Es sumamente difícil detectar los ataques de intermediario. Sin embargo, presentan algunos indicios sutiles, como ser dirigido a sitios web obviamente falsos y que su conexión a Internet se vuelva misteriosamente poco confiable. Además, los ataques de intermediario se suelen producir en redes públicas abiertas y no cifradas, por lo que es muy importante estar al tanto de su entorno en línea en todo momento.
Continúe leyendo para obtener más información sobre qué son los ataques de intermediario, cómo funcionan, a qué señales debe prestar atención y cómo puede protegerse de ellos.
Los ataques de intermediario (MITM) son un tipo de ataque cibernético en el que un cibercriminal intercepta los datos que se transfieren entre dos dispositivos, a menudo una computadora o dispositivo móvil que ejecuta un navegador web y un servidor host. Los cibercriminales suelen utilizar los ataques de intermediario para robar credenciales de inicio de sesión e información bancaria o de tarjetas de pago. También pueden intentar alterar los datos que se intercambian para instalar malware y comprometer los dispositivos de sus víctimas.
En los ataques de intermediario, se aprovechan las vulnerabilidades de las redes con una seguridad deficiente, especialmente las redes wifi públicas gratuitas. Para el usuario final, todo puede parecer completamente normal en su dispositivo móvil o computadora, incluso mientras se produce el ataque.
El término general «ataque de intermediario» se utiliza para describir varios tipos distintos de ataques cibernéticos que implican la interceptación de datos. Uno de los tipos de ataques de intermediario más frecuentes, que se conoce como «ataque de gemelo malvado» (evil twin), se dirige a las personas que utilizan redes wifi públicas gratuitas, como las que se encuentran en hoteles, restaurantes, aeropuertos, tiendas y otros lugares públicos. Estas redes no suelen estar cifradas y no requieren ninguna contraseña o requieren una contraseña débil.
En este tipo de ataque de intermediario, el atacante configura una red wifi falsa «similar» con un nombre muy parecido al de la red real. Por ejemplo, si la red real se llama SuHotel, es posible que la red falsa se llame SuHote1. Como los cibercriminales controlan esta red, pueden espiar a cualquier persona que se conecte a ella, observar toda su actividad en la web y en aplicaciones, y no solo los sitios que visitan, sino también las credenciales de inicio de sesión que utilizan para iniciar sesión en sus cuentas. En algunos casos, el atacante puede alterar los datos que se transmiten o redirigir a los usuarios a sitios maliciosos que recopilan credenciales de inicio de sesión o implementan malware.
Ahora que hemos analizado los ataques en los que se utilizan puntos de acceso de wifi falsos, examinemos otros ataques de intermediario comunes.
Suplantación de HTTPS
El protocolo de transferencia de hipertexto seguro (Hypertext Transfer Protocol Secure, HTTPS) garantiza que todos los datos que se envían entre un navegador y un sitio web estén cifrados. Sin embargo, el hecho de que un sitio web tenga habilitado HTTPS no significa que sea legítimo.
La suplantación de HTTPS es un tipo de ataque de intermediario mediante el cual un cibercriminal registra un dominio muy similar a un dominio legítimo popular. Por ejemplo, en lugar de www.ejemplo.com, un atacante podría registrar www.ejep1o.com, crear un sitio web malicioso y protegerlo con HTTPS. Los usuarios que visiten el sitio falso por error podrían no darse cuenta de que la URL tiene un carácter distinto, especialmente porque su navegador mostrará un candado verde que indica que el sitio utiliza HTTPS.
Suplantación de IP
La dirección de protocolo de Internet (Internet Protocol, IP) es el identificador único de un dispositivo o una red local. Con la suplantación de IP, los cibercriminales crean direcciones IP falsas para ocultar su identidad, hacerlas pasar por direcciones legítimas o ambas cosas. Con la suplantación de IP, se suele engañar a los usuarios para que crean que se están comunicando con una fuente legítima, de modo que se sientan cómodos de compartir información confidencial con la dirección IP falsificada. Además, la suplantación de IP se utiliza en los ataques DDoS para que los sistemas atacados no sepan de dónde proviene realmente el tráfico, lo que dificulta detener los ataques.
Suplantación de DNS
El sistema de nombres de dominio (Domain Name System, DNS) es el directorio en línea de direcciones IP numéricas que conecta el dispositivo de un usuario a un sitio web. La suplantación de DNS, que se suele utilizar en el pharming, altera los registros de DNS y redirige a los usuarios a sitios web fraudulentos en los que se roban sus credenciales de inicio de sesión, se descarga malware automáticamente en su equipo o ambas cosas.
Manipulación de SSL
La capa de sockets seguros (Secure Sockets Layer, SSL) es un protocolo de seguridad que proporciona una conexión cifrada entre un sitio web y un usuario. La manipulación de SSL, también conocida como secuestro de SSL, es un tipo de ataque de intermediario mediante el cual un atacante genera certificados SSL falsos para los dominios de los sitios HTTPS. Cuando un usuario intenta visitar el sitio, se lo redirige a un sitio malicioso diseñado para que se parezca al sitio real.
Secuestro de sesiones
El secuestro de sesiones, también llamado secuestro de cookies, es un tipo de ataque de intermediario que se produce cuando un cibercriminal se apodera de la sesión de Internet de un usuario robando las cookies de su navegador. Las cookies son fragmentos de información que los sitios web utilizan para realizar un seguimiento de sus visitantes e incluyen la autenticación de las sesiones de acceso de los usuarios en sitios web seguros, como los de banca, compras, juegos o suscripciones. Una vez que un cibercriminal roba una cookie de sesión, puede utilizarla para hacerse pasar por el usuario original e iniciar sesión en su cuenta.
Los ataques de intermediario pueden ser muy difíciles de detectar, ya que están diseñados para que se produzcan en segundo plano sin que se dé cuenta. Sin embargo, hay señales sutiles que debe tener en cuenta.
Errores de certificados SSL
Si su navegador muestra un mensaje de error sobre un certificado SSL no válido o vencido cuando intenta visitar un sitio web, es un indicio de una posible manipulación de SSL. Es probable que el certificado SSL se haya creado para redirigirlo a un sitio web malicioso que parece legítimo. En el sitio web falso, se le pedirán sus credenciales de inicio de sesión y la MFA, que el cibercriminal utiliza para iniciar sesión en el sitio web legítimo.
Conexión a Internet poco confiable
La latencia inexplicable y las desconexiones frecuentes son síntomas de muchos problemas distintos, como una configuración de red incorrecta o problemas de su proveedor de Internet. Sin embargo, también pueden ser un indicio de un ataque de intermediario, especialmente si ha descartado todas las demás causas posibles.
Sitios web falsos
Los cibercriminales se esfuerzan por lograr que los sitios web falsos que utilizan en los ataques de intermediario parezcan legítimos, pero a menudo hay diferencias sutiles en la fuente, el color o los logotipos. Si algo no se ve bien, verifique cuidadosamente la URL del sitio web para asegurarse de que sea correcta. Por ejemplo, podría ver http:// en lugar de https://, o go0gle.com en lugar de google.com. También debe estar atento a cualquier otra discrepancia en el sitio web, como anuncios emergentes aleatorios o solicitudes sospechosas.
Dado que los ataques de intermediario son muy difíciles de detectar, la mejor protección es evitar que se produzcan. A continuación, se describen las mejores formas de protegerse de los ataques de intermediario.
Evite las redes wifi públicas
Dado que los ataques de intermediario se suelen dirigir a los usuarios de puntos de acceso de wifi públicos, la mejor manera de prevenirlos es evitar utilizar redes wifi públicas no seguras. Si necesita conectarse a Internet mientras viaja o cuando está fuera de su casa, conéctese con la conexión de datos de su teléfono móvil o utilice una VPN. Además, asegúrese de que su computadora portátil y sus dispositivos móviles estén configurados para no conectarse automáticamente a redes wifi públicas.
Utilice una VPN
Una red privada virtual (virtual private network, VPN) es un servicio que protege su actividad en línea ocultando su dirección IP y cifrando sus datos. Si tiene que utilizar una red wifi pública, utilice una VPN para crear una conexión segura y cifrar los datos que transmite. Las VPN evitan que los cibercriminales lo espíen y le permiten utilizar puntos de acceso de wifi públicos de forma segura.
Utilice un gestor de contraseñas
Un gestor de contraseñas es una herramienta que almacena y administra de forma segura todas sus credenciales de inicio de sesión y su información confidencial en una bóveda cifrada. Asegúrese de que su gestor de contraseñas utilice el cifrado de conocimiento cero para proteger todo lo que almacene en su bóveda de modo que nadie tenga acceso a ella excepto usted.
Una de las principales maneras en las que los gestores de contraseñas brindan protección contra los ataques de intermediario es al no completar automáticamente sus credenciales en los sitios web falsos. Es posible que no pueda distinguir entre ejemplo.com y ejemp1o.com, especialmente en un dispositivo móvil, pero su gestor de contraseñas sí puede hacerlo. Los gestores de contraseñas le avisan cuando se encuentra en un sitio web no seguro e intenta ingresar sus credenciales de inicio de sesión manualmente.
Habilitar la MFA
La autenticación multifactor (MFA) agrega una capa de seguridad al requerir que proporcione una forma adicional de identificación para poder acceder a una cuenta en línea. Por ejemplo, además de su nombre de usuario y su contraseña, podría tener que proporcionar un código de un solo uso o ingresar una clave de seguridad. Con la MFA habilitada, incluso si sus credenciales de inicio de sesión se ven comprometidas en un ataque de intermediario, los cibercriminales no pueden utilizarlas sin el factor de autenticación adicional.
Los cibercriminales siempre están desarrollando nuevas formas de robar información personal. Debe mantenerse informado sobre las amenazas cibernéticas para reconocerlas y evitarlas en el futuro. También debe aplicar las prácticas recomendadas de seguridad cibernética, como utilizar contraseñas seguras y compartir información confidencial únicamente cuando sea absolutamente necesario.
Los ataques de intermediario representan una amenaza grave porque pueden ocurrir sin su conocimiento, especialmente cuando viaja. Estos ataques se suelen producir en las redes wifi públicas y en sitios web sospechosos. La mejor manera de gestionar este tipo de ataques es protegerse de ellos. Keeper Password Manager ofrece cifrado de conocimiento cero para proteger y compartir su información confidencial de forma segura. Comience su prueba gratuita para protegerse de los ataques de intermediario.