Ataques Man-in-the-Middle y MTA-STS

¿Qué es un ataque Man in the Middle?

Un ataque man-in-the-middle (Hombre-En-La-Mitad) o MITM es un ataque de escucha en el cual un actor cibernético obstruye la comunicación y la transferencia de datos entre los servidores del remitente y el receptor. Actúan como la tercera parte entre la cadena de comunicación; por lo tanto, el nombre "hombre en el medio" está asociado con esta actividad cibernética. De esta manera, los actores de amenazas se comportan como partes legítimas para ambos extremos. 

Los ataques man-in-the-middle se intentan interceptar, robar o modificar datos, interrumpir la comunicación y enviar enlaces maliciosos a cualquiera de las partes. 

Fases de un ataque Man in the Middle

Hay dos fases en un ataque MITM estándar; interceptación y descifrado. Conozcámoslas en detalle.

Intercepción

En la fase de interceptación de un ataque man-in-the-middle, los actores de amenazas intentan acceder a un sistema vulnerable y sabotear la comunicación o los datos intercambiados entre las partes con la ayuda de recursos maliciosos como software y herramientas. Se comportan como intermediarios entre las víctimas (propietarios de sitios web) y los usuarios (clientes, prospectos, etc.) para robar datos y credenciales o inyectar malware. 

Como los actores maliciosos están posicionados en el medio, obtienen detalles sensibles de los remitentes que pueden modificar o corromper antes de pasarlos al otro extremo. El wifi no seguro es una puerta común para la interceptación junto con otras técnicas que se discutirán a continuación.

• IP Spoofing

En el IP spoofing, los actores de amenaza envían paquetes IP maliciosos utilizando direcciones IP falsas para hacerse pasar por otros. Generalmente se utiliza para intentar ataques de denegación de servicio distribuido (DDoS) o para ocultar la identidad real del atacante. El IP spoofing hace que el phishing sea más impactante y difícil de controlar, ya que los correos electrónicos falsos parecen provenir de una fuente genuina.

El spoofing de direcciones IP impide que las autoridades descubran quiénes son los atacantes, por lo que no pueden ser rastreados. También evita que los dispositivos de las víctimas envíen notificaciones sobre los ataques, permitiendo así que el proceso se complete sin interrupciones.  

• DNS Spoofing

El DNS spoofing es una técnica cibernética en la que los hackers interceptan la solicitud de un navegador web para un sitio web específico y redirigen al usuario a otro sitio web. Generalmente, el otro sitio web es falso o imita al original para robar detalles sensibles de los usuarios. 

El DNS spoofing se intenta alterando las direcciones IP de los servidores DNS para iniciar ataques de phishing o inyectar malware.

• ARP Spoofing

En el ARP spoofing, los actores de amenaza envían mensajes ARP fraudulentos o del Protocolo de Resolución de Direcciones para engañar a otros dispositivos haciéndoles creer que están conectados y comunicándose con alguien más. De esta manera, los hackers roban e interceptan datos para un uso malicioso.

Para intentar el ARP spoofing, los hackers esperan para acceder a las solicitudes ARP o distribuyen un mensaje no autorizado llamado 'ARP gratuito'. Mientras que el primer método es menos destructivo y tiene un alcance más limitado, el segundo es más impactante y complicado. 

• Secuestro de Correo Electrónico

Los ataques MITM de secuestro de correo electrónico generalmente están dirigidos a bancos y otras instituciones financieras para robar detalles de los clientes y supervisar todas las transacciones. Los hackers también envían correos electrónicos falsos que parecen provenir de una fuente legítima, donde los destinatarios son solicitados a compartir detalles sensibles. 

Descifrado

La fase de descifrado es el siguiente aspecto a considerar al entender qué es un ataque MITM.

Después de cifrar, los hackers descifran los datos obtenidos de manera poco ética en un ataque MITM exitoso para venderlos en el mercado negro o usarlos en actividades maliciosas. Los datos robados se utilizan para transacciones en línea, falsificaciones, suplantaciones de identidad, etc. A continuación, se presentan dos métodos comunes de descifrado.

• Spoofing de HTTPS

En el spoofing de HTTPS, los hackers engañan al navegador web para que considere un sitio web ilegítimo como legítimo. Básicamente, alteran las solicitudes de dirección basadas en HTTPS para redirigirlas a sus puntos finales equivalentes seguros de HTTPS.

• SSL Hijacking

SSL es la sigla de Secure Socket Layer (Capa de sockets seguros),una tecnología basada en Internet para asegurar y proteger datos sensibles intercambiados entre dos direcciones IP. Si visitas un sitio web no seguro cuya URL comienza con HTTP, un navegador asegurado con SSL te redirigirá automáticamente a su versión segura con una URL HTTPS.

En el secuestro de SSL, los atacantes MITM manipulan las computadoras y servidores de las víctimas para interceptar la ruta modificada y robar datos sensibles.

Señales de un Ataque de Hombre en el Medio

Los hackers están volviéndose más sofisticados al utilizar herramientas fácilmente disponibles compradas en el mercado negro. Esto hace que la encriptación y desencriptación sean más rápidas y fáciles para ellos. Sin embargo, no es tan difícil protegerse contra los ataques de hombre en el medio si educas a ti mismo y a los miembros de tu equipo sobre cómo reconocer sus señales. Veamos cuáles son:

Desconexiones frecuentes

Los hackers desconectan forzosamente a los usuarios para interceptar sus nombres de usuario y contraseñas cuando se vuelven a conectar. Considéralo una señal de alerta si te desconectan o se desconecta repetidamente de un sitio web en particular. 

URLs extrañas o mal escritas en la barra de direcciones

Confirma las URLs si parecen extrañas o tienen alteraciones en la escritura. A veces, los hackers intentan secuestrar DNS creando sitios web falsos con cambios leves en la escritura, por ejemplo, reemplazando la letra O (la 15ª letra del alfabeto inglés) con el número 0 (cero). Por lo tanto, es posible que no notes que estás visitando www.amaz0n.com en lugar de www.amazon.com. 

URL no segura

No visites sitios web cuyas URL comiencen con HTTP en lugar de HTTPS, especialmente si tienes que hacer algo más que simplemente leer información. Estos no son seguros ni están encriptados, lo que significa que los ciberdelincuentes pueden interceptar los datos intercambiados entre dos partes. 

Cómo detener los ataques de hombre en el medio

¿Estás pensando en cómo detener los ataques de hombre en el medio? Simplemente sé cauteloso y practica los buenos métodos de higiene en Internet que se comparten a continuación. 

Evita redes Wi-Fi públicas y no seguras

Las redes Wi-Fi públicas no están aseguradas. Por lo tanto, evita conectarte a ellas mientras viajas o realizas transacciones en línea. Puedes usar la conexión encriptada de tu operador móvil o routers con seguridad WPA2.

Usa una VPN

Agregar una VPN o Red Privada Virtual encripta el tráfico entre los puntos finales y el servidor VPN. Esto dificulta que los actores amenazantes tengan éxito en un ataque de hombre en el medio.

Cierra siempre la sesión en sitios web importantes

No guardes contraseñas en los navegadores; siempre cierra la sesión en sitios web sensibles una vez que hayas completado tu actividad. Esto se aplica especialmente a sitios web financieros como bancos y pasarelas de pago. 

Establece contraseñas únicas y fuertes

Usa contraseñas únicas para todas las plataformas importantes y cámbialas cada 3-4 meses. Una contraseña fuerte debe tener al menos 12 caracteres con letras mayúsculas, minúsculas, números y símbolos especiales. 

Asegúrate de que no sean demasiado obvias de adivinar, como el nombre de tu mascota o lugar de nacimiento.

Utiliza la autenticación multifactor

La autenticación multifactor es un método de seguridad que requiere más de una forma (además de la contraseña) para acceder a una cuenta o dispositivo. Estos métodos secundarios incluyen verificación de huellas dactilares, detección facial, OTP, etc. 

Detén los ataques de MITM en correos electrónicos con MTA-STS

Finalmente, el método más efectivo para proteger tus comunicaciones por correo electrónico contra los ataques de MITM es Mail Transfer Agent-Strict Transport Security (MTA-STS). Esta tecnología de autenticación de correo electrónico te permite proteger tus correos en tránsito al hacer obligatoria la encriptación de capa de transporte en SMTP.

Es importante saber qué es un ataque de MITM, especialmente para las empresas impulsadas por la tecnología. Son bastante comunes en el panorama digital actual, y los hackers están cada vez más sofisticados en llevar a cabo sus esfuerzos sin dejar rastro. Esto hace que sea importante que los propietarios de dominios tomen medidas adecuadas y refuercen la encriptación durante la transferencia para evitar que los atacantes intercepten sus comunicaciones por correo electrónico.