Ataque de intermediario (MITM)

Qué es un ataque de intermediario

Un ataque de intermediario (Man-in-the-Middle Attack, MITM) es una técnica de ataque en la que el atacante se interpone entre dos partes que se comunican para interceptar y alterar el contenido de la comunicación. La víctima cree estar comunicándose directamente con la parte legítima, lo que dificulta detectar el ataque.

Para que este ataque funcione, el atacante necesita insertarse en la ruta de comunicación. Se utilizan diversos métodos como Wi-Fi público, ARP spoofing y falsificación de DNS para tomar el control del punto de retransmisión. Incluso con la generalización del cifrado mediante TLS/SSL, los casos de éxito de ataques de intermediario persisten debido a deficiencias en la verificación de certificados o el uso de protocolos obsoletos.

Principales métodos de ataque

Existen varios métodos representativos de ataques de intermediario.

• ARP spoofing: Enviar paquetes ARP (Address Resolution Protocol) falsos en la red local para reescribir la dirección MAC del interlocutor con la del atacante. Permite interceptar toda la comunicación dentro de la misma red.
• DNS spoofing: Falsificar las respuestas DNS para resolver nombres de dominio legítimos a la dirección IP del servidor del atacante. El usuario es redirigido a un sitio falso creyendo que accede a la URL correcta.
• SSL stripping: Técnica que degrada las conexiones HTTPS a HTTP. El atacante se comunica con el cliente en HTTP y con el servidor en HTTPS, interceptando el contenido no cifrado.
• Punto de acceso Wi-Fi falso: Instalar un AP falso con un nombre similar al punto de acceso legítimo en cafeterías o aeropuertos para interceptar la comunicación de los usuarios que se conectan. También conocido como ataque Evil Twin.
• Secuestro BGP: Explotar el protocolo de control de rutas de Internet (BGP) para desviar el tráfico destinado a direcciones IP específicas a la red del atacante. Se utiliza en ataques a nivel estatal.

Medidas de defensa e importancia del cifrado

La defensa más fundamental contra los ataques de intermediario es asegurar el cifrado de las comunicaciones y la autenticación del interlocutor.

Cifrado de comunicaciones

• Uso de TLS 1.3: La última versión TLS 1.3 tiene mayor resistencia a ataques de degradación gracias a mejoras en el handshake. TLS 1.0/1.1 tienen vulnerabilidades conocidas y deben desactivarse.
• HSTS (HTTP Strict Transport Security): Instruye al navegador para conectarse siempre mediante HTTPS. Tiene efecto preventivo contra ataques de SSL stripping.
• Uso de VPN: En redes no confiables como Wi-Fi público, proteger toda la comunicación con un túnel cifrado VPN.

Autenticación y verificación

• Certificate pinning: Configurar la aplicación para confiar solo en certificados o claves públicas específicas, previniendo ataques de intermediario con certificados falsos.
• Autenticación mutua con criptografía de clave pública: Implementar TLS mutuo (mTLS) donde no solo el servidor sino también el cliente se autentican con certificados.
• Implementación de DNSSEC: Agregar firmas digitales a las respuestas DNS para detectar y prevenir DNS spoofing.

Medidas a nivel de red

• Dynamic ARP Inspection (DAI): Verificar la legitimidad de los paquetes ARP a nivel de switch para prevenir ARP spoofing.
• Autenticación 802.1X: Requerir autenticación del dispositivo al conectarse a la red para prevenir la conexión de dispositivos no autorizados.

Medidas prácticas de autoprotección en Wi-Fi público

El Wi-Fi público es el entorno con mayor riesgo de ataques de intermediario. Las siguientes medidas pueden reducir significativamente el riesgo si se convierten en hábito.

• Mantener la VPN siempre activa: Si cifras la comunicación con VPN, el contenido de la comunicación está protegido incluso si te conectas a un punto de acceso falso.
• Desactivar la conexión automática: Desactivar la función de conexión automática Wi-Fi del smartphone o portátil para prevenir conexiones no intencionadas a redes.
• Verificar HTTPS: Confirmar la conexión HTTPS en la barra de direcciones del navegador. Si aparece una advertencia de certificado, interrumpir la conexión.
• Evitar operaciones sensibles: Realizar banca en línea o inicio de sesión en cuentas importantes en un entorno de red confiable.
• Prestar atención a las fugas de DNS: Incluso al usar VPN, las consultas DNS pueden enviarse por rutas no cifradas. Verificar con una prueba de fuga DNS.

Un ataque de intermediario se establece cuando no se puede confirmar que "el interlocutor es auténtico". Comprender correctamente los mecanismos de cifrado y autenticación y utilizarlos adecuadamente es la mejor defensa.

Conceptos erróneos comunes

Si se usa HTTPS, los ataques de intermediario son imposibles

HTTPS es una defensa poderosa cuando se implementa correctamente, pero los ataques de intermediario pueden tener éxito en entornos HTTPS cuando las aplicaciones ignoran la verificación de certificados, se usan versiones antiguas de TLS o los usuarios ignoran las advertencias de certificados.

Los ataques de intermediario solo se pueden ejecutar estando en la misma Wi-Fi

El ARP spoofing es un ataque dentro de la red local, pero el DNS spoofing y el secuestro BGP se pueden ejecutar de forma remota. También existen muchos métodos que no requieren proximidad física, como la interceptación de comunicaciones a nivel de ISP o la alteración de la configuración del proxy mediante malware.

Términos relacionados

Artículos relacionados