¿Qué es un ataque de eliminación SSL?

Secure Sockets Layer/Transport Layer Security (SSL/TLS) es un protocolo diseñado para mejorar la seguridad del tráfico de red. Un protocolo que utilice SSL -como HTTPS- incluirá cifrado de datos y protecciones de integridad y autenticará la identidad del servidor. De forma predeterminada, la mayoría de la navegación web moderna se realiza mediante HTTPS protegido por SSL. Un ataque de desprotección SSL está diseñado para forzar al navegador de un usuario a conectarse a una versión desprotegida del sitio sin cifrado SSL.

Más información Solicitar el libro electrónico DDoS

¿Qué es un ataque de eliminación SSL?

¿Cómo funciona?

Un ataque de eliminación de SSL se realiza a través de un ataque de intermediario (MitM). Al insertarse en medio de la conexión entre un cliente y un servidor web, un atacante puede controlar los datos que llegan al usuario. Una vez allí, el usuario puede filtrar los paquetes enviados entre el cliente y el servidor.

Una conexión SSL/TLS se basa en una conexión TCP estándar sin cifrar. Una vez establecida una conexión TCP, el cliente puede iniciar la sesión SSL/TLS o pasar directamente a solicitar contenido web a través de HTTP sin cifrar.

En un ataque de eliminación de SSL, el atacante intercepta todo el tráfico entre el cliente y el servidor y "elimina" cualquier contenido SSL de las solicitudes del cliente antes de pasarlas al servidor. Como resultado, el servidor proporcionará la versión HTTP sin cifrar de la página, que el atacante envía al cliente.

En el caso de que el servidor solo proporcione una página web HTTPS, el atacante puede crear dos conexiones separadas. Mantendrían una conexión HTTP con el cliente, sirviendo el contenido que solicitaran. Podrían acceder a este contenido creando su propia conexión HTTPS con el servidor y accediendo a las mismas páginas que el usuario solicita.

Tipos de ataques de eliminación de SSL

En un ataque de eliminación de SSL, el principal desafío para el atacante es realizar el ataque de intermediario necesario para interceptar el tráfico entre el cliente y el servidor. Hay algunas formas en que un atacante puede lograr esto, que incluyen:

  • Suplantación ARP: Si un atacante se encuentra en la misma red de área local (LAN) que el objetivo, puede realizar un ataque ARP spoofing que mapee la dirección IP del objetivo a la dirección MAC del atacante. Esto hace que todos los datos destinados al objetivo se envíen al equipo del atacante.
  • Servidores proxy: Un equipo se puede configurar para usar un servidor proxy, lo que hará que todo el tráfico se envíe a una ubicación determinada en ruta a su destino. Si un atacante puede configurar el equipo de un objetivo para que use el servidor del atacante como proxy, el atacante puede interceptar todo el tráfico de navegación del usuario.
  • Wifi pública maliciosa: Un atacante puede configurar una red wifi pública que imite a una red de confianza. Si los usuarios se conectan a la red, el atacante tiene acceso a todo el tráfico inalámbrico que fluye a través de su router malicioso.

Riesgos empresariales de los ataques de eliminación de SSL

Los ataques de eliminación de SSL eliminan la protección proporcionada al tráfico web por SSL/TLS. Esto se puede utilizar en varios ataques que tienen un impacto negativo en el negocio, entre ellos:

  • Robo de credenciales: Los ataques de eliminación de SSL se pueden utilizar para engañar a los usuarios para que introduzcan sus credenciales en sitios web no cifrados, lo que permite a un atacante robarlas.
  • Exposición de datos confidenciales: La eliminación de SSL permite a un atacante leer todos los datos que fluyen entre el cliente y el servidor, lo que puede exponer datos confidenciales.
  • Sitio de phishing: Un atacante puede servir una versión maliciosa de un sitio web que contenga malware u otros contenidos de phishing.
  • Contenido malicioso: Un atacante podría inyectar contenido malicioso en las páginas web proporcionadas al usuario, entregando potencialmente malware o realizando otras acciones maliciosas.

Cómo prevenir los ataques de eliminación de SSL

Los ataques de eliminación de SSL dependen de la capacidad del atacante para realizar un ataque MitM y mover a un usuario a una conexión HTTP sin cifrar sin que se dé cuenta. Algunas formas de protegerse contra los ataques de eliminación de SSL incluyen:

  • Requiere HSTS: HTTP Strict Transport Security (HSTS) exige que un navegador solo abra páginas web mediante HTTPS, lo que evita los ataques de eliminación de SSL.
  • Habilite las cookies seguras: Las cookies se utilizan para identificar a los usuarios, y sólo se puede acceder a cookies seguro a través de sitios que utilicen HTTPS. Activar las cookies seguras garantiza que los datos de las cookies sólo puedan enviarse a través de conexiones HTTPS.
  • Educación del usuario: Capacite a los empleados para que identifiquen los sitios inseguros que no utilizan una conexión HTTPS.
  • Utilice una VPN: Utilice una VPN o una solución similar para proporcionar una conexión segura y cifrada a los usuarios remotos, impidiendo que los atacantes realicen un ataque MitM.

Protección contra ataques de eliminación de SSL

Los ataques de eliminación de SSL proporcionan a un ciberdelincuente la capacidad de realizar un ataque MitM, que puede utilizarse para espiar u otros fines maliciosos. La educación de los usuarios y el uso de una VPN en redes no fiables pueden ayudar a protegerse contra estos ataques.

Los ataques de eliminación de SSL no son la única amenaza a la que pueden enfrentarse una empresa y sus usuarios. Para obtener más información sobre el panorama actual de las ciberamenazas y las amenazas más importantes a las que hay que prestar atención, consulte el Informe sobre ciberseguridad 2023 de Check Point.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.
Aceptar