¿Qué es el ataque MITM?
Un ataque Man-in-the-middle (MITM) ocurre cuando una entidad externa intercepta una comunicación entre dos sistemas. Esto puede ocurrir en cualquier forma de comunicación en línea, como correo electrónico, redes sociales, navegación web, etc. No solo intentan escuchar sus conversaciones privadas, sino que también pueden orientar toda la información dentro de sus dispositivos.
El objetivo del ataque Man-in-the-middle es robar información personal, como credenciales de inicio de sesión, detalles de cuenta y números de tarjetas de crédito. Por lo general, los objetivos son los usuarios de aplicaciones financieras, negocios SaaS, sitios de comercio electrónico y otros sitios web en los que el inicio de sesión es obligatorio.
La información obtenida durante un ataque podría ser usada para muchos propósitos. Algunos de ellos incluyen robo de identidad, transferencias de fondos no aprobadas o un cambio de contraseña ilícito.
En términos generales, un ataque de hombre en el medio es el equivalente a un cartero que abre su extracto bancario, anota los detalles de su cuenta y luego vuelve a cerrar el sobre y se lo entrega a su puerta.
¿Cómo funciona un ataque ataque man-in-the-middle?
A lo largo de los años, hackers informáticos encontraron varias formas de ejecutar el ataque man-in-the-middle. Lo creas o no, se ha vuelto relativamente barato comprar una herramienta de hacking en línea. Solo demostrando lo fácil que es hackear a alguien si tienes suficiente dinero.
La ejecución exitosa de MITM tiene dos fases distintas: intercepción y descifrado. Aquí hay algunos tipos comunes de ataques man-in-the-middle:
Interceptación
El primer paso intercepta el tráfico del usuario a través de la red del atacante antes de que llegue a su destino deseado.
La forma más común y sencilla de hacer esto es un ataque pasivo. El ataque pasivo es algo en lo que un atacante crea puntos de acceso WiFi públicos gratuitos y maliciosos. Este WiFi público no tiene contraseña y normalmente se nombran de una manera que corresponde a su ubicación. Una vez que la víctima se conecta a ese punto de acceso, el atacante obtiene visibilidad completa de cualquier intercambio de datos en línea.
Los atacantes que deseen adoptar un enfoque más activo de la intercepción. Pueden lanzar uno de los siguientes ataques:
- Falsificación IP: implica que un atacante se oculte como una aplicación cambiando los encabezados de paquetes en una dirección IP. Luego, los usuarios que intentan acceder a una URL conectada a la aplicación se envían al sitio web del atacante.
- Falsificación ARP: este es el proceso de vincular la dirección MAC de un atacante con la dirección IP de un usuario legítimo. Este proceso ocurre en una red de área local utilizando mensajes ARP falsos. Como resultado, los datos que el usuario envió a la dirección IP del host se transmitieron al atacante.
- Falsificación DNS: el nombre othr es envenenamiento de caché de DNS. Implica infiltrarse en un servidor DNS y alterar el registro de direcciones de un sitio web. Entonces, el registro DNS modificado envió a los usuarios al sitio del atacante. En realidad, envía a los usuarios que intentaban acceder al sitio.
Descifrado
Después de la intercepción, cualquier tráfico SSL bidireccional debe ser descifrado sin alertar al usuario o la aplicación. Aquí estamos introduciendo los métodos que existen para lograrlo:
- Falsificación HTTPS: una vez que se realiza la solicitud de conexión inicial a un sitio seguro, envía un certificado falso al navegador de la víctima. Tiene una huella digital asociada con la aplicación comprometida. El navegador lo verifica de acuerdo con una lista existente de sitios de confianza. Entonces el atacante puede acceder a cualquier dato. Los datos que la víctima ingresó antes de pasar a la aplicación.
- SSL BEAST (Browser Exploit Against SSL/TLS ): se dirige a una vulnerabilidad de la versión 1.0 de TLS en SSL. Aquí, un JavaSc malicioso infecta la computadora de la víctima con una copia que intercepta las cookies encriptadas enviadas por una aplicación web. Luego, el cifrado de bloques de la aplicación (CBC) se ve comprometido para descifrar sus cookies y tokens de autenticación.
- Secuestro de SSL: se produce cuando un atacante pasa las claves de autenticación falsificadas tanto al usuario como a la aplicación durante un protocolo TCP. Esto configura lo que parece ser una conexión segura. Ocurre cuando, de hecho, el man-in-the-middle controla toda la sesión.
- Eliminación de SSL: en realidad reduce la conexión HTTPS a HTTP al interceptar la autenticación TLS enviada desde la aplicación al usuario. El atacante envía al usuario una versión sin cifrar del sitio de la aplicación mientras mantiene la sesión segura con la aplicación. Mientras tanto, toda la sesión del usuario es visible para el atacante.
¿Cómo prevenir ataque man-in-the-middle ?
El bloqueo de los ataques MITM requiere varios pasos prácticos por parte de los usuarios. Esto es así como una combinación de métodos de encriptación y verificación para aplicaciones.
Cifrado WEP / WAP fuerte en puntos de acceso
Tener un fuerte mecanismo de encriptación en los puntos de acceso inalámbrico evita que usuarios no deseados se unan a su red solo por estar cerca. Un mecanismo de encriptación débil puede permitir a un atacante forzar su camino a una red y comenzar a atacar como un man-in-the-middle. Cuanto más fuerte sea la implementación del cifrado, más segura será.
Red privada virtual
Las VPN se pueden usar para crear un entorno seguro para la información confidencial dentro de una red de área local. Utilizan el cifrado basado en claves para crear una subred para la comunicación segura. De esta manera, incluso si un atacante accede a una red compartida, no podrá descifrar el tráfico en la VPN.
Fuerza HTTPS
HTTPS se puede utilizar para comunicarse de forma segura a través de HTTP mediante el intercambio de claves público-privadas. Esto evita que un atacante haga uso de los datos que puede estar olfateando. Los sitios web solo deben usar HTTPS y no proporcionar alternativas HTTP. Los usuarios pueden instalar complementos de navegador para imponer siempre el uso de HTTPS en las solicitudes.
Autenticación basada en pares de claves públicas
El ataque man-in-the-middle generalmente involucra falsificar algo u otro. La autenticación basada en el par de claves públicas, como RSA, se puede usar en varias capas de la pila para ayudar a garantizar que las cosas con las que se está comunicando sean las cosas con las que desea comunicarse.
