Todo sobre los ataques “man-in-the-middle”: tipos, peligros y soluciones

¿Qué significa un ataque man-in-the-middle?

Los ataques man-in-the-middle (ataques de intermediario, en español) ocurren cuando un hacker intercepta el flujo de comunicación entre dos partes. Por ejemplo, entre tú y una página web o una app que estás utilizando.

Para que un ataque sea clasificado como man-in-the-middle, requiere de cuatro elementos: 

• La víctima (el usuario)
• El atacante (quien será el “intermediario” u “hombre de en medio”).
• Vulnerabilidad
• La página web o app de destino.

¿Cuáles son las consecuencias de un ataque MITM?

Si eres víctima de un ataque man-in-the-middle, un hacker podría:

• Manipular tus comunicaciones
• Leer emails confidenciales
• Robar tus contraseñas
• Suplantar tu identidad online
• Robar información bancaria
• Redirigirte a páginas web peligrosas

Paso a paso: ¿cómo actúa un atacante MITM?

Cuando la comunicación online es segura, tú puedes interactuar en internet sin que tus datos queden expuestos. Sin embargo, los hackers pueden aprovechar vulnerabilidades presentes en las páginas web que sueles visitar o en tus apps favoritas.

Así es como los ciberdelincuentes consiguen interceptar y observar tu actividad online:

• Encuentran o generan una vulnerabilidad. Por ejemplo, el atacante puede crear una red WiFi falsa en un lugar público. Para que parezca una red segura, el hacker podría ponerle un nombre convincente, como el de una biblioteca o cafetería cercana.
• Esperan a que caigas en la trampa. Si caes en el engaño y te conectas a la red fraudulenta, un atacante podrá tener acceso a tu actividad online, como contraseñas, mensajes privados de WhatsApp o datos bancarios. 
• Interceptan todo lo que haces en internet. Una vez que el atacante está “en medio” justo entre tú e internet, toda la actividad que crees estar haciendo en privado, en realidad estará expuesta.
• Manipulan tu información. Cuando eres víctima de un ataque MITM, el atacante puede utilizar tus datos confidenciales, modificarlos o robar tu identidad online.

Variantes de ataques man-in-the-middle

Aunque cada ataque MITM tiene sus particularidades, todos buscan lo mismo: interponerse entre la víctima (tú) y el destinatario (página web, app o dispositivo) para robar datos privados.

Suplantación de identidad y redirección de tráfico

Estas técnicas se basan en engañar al sistema o al usuario para redirigir su conexión hacia el atacante. 

• Suplantación de IP (IP spoofing). Este ataque consiste en que un hacker falsifica su dirección IP para hacerse pasar por un dispositivo de confianza. Así logra entrar a un sistema privado sin autorización.
• Suplantación ARP (ARP spoofing). En una red local, los dispositivos se comunican usando direcciones especiales llamadas MAC. El atacante manda datos falsos para que las computadoras crean que él es uno de los dispositivos reales. 
• Suplantación DNS (DNS spoofing). Cuando escribes una dirección web, tu dispositivo pregunta a un servidor a dónde tiene que ir. En este ataque, el hacker da una respuesta falsa y te redirige a una página web fraudulenta. Aunque parezca legítimo, el hacker tiene el control de la página que estás visitando.
• Envenenamiento de caché DNS (DNS cache poisoning). Este ataque modifica la información guardada en la memoria del sistema que traduce los nombres de las páginas web. El resultado: aunque tú hayas escrito la dirección correcta, terminas en una página falsa.
• Suplantación HTTP (HTTP spoofing). El atacante crea una copia de una página web o app confiable y hace que los usuarios entren a esa versión falsa. Una vez ahí, las personas escriben sus datos y el hacker se queda con esa información.

Intercepción y manipulación del tráfico en tiempo real

En esta categoría, el atacante intercepta o modifica tus datos mientras están en tránsito.

• Ataques man-in-the-browser (MITB). Este tipo de ataque sucede cuando un programa peligroso, como un troyano, se instala en el navegador sin que tú lo sepas. Una vez dentro, puede alterar lo que ves o lo que escribes en ciertas páginas web, como las de tu banco o cuenta de email. 
• Espionaje por WiFi (WiFi eavesdropping). Aquí, el atacante se aprovecha de una red WiFi para espiar todo lo que haces en internet. Puede hacerlo al conectarse a una red pública no segura, o incluso puede crear una red falsa para que las personas se conecten sin saber que están siendo vigiladas.
• Secuestro SSL (SSL hijacking). Este ataque ocurre cuando alguien se mete en medio de una conexión segura, como la que usan los bancos o tiendas online. El ciberdelincuente presenta un certificado falso para hacerse pasar por la página web real. Si la víctima acepta esa conexión, el atacante puede ver toda su información.

Robo de datos almacenados o en sesión

El objetivo aquí es obtener información valiosa que ya está en tu dispositivo, o que se transmite durante una sesión activa.

• Robo de cookies. Las cookies son archivos pequeños que los sitios web guardan en tu computadora o celular para recordar información útil, como tu usuario o sesión. El problema es que, si un hacker logra robar esas cookies y leer su contenido, podría entrar a tus cuentas sin necesidad de conocer tu contraseña.

Casos reales de ataques man-in-the-middle

Aquí te dejamos algunos ejemplos reales de ataques tipo man-in-the-middle (MITM):

Equifax

El caso de Equifax hace referencia a una de las filtraciones de datos más grandes en la historia. Se expuso la información financiera de 143 millones de personas en Estados Unidos. Lo que muchos no saben es que una parte clave del ataque fue el robo de identidad. Los hackers usaron la técnica de suplantación SSL (SSL spoofing) para robar las credenciales de los usuarios y avanzar con el ataque.

Superfish

En 2015, un software llamado Superfish Visual Search venía preinstalado en algunas computadoras Lenovo. Este programa tenía una vulnerabilidad que permitía a los atacantes inyectar anuncios directamente en el tráfico web de los usuarios. Esto abrió la puerta a ataques MITM sin que las víctimas se dieran cuenta.

DigiNotar

DigiNotar era una empresa que se dedicaba a emitir certificados digitales que servían para garantizar la seguridad de las páginas web. En 2011, la empresa fue hackeada. Los atacantes lograron robar más de 500 certificados, incluyendo algunos usados por sitios web muy populares, como el propio Google. Esto permitía a los hackers hacerse pasar por empresas y páginas web legítimas para espiar a los usuarios y robar su información confidencial.

Hackeo a Belgacom

En 2013, la empresa de telecomunicaciones belga Belgacom confirmó que cibercriminales se habían metido en su red. Lo más grave fue que lograron interceptar datos encriptados. Esto fue muy grave en su momento, porque la encriptación es un protocolo de ciberseguridad que suele considerarse seguro. 

Operación Aurora

En 2009, un grupo de ciberataques patrocinado por un gobierno (es decir, apoyado por un país) atacó a varias empresas conocidas en una operación llamada Aurora. Los atacantes usaron técnicas MITM para interceptar comunicaciones y robar información valiosa, como secretos industriales y datos secretos.

Cómo defenderse de un ataque MITM

Para evitar caer en este tipo de trampas, lo mejor es conectarse sólo a redes en las que confías, activar la autenticación en dos pasos en tus cuentas importantes y nunca ingresar datos sensibles cuando te conectes al WiFi público. Sin embargo, en muchos casos basta con aplicar el sentido común. 

Aquí te dejamos una lista de estrategias para protegerte contra los ataques man-in-the-middle:

Mucho ojo con los emails sospechosos

Los correos de phishing siguen siendo una de las formas favoritas de los criminales para engañar a los usuarios. Si recibes un mensaje raro, como una solicitud extraña de tu banco o un enlace que parece sospechoso, mejor no te arriesgues. 

Utiliza un sistema de seguridad para dispositivos

Si tienes una empresa, es probable que te preocupe que algún empleado, sin querer, le dé acceso a los hackers. La mejor forma de evitar esto es implementar una estrategia de seguridad en los dispositivos que se conectan a tu red (endpoint security) y apostar por la capacitación continua en ciberseguridad.

Recuerda proteger tu módem o router en casa

Muchos módems y routers domésticos son vulnerables porque la gente nunca cambia la contraseña de administrador que viene por defecto. Si no aseguras la red de tu casa, podrías estar dejando abierta la puerta a los atacantes.

Usa una VPN de confianza

Muchos ataques MITM ocurren por conexiones WiFi inseguras o débiles. ¿La solución? Encriptar tus datos. Cuando activas una VPN, todo lo que haces online viaja por un túnel cifrado entre tu dispositivo y un servidor seguro. Incluso si te conectas por error a una red falsa, lo único que el hacker verá será datos y signos incomprensibles. No obstante, debes asegurarte de no usar la función de túnel dividido en redes no seguras, ya que esto podría exponer partes de tu tráfico.

En el caso de NordVPN, cuentas con la función Protección contra amenazas Pro™, la cual bloquea anuncios, rastreadores y analiza archivos antes de que se descarguen en tu dispositivo. Es una capa extra de defensa contra ataques man-in-the-middle.

Activa la verificación en dos pasos (2FA)

Tener contraseñas seguras y únicas es muy importante, pero no suficiente. Los hackers aún pueden encontrar formas de adivinarlas o robarlas. Con la verificación en dos pasos (o múltiple), aunque alguien tenga tu contraseña, necesitará un segundo código o método para entrar en tus cuentas o dispositivos.