoridades europeas arrestaron a 49 sospechosos por supuestamente usar Técnicas intermedias Se llevaron a cabo una serie de robos de cuentas bancarias en toda Europa. El grupo robó aproximadamente 6 millones de euros a empresas europeas al obtener acceso a cuentas de correo electrónico de la empresa, monitorear las comunicaciones para monitorear las solicitudes de pago y luego enrutar estas transacciones a sus propias cuentas. Este ataque implica intentos de phishing y la creación de sitios web falsos diseñados para parecer auténticos.
Uso defectuoso de certificados en aplicaciones de banca móvil
En 2017, los investigadores descubrieron que la técnica de fijación de certificados utilizada en la aplicación es defectuosa. La falla significa que un pirata informático en la misma red que un usuario legítimo podría obtener acceso a credenciales de inicio de sesión, como nombres de usuario, contraseñas y PIN, sin ser detectado al no validar adecuadamente el nombre de host de la aplicación.
Con este tipo de acceso, los piratas informáticos pueden realizar ataques de intermediario para ver y recopilar información, tomar medidas en nombre de usuarios legítimos o incluso lanzar ataques de phishing dentro de la aplicación. Curiosamente, la debilidad a la hora de proporcionar acceso en este caso se debe a procedimientos mal gestionados para manejar certificados que en realidad pretenden mejorar la seguridad.
Fallo de seguridad de dominio de Equifax
En 2017, Equifax, una de las agencias de informes crediticios más grandes de los Estados Unidos, fue víctima de un ataque de intermediario que resultó en Se robaron más de 100 millones de cargos a consumidores a través de una conexión de dominio no segura. El ataque comenzó cuando Equifax no logró parchear una vulnerabilidad en el marco de desarrollo que utilizaba, lo que permitía a los piratas informáticos incrustar código malicioso en solicitudes HTTP. Desde allí, los piratas informáticos pudieron acceder a los sistemas internos y espiar la actividad de los usuarios para recopilar meses de información diversa.
¿Cómo prevenir ataques de intermediario?
Los ataques de intermediario siguen siendo muy comunes y, por lo tanto, suponen una grave amenaza para la seguridad de los usuarios y de las organizaciones. Si bien la amenaza de estos ataques es significativa, existen varias medidas que tanto el equipo de seguridad de su organización como sus usuarios pueden tomar para protegerse contra estos riesgos. Las mejores medidas de protección incluyen:
(1) Preste atención a los puntos de conexión
Una de las formas más comunes para que los piratas informáticos obtengan acceso para realizar ataques de intermediario es a través de puntos de conexión no seguros, como wifi público ** *. Por tanto, es importante que los usuarios tengan especial cuidado con los puntos de conexión. Esto significa evitar el uso de wifi público (y ciertamente no iniciar sesión en ningún sistema si su sistema está conectado a una red pública) y usar una VPN para cifrar su conexión de red.
(2) Educar a los usuarios sobre los intentos de phishing
Los intentos de phishing son otro punto de entrada común para los ataques de intermediario, y los mejores intentos pueden ser muy convincentes. Educar a los usuarios sobre estos ataques y cómo evolucionan puede ser de gran ayuda para detectar intentos de ataque y evitar ser víctimas de ellos.
(3) Navegar a un sitio web escribiendo la URL en lugar de hacer clic en el enlace
Navegar a un sitio web escribiendo la URL en lugar de hacer clic en el enlace es una práctica recomendada que puede ayudar Evite el phishing exitoso y otras tácticas comunes que lanzan ataques de intermediario enviando a los usuarios a sitios web falsos o incorporando malware. Hacer esto evita que los piratas informáticos envíen enlaces ligeramente modificados, abriendo la puerta a ataques.
(4) Verifique siempre la legitimidad y seguridad del sitio web mediante HTTPS
Cuando los usuarios ingresan la dirección URL del sitio web, también deben incluir HTTPS y asegurarse de que todos los sitios web tener este nivel de seguridad. Verificar el protocolo HTTPS puede parecer simple, pero puede ser de gran ayuda para verificar la legitimidad y seguridad de un sitio web antes de compartir información confidencial.
(5) Educar a los usuarios sobre el proceso de inicio de sesión normal
Varios ataques recientes de intermediarios requieren que los usuarios completen los pasos para iniciar sesión en el sitio web. En realidad, no es la parte del proceso de inicio de sesión normal, incluso si parecen perfectamente legales. Educar a los usuarios sobre lo que hace y no hace el proceso de inicio de sesión normal puede ayudarlos a identificar situaciones inusuales más fácilmente.
(6) Comprender los hábitos normales de inicio de sesión de los usuarios
Por parte del equipo de seguridad, comprender los hábitos normales de inicio de sesión de los usuarios puede ayudar a detectar cualquier patrón anormal más fácilmente. Por ejemplo, si la mayoría de los usuarios tienden a iniciar sesión durante la semana, pero hay un aumento repentino en la actividad los fines de semana, esto puede ser preocupante y justificar una mayor investigación.
(7) Utilice la autenticación multifactor cuando sea posible
Exigir a los usuarios que inicien sesión utilizando la autenticación multifactor puede proporcionar otra capa de protección contra ataques de intermediario. de modo que incluso si un pirata informático logra obtener la combinación de nombre de usuario y contraseña, tampoco podrá acceder a la cuenta sin otra forma de verificación (por ejemplo, un código enviado por mensaje de texto).
Si bien este enfoque de dos capas no es invulnerable, dado que algunos ataques recientes de intermediarios han pasado a través de ambas capas, sí proporciona más protección.
(8) Salir de la sesión segura cuando haya terminado
Obligar a los usuarios a cerrar sesión después de completar una sesión segura es una práctica importante porque cerrar la sesión cancela el acceso a ellos tanto por parte de personas legales como ilegales. fuentes. En otras palabras, cuanto más tiempo esté abierta una sesión, mayor será el riesgo de que los piratas informáticos puedan acceder a ella de múltiples formas.
(9) Priorizar la PKI, especialmente para el creciente número de identidades de máquinas.
Finalmente, un programa PKI sólido es esencial para autenticar las conexiones entre usuarios (personas y máquinas) y cifrar sus comunicaciones. es crítico. Un enfoque de mejores prácticas para PKI requiere un sistema altamente ágil que pueda mantenerse al día con el número de identidades en rápido crecimiento, aplicar estándares de seguridad de manera integral y consistente y actualizar periódicamente las claves de cifrado para evitar riesgos como la filtración de claves.