Ataques Man-in-the-Middle

¿Qué son los ataques Man-in-the-Middle?

Un ataque Man-in-the-Middle (MiTM) es un ciberataque en el que los actores de la amenaza se insertan en una conversación o transferencia de datos existente entre dos partes. Esta técnica de escucha permite a los atacantes interceptar los intercambios o hacerse pasar por los participantes sin ser detectados de forma encubierta. Los ataques MiTM suelen robar información confidencial y credenciales de acceso, espiar a las víctimas, sabotear las comunicaciones, insertar malware y corromper datos.

Cómo funcionan los ataques Man-in-the-Middle

Los ciberataques MiTM implican un proceso de dos pasos de interceptación y descifrado de datos. 

1. Interceptación

En esta fase, los atacantes interceptan conversaciones o transferencias de datos entre dos partes, normalmente un usuario y una aplicación. El tráfico del usuario se redirige a través de la red del atacante, lo que le permite una visibilidad completa de los intercambios en línea. Actuando como proxy, el actor de la amenaza puede leer o insertar información en la comunicación sin ser detectado.  

2. Descifrado

En el segundo paso, los atacantes intentan descifrar el tráfico interceptado sin alertar al usuario o a la aplicación. Una vez descifrado, los actores de la amenaza pueden llevar a cabo diversas actividades maliciosas, como robo de identidad, cambios de contraseña y transferencias de fondos no autorizadas.

Tipos de ataques Man-in-the-Middle

Los distintos ataques MiTM permiten a los actores de amenazas interceptar y manipular numerosos intercambios de comunicaciones y dispositivos interconectados.  

Suplantación de IP y HTTP

La suplantación de IP implica que la dirección IP de origen de un sitio web, dirección de correo electrónico o dispositivo se altera sutilmente para enmascarar su contenido malicioso y engañar a los usuarios para que compartan información. Los ataques de suplantación HTTP engañan a los usuarios redirigiendo la sesión del navegador a un sitio web no seguro sin el conocimiento o permiso del usuario para robar datos confidenciales.

Envenenamiento de la caché ARP y DNS

Los ataques de envenenamiento de la caché del protocolo de resolución de direcciones (ARP) inyectan información falsa en la red local y espían todo el tráfico privado que se enruta entre dos partes. Con los envenenamientos de caché del sistema de nombres de dominio (DNS), los actores de amenazas corrompen los registros de una caché DNS para redirigir a los usuarios a una versión maliciosa del sitio sin su conocimiento.

Espionaje Wi-Fi

En este ataque MiTM, los ciberdelincuentes establecen conexiones Wi-Fi con nombres que parecen legítimos. Cuando los usuarios se conectan a la Wi-Fi, el atacante puede monitorizar la actividad en línea del usuario e interceptar credenciales de inicio de sesión, información de tarjetas de pago, etc.  

Eliminación de SSL

Un ataque SSL stripping rebaja un sitio web de HTTPS a HTTP, haciendo que toda la comunicación quede sin cifrar y visible para el atacante.

Secuestro de sesión

Durante el secuestro de sesión, los atacantes interceptan y toman el control de la sesión activa de un usuario para robar sus datos o contraseñas almacenados en la cookie de sesión. Los datos se utilizan para promover el robo de identidad, comprar artículos o robar dinero de cuentas bancarias.

Ejemplos de ataques Man-in-the-Middle

Los ataques MiTM pueden causar graves daños a las organizaciones y al público.

Un ataque MiTM en 2017 contra Equifax se produjo cuando los actores de la amenaza aprovecharon un error HTTP para interceptar el tráfico a los servidores de Equifax. El ataque puso en peligro la información confidencial de 143 millones de consumidores estadounidenses.

En 2019, una empresa china de capital riesgo y una startup israelí se enfrentaron a un ataque MiTM en el que los ciberdelincuentes robaron cerca de un millón de dólares de fondos de la startup. Los autores interceptaron las comunicaciones por correo electrónico entre las dos empresas y desviaron el capital inicial de la startup a sus cuentas.

Cómo detectar y prevenir los ataques Man-in-the-Middle

Los síntomas de los ataques MiTM incluyen la interrupción repetida e inesperada de cualquier servicio concreto en la red de una organización y el acceso a enlaces de sitios web anómalos. Las organizaciones pueden vigilar y proteger sus redes implantando soluciones de ciberseguridad adecuadas.

Acceso a la red de confianza cero (ZTNA)

ZTNA garantiza que todos los usuarios y dispositivos estén constantemente autenticados y autorizados antes de entrar en una red y adquirir cualquier recurso. Al reducir la posibilidad de que los ciberatacantes accedan a una red, ZTNA refuerza la seguridad de una organización. 

Seguridad de puntos finales

La seguridad de los endpoints protege los dispositivos (ordenadores de sobremesa, portátiles y smartphones) frente a diversas ciberamenazas. Dado que los ataques MiTM se dirigen a los dispositivos IoT, emplear sistemas de detección y respuesta, caza de amenazas, salvaguarda de datos y otras funciones de seguridad de endpoints es una medida de seguridad vital y completa.

Concienciación y formación en materia de seguridad

La creación de políticas de seguridad sólidas es una forma proactiva de evitar que los ataques MiTM perjudiquen a una organización. Las organizaciones pueden reducir la probabilidad de riesgos de seguridad mejorando el conocimiento y la comprensión de los empleados sobre las ciberamenazas, los ataques de phishing, la seguridad en línea y otras técnicas de ingeniería social.

Detección y Respuesta Gestionadas (MDR)

Las soluciones MDR proporcionan capacidades de supervisión continua, detección de amenazas y respuesta rápida. Esta medida de seguridad reduce el impacto y la posibilidad de ciberataques y refuerza las ciberdefensas de una organización.

CylanceGUARD para la protección contra malware

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan para prevenir y protegerse contra los ataques de ransomware. CylanceGUARD combina la experiencia integral de BlackBerry Cybersecurity Services con la protección de puntos finales basada en IA (EPP) a través de CylanceENDPOINT. En resumen, CylanceGUARD proporciona a las empresas con las personas y la tecnología necesaria para proteger a la empresa contra el panorama moderno de amenazas.
SABER MÁS

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos