Man-in-the-Middle: consejos para la detección y la prevención

Un ataque Man-in-the-Middle es una forma de ciberataque que utiliza métodos para interceptar datos para infiltrarse en una conexión o proceso de comunicación existente. Un atacante puede ser un oyente pasivo en su conversación, robar información sigilosamente o un participante activo, alterar el contenido de sus mensajes o hacerse pasar por la persona o el sistema con el que cree que está hablando.



Piense en el siglo XX, cuando muchos tenían teléfonos fijos con varios teléfonos y un miembro de la familia podía contestar mientras otro hablaba. Es posible que ni siquiera sospeches que alguien más te está escuchando hasta que comience a intervenir en la conversación. Este es el principio de un ataque man-in-the-middle.

¿Cómo funciona un ataque man-in-the-middle?

La mayoría de los ataques man-in-the-middle, independientemente de los métodos utilizados, tienen una secuencia simple de acciones. Considérelo usando el ejemplo de tres personajes: Alice, Bob y Chuck (el atacante).

1. Chuck escucha en secreto el canal en el que Alice y Bob se comunican.
2. Alice le envía un mensaje a Bob
3. Chuck intercepta y lee el mensaje de Alice sin que Alice o Bob lo sepan.
4. Chuck altera los mensajes entre Alice y Bob, creando respuestas no deseadas o peligrosas

Los ataques man-in-the-middle se usan comúnmente al principio de la cadena de muerte , durante el reconocimiento, la invasión y la infección. Los atacantes a menudo usan ataques de intermediario para recopilar credenciales e información sobre sus objetivos.



La autenticación multifactor puede ser una defensa eficaz contra el robo de credenciales. Incluso si un atacante descubre su nombre de usuario y contraseña, necesitará su segundo factor de autenticación para poder utilizarlos. Desafortunadamente, en algunos casos, se puede omitir la protección multifactor .



A continuación, se muestra un ejemplo práctico de un ataque de intermediario en la vida real en Microsoft Office 365, en el que un atacante eludió la autenticación multifactor:

1. , Microsoft, .
2. - .
3. Microsoft, .
4. Microsoft .
5. -.
6. - .
7. Evilginx cookie- .
8. Microsoft, cookie- Office 365 . .

Puede ver una demostración en vivo de este ataque durante nuestros seminarios semanales sobre ataques cibernéticos .

Métodos y tipos de ataques man-in-the-middle

A continuación, presentamos algunas tácticas comunes utilizadas por los atacantes para convertirse en el "hombre en el medio".

1. ARP-
   
   
   
   (ARP) — , (MAC) IP- .
   
   
   
   , . , ( ) . , . , .
   
   
   
   
   • ( ) ().
   • , .
   • ARP, , .
   • « » (DoS), , ARP.
   • , , , « » .
   
   
   
2. DNS
   
   
   
   DNS , DNS, . Google, Google, , , :
   
   
   
   
   • , DNS-.
   • , .
   • , DNS-, www.example.com IP-.
   • www.example.com , DNS- , IP- !
   • -, , - . , , DNS- www.example.com.
   
   
   
3. HTTPS
   
   
   
   HTTPS , «». S secure — . , , . - HTTPS, , URL- . , - , «» «», . example.com: URL www.exmple.com, «» example . , , «», -.
   
   
   
   
   • - www.example.com «» - , , .
   • () -.
   • .
   • .
   • www.example.com, « », .
   
   
   
4. Wi-Fi
   
   
   
   Wi-Fi Wi-Fi . — , , , .
5. 
   
   
   
   — « », , - (, ), cookie- . Live Cyber Attack, .
   
   
   
   cookie- , - , . ( ) , , .
   
   

¿Qué tan comunes son los ataques man-in-the-middle?

Los ataques man-in-the-middle han existido durante mucho tiempo y, si bien no son tan frecuentes como el phishing, el malware o incluso el ransomware, generalmente son parte de un ataque dirigido complejo donde el atacante tiene intenciones claras. Por ejemplo, un atacante que quiera robar un número de tarjeta bancaria puede encontrar estos datos interceptando el tráfico de Wi-Fi en un café. Otro atacante podría utilizar ataques man-in-the-middle como parte de un plan más amplio para penetrar en la red de una gran empresa. Nuestro laboratorio de ataques man-in-the-middle demuestra cómo un atacante puede usar malware para interceptar el tráfico de red e infiltrarse en el correo electrónico corporativo.

Cómo detectar un ataque man-in-the-middle

Los ataques man-in-the-middle son sutiles, pero su presencia aún deja rastros en la actividad normal de la red, y los profesionales de la ciberseguridad y los usuarios finales pueden encontrar estos rastros. En general, se acepta que la prevención es mejor que la detección.

Señales de un ataque de hombre en el medio

Aquí hay algunas señales de que puede tener oyentes no invitados en sus redes:

• Desconexión inesperada o repetida: los atacantes obligan a los usuarios a desconectarse para interceptar el nombre de usuario y la contraseña cuando intentan volver a conectarse. Al monitorear viajes inesperados o recurrentes, puede anticipar este comportamiento peligroso con anticipación.
• : - , . , DNS. , www.go0gle.com www.google.com.
• Wi-Fi: , , Wi-Fi. , « » , . Wi-Fi , , Wi-Fi.

« »

Estas son algunas pautas para protegerlo a usted y a sus redes de los ataques de intermediarios. Sin embargo, ninguno de ellos garantiza el 100% de fiabilidad.

Mejores prácticas generales

El cumplimiento de las reglas generales de ciberseguridad lo ayudará a defenderse de los ataques de intermediarios:

• Conéctese solo a enrutadores Wi-Fi seguros o use la conexión encriptada de su proveedor de servicios inalámbricos. Conéctese a enrutadores que utilizan el protocolo de seguridad WPA2. No proporciona una seguridad absoluta, pero es mejor que nada.
• Utilice una VPN para cifrar el tráfico entre los puntos finales y el servidor VPN (en su red corporativa o en Internet). Si el tráfico está encriptado, es más difícil para el “intermediario” interceptarlo o modificarlo.
• , (Zoom, Teams . .)
• , .
• HTTPS-, .
• , .
• DNS HTTPS — , DNS DNS-.
• « », , , .
• « » (, ).

« »?

El cifrado de extremo a extremo ayudará a evitar que un atacante lea sus mensajes de red, incluso si están escuchando su tráfico. Con el cifrado, el remitente y el destinatario utilizan una clave compartida para cifrar y descifrar los mensajes en tránsito. Sin esta clave, sus mensajes se verán como un grupo de caracteres aleatorios y el "hombre en el medio" no podrá beneficiarse de ellos.



El cifrado dificulta que un atacante intercepte y lea los datos de la red, pero aún es posible y no proporciona una protección completa contra la divulgación de su información, ya que los atacantes han desarrollado métodos para evitar el cifrado.



Por ejemplo, en nuestro laboratorio estudiando ataques de hombre en el medio, demostramos cómo un atacante puede robar un token de autenticación que contiene un nombre de usuario, contraseña e información de autenticación multifactor para iniciar sesión en una cuenta de correo electrónico. Una vez que se ha secuestrado la cookie de sesión, no importa si la comunicación entre el cliente y el servidor está encriptada: el hacker simplemente inicia sesión como usuario final y puede acceder a la misma información que ese usuario.

El futuro de los ataques man-in-the-middle

Los ataques man-in-the-middle seguirán siendo una herramienta eficaz en el arsenal de un atacante siempre que puedan interceptar datos sensibles como contraseñas y números de tarjetas bancarias. Existe una carrera armamentista constante entre los desarrolladores de software y los proveedores de servicios de red, por un lado, y los ciberdelincuentes, por el otro, para eliminar las vulnerabilidades que los atacantes utilizan para lanzar sus ataques.



Tomemos, por ejemplo, la expansión masiva de Internet de las cosas (IoT) .durante los últimos años s. Los dispositivos de IoT aún no cumplen con los estándares de seguridad y no tienen las mismas capacidades que otros dispositivos, lo que los hace más vulnerables a los ataques de intermediarios. Los atacantes los usan para ingresar a la red de una organización y luego pasar a otros métodos. ¿Quién hubiera pensado que un frigorífico con acceso a Internet no es solo un nuevo dispositivo de moda, sino también un agujero en el sistema de seguridad? ¡Los ciberdelincuentes lo saben!



Redes inalámbricas generalizadas como 5GEs otra oportunidad para que los atacantes utilicen ataques man-in-the-middle para robar datos e infiltrarse en organizaciones. Esto se demostró ampliamente en la conferencia de seguridad informática BlackHat 2019. Las empresas de tecnología inalámbrica tienen la responsabilidad de abordar vulnerabilidades como las que se muestran en BlackHat y proporcionar una red troncal segura para usuarios y dispositivos.



Las tendencias actuales son tales que la cantidad de redes y dispositivos conectados a ellas está creciendo, lo que significa que los atacantes tienen más oportunidades de utilizar métodos de intermediario. Conocer las señales reveladoras de un ataque man-in-the-middle y aplicar técnicas de detección puede ayudarlo a detectar ataques antes de que causen daños.



Visita nuestroTaller de ciberataques en vivo , en el que demostramos cómo un atacante intermediario puede interceptar el token de autenticación de un usuario para infiltrarse y robar datos confidenciales. También mostraremos cómo Varonis puede detectar este tipo de ataque.