Un ataque de hombre en el medio (MiTM) es una de las principales amenazas cibernéticas que recibe su nombre del hecho de que un atacante se inserta entre dos partes comunicantes. Si todas las comunicaciones pasan a través del atacante en ruta a su destino, esto crea la posibilidad de que el atacante deje caer, lea o modifique los mensajes antes de que lleguen al destinatario previsto.
Para realizar un ataque MitM, el atacante necesita lograr dos objetivos. Primero, necesitan insertarse en la comunicación de una manera que les permita interceptar el tráfico en ruta hacia su destino. Algunas de las formas en que un atacante podría lograr esto incluyen:
Una vez en medio de una comunicación, el atacante necesita poder leer los mensajes; sin embargo, un porcentaje significativo del tráfico de Internet se encripta mediante SSL/TLS. Si el tráfico está cifrado, la lectura y modificación de los mensajes requiere la capacidad de suplantación o interrupción de la conexión SSL/TLS.
Esto se puede lograr de diferentes maneras. Si un atacante puede engañar al usuario para que acepte un certificado digital falso para un sitio, entonces el atacante podría descifrar el tráfico del cliente y leerlo o modificarlo antes de enviarlo al servidor. Alternativamente, un atacante puede romper la seguridad de la sesión SSL/TLS mediante la eliminación de SSL o ataques de degradación.
Los ataques MiTM se pueden llevar a cabo de varias maneras, que dependen del protocolo que se esté atacando y del objetivo del atacante. Por ejemplo, realizar un ataque MiTM es más fácil cuando el flujo de comunicación no está cifrado y cuando el atacante se encuentra naturalmente en la ruta que tomará el tráfico objetivo.
El usuario promedio ha sido educado sobre cómo determinar si su sesión de navegación web está encriptada según el https y el ícono de candado en la barra de URL. Sin embargo, verificar que los flujos de datos estén cifrados es más difícil con las aplicaciones móviles y el Internet de las cosas (dispositivo de IoT). No es raro que estos tengan poca seguridad y usen protocolos no cifrados, como Telnet o HTTP, para comunicarse.
Si este es el caso, entonces un atacante puede leer fácilmente y potencialmente modificar los datos que fluyen entre la aplicación móvil o dispositivo de IoT y el servidor. Al usar un punto de acceso inalámbrico o alguna forma de suplantación, el atacante puede interponerse en el flujo de comunicación para que todo el tráfico fluya a través de ellos. Dado que estos protocolos carecen de comprobaciones integradas para la integridad o autenticidad de los datos, el atacante puede cambiar el contenido del tráfico a voluntad.
SSL/TLS está diseñado para proteger contra ataques MitM proporcionando confidencialidad, integridad y autenticación al tráfico de la red. Sin embargo, depende de que el usuario solo acepte certificados digitales válidos para un dominio en particular. Si el atacante puede engañar al usuario para que visite un sitio de phishing, convencerlo de que acepte un certificado falso o comprometer el certificado digital que una empresa utiliza para la inspección SSL, entonces estas protecciones se rompen.
En este escenario, el atacante mantiene dos sesiones separadas cifradas con SSL/TLS. En uno, se conecta con el cliente mientras se hace pasar por el servidor y usa su certificado SSL falso. En el otro, se hace pasar por un cliente que se conecta al servidor legítimo. Dado que el atacante controla ambas sesiones, puede descifrar datos de una sesión, inspeccionarlos y modificarlos, y volver a cifrarlos para la otra sesión.
Los ataques MiTM dependen de que el atacante pueda interceptar y leer el tráfico. Algunas de las mejores prácticas de seguridad en Internet para evitar esto incluyen:
Validar certificados digitales: Un sitio web legítimo siempre debe tener un certificado digital que se muestre como válido en un navegador. Confiar en un certificado sospechoso podría permitir un ataque MiTM.
Las VPN de acceso remoto de Check Point pueden ayudar a proteger a los empleados remotos contra ataques MitM y otros ciberataques. Para conocer más sobre las ciberamenazas a las que se enfrenta su organización, consulte el Informe de ciberseguridad 2023. Luego, realice el chequeo de seguridad gratuito para saber cómo su organización puede mejorar su postura de seguridad.