Negocios y empresas
Proteja su empresa de los ciberdelincuentes.
Empieze la prueba gratuitaMan-in-the-Middle (MITM) Attacks
Protéjase ya
¿Qué es un ataque de intermediario?
Un ataque de intermediario (MITM) es un ciberataque en el que un ciberdelincuente intercepta los datos enviados entre dos negocios o personas. El objetivo es robar, espiar o modificar los datos con un fin malicioso, como la extorsión.
¿Cómo funciona un ataque de intermediario?
Estos ataques dependen de la manipulación de redes existentes o la creación de redes maliciosas que los ciberdelincuentes controlan. Estos interceptan el tráfico y lo dejan pasar, recopilando información a su paso, o lo redirigen a otro lugar.
En esencia, los ciberdelincuentes actúan como un "intermediario" entre la persona que envía la información y la que la recibe, de ahí su nombre. Estos ataques son sorprendentemente comunes, sobre todo en redes wifi. Como las redes wifi públicas son a menudo inseguras, no se puede saber quién supervisa o intercepta el tráfico web, ya que cualquier persona puede conectarse.
Tipos de ataques de intermediario
Hay varios tipos de ataques de intermediario, lo que los convierte en las ciberamenazas más versátiles que se encuentran hoy en día.
Red wifi pública
Uno de los métodos de ataque de intermediario más comunes se produce en redes wifi públicas. Las redes wifi públicas no suelen ser seguras, por lo que los ciberdelincuentes pueden ver el tráfico web de cualquiera de los dispositivos conectados a la red y recopilar la información que necesiten.
Punto de acceso no autorizado
Se trata de un punto de acceso no autorizado e inalámbrico instalado en una red legítima. Esto le permite al ciberdelincuente interceptar o supervisar el trafico entrante, que generalmente lo redirige a una red totalmente diferente para propiciar las descargas de malware o extorsionar al usuario. El malware es un tipo de software malicioso que se instala en el dispositivo de la víctima para espiar y robar datos.
Suplantación de la dirección IP
La suplantación de la dirección IP consiste en modificar la dirección IP para redirigir el tráfico a la página web del atacante. Este “falsea” la dirección alterando las cabeceras de los paquetes para hacerse pasar por una aplicación o página web legítima.
Suplantación del ARP
Este ataque vincula la dirección MAC del atacante con la dirección IP de la víctima en una red de área local usando mensajes del ARP falsos. Cualquier dato que la víctima envíe a la red de área local se redirige en su lugar a la dirección MAC del ciberdelincuente, lo que le permite interceptar y manipular los datos a su antojo.
Suplantación del DNS
El ciberdelincuente accede al servidor DNS de una página web y modifica el registro de la dirección web de la página. El registro del DNS alterado redirige el tráfico entrante a la página web del ciberdelincuente.
Suplantación del HTTPS
Cuando el usuario se conecta a un sitio seguro con el prefijo "https://", el ciberdelincuente envía un certificado de seguridad falso al navegador. Esto "engaña" al navegador para que piense que la conexión es segura cuando, en realidad, el ciberdelincuente está interceptando y posiblemente redirigiendo los datos.
Secuestro de sesiones
Los ciberdelincuentes secuestran las sesiones para tomar su control en una página web o aplicación. El secuestro expulsa al usuario legítimo de la sesión y bloquea al ciberdelincuente en la aplicación o página web hasta que obtiene la información que quiere.
Inyección de paquetes
Los ciberdelincuentes crean paquetes que parecen normales y los inyectan en una red establecida para acceder y supervisar el tráfico o iniciar ataques DDoS. Un ataque de denegación de servicio distribuido (DDoS) consiste en interrumpir el tráfico normal de un servidor saturándolo con una avalancha de tráfico de internet.
"Stripping" de la SSL
El ciberdelincuente intercepta la señal TLS de una aplicación o página web y la modifica para que la página cargue en una conexión no segura como HTTP en lugar de HTTPS. Esto hace que la sesión del usuario sea visible para el ciberdelincuente y exponga información confidencial.
Suplantación de la SSL
Este método implica "suplantar" la dirección de una página segura para que la víctima acceda a ella. El ciberdelincuente intercepta la comunicación entre la víctima y el servidor web del sitio al que quiere acceder, disfrazando el sitio malicioso como la URL del sitio legítimo.
Vulneración de la seguridad del navegador contra la SSL/TLS (BEAST)
El ciberdelincuente infecta el ordenador de un usuario con JavaScript malicioso. Después, el malware intercepta las cookies de la página web y los tokens de autenticación para descifrarlos, lo que expone la sesión completa de la víctima al ciberdelincuente.
Robo de las cookies del navegador de la SSL
Las cookies son bits útiles de la información de una página web que la página a la que accede almacena en su dispositivo. Sirven para recordar la actividad web y los inicios de sesión, pero los ciberdelincuentes pueden robarlas para obtener información y utilizarlas con fines maliciosos.
Rastreo
Los ataques de rastreo supervisan el tráfico para robar información. El rastreo se realiza con una aplicación o hardware y expone el tráfico web de la víctima al ciberdelincuente.
Cómo detectar los ataques de intermediario
Detectar un ataque de intermediario puede ayudar a una empresa o persona a mitigar el riesgo potencial que pueda causar un ciberdelincuente. Aquí tiene algunos métodos para detectarlos:
Analizar direcciones web extrañas
- Haga que su equipo supervise sus navegadores web en busca de direcciones web extrañas en la barra de búsquedas o en la barra de la URL. El secuestro del DNS puede crear suplantaciones de direcciones comunes, por lo general a través de cambios que suelen pasar desapercibidos. Por ejemplo, un atacante puede reemplazar "www.facebook.com" por “www.faceb00k.com.” Este método de suplantación funciona sorprendentemente bien, ya que la mayoría de las personas no se da cuenta de los cambios si no se fija más de cerca.
Desconexiones inesperadas y retrasos en la red
- Algunos tipos de ataques de intermediario pueden causar retrasos en la red repentinos e inesperados o incluso desconexiones completas. Esto puede ocurrir con el tiempo y normalmente no van acompañados de problemas de red u otros síntomas obvios.
- Si observa desconexiones frecuentes o retrasos en su red, comprobar que no se trata de un simple problema de red puede ser una buena idea.
Supervisar redes wifi públicas
- A menudo, los atacantes interceptan la información enviada en redes públicas o incluso crean redes falsas en lugares públicos. Estas redes permiten a los ciberdelincuentes ver toda su actividad web sin que ni siquiera sepa que lo están atacando. Evite las redes wifi públicas cuando sea posible y use una VPN si necesita conectarse. También debería evitar conectarse a redes extrañas con nombres sospechosos.
Cómo evitar los ataques de intermediario
Evitar estos ataques puede ahorrar tanto a personas como a empresas una gran cantidad de dinero en daños y mantener intactas las identidades web y públicas. Aquí tiene algunas herramientas esenciales para evitar estos ataques:
Gestor de Contraseñas
- Usar un gestor de contraseñas con funciones de seguridad de red adecuadas le garantiza que todas las credenciales de acceso se almacenan de forma segura. Una función importante contra estos ataques es el cifrado de extremo a extremo. Keeper ha integrado este cifrado en los intercambios entre almacenes, que usan una infraestructura de clave pública (PKI). Esto significa que los ciberdelincuentes no pueden interceptar contraseñas u otros registros compartidos en tránsito. Keeper también ofrece a las empresas carpetas compartidas entre equipos y funciones de control basado en roles, lo que permite a los administradores restringir y repartir el acceso entre los miembros del equipo.
Red privada virtual
- Una red privada virtual o VPN redirige todo el tráfico de internet a varios servidores diferentes y oculta la dirección IP del usuario para que la navegación sea más privada y segura. Las VPN también incluyen un cifrado inherente que ayuda a asegurar mensajes y otros datos.
