Un ataque de intermediario (MitM) es un tipo de ciberataque en el que los actores de la amenaza interceptan la comunicación entre dos partes. Como su nombre indica, un ataque MitM permite a un ciberdelincuente espiar dos máquinas y realizar un acto malicioso. El ejemplo más común es conectarte a una red Wi-Fi pública y que te roben los credenciales, corrompan tus datos o saboteen diversas comunicaciones.
Se dice que MitM es el tipo de ciberataque más antiguo del mundo, ya que el primero se registró en Francia en 1834. Naturalmente, la tecnología ha evolucionado mucho desde entonces, dando lugar a ciberataques más sofisticados. Tal vez por eso mucha gente ya no considera relevantes los ataques MitM hoy en día, ya que pueden evitarse «fácilmente» con tecnologías de cifrado y HTTPS, entre otras cosas.
Pero están muy equivocados. La mayoría de los ciberdelincuentes han encontrado formas de eludir estas medidas de protección y seguir causando daños a tu red. Por ejemplo, utilizando MitM, un atacante podría manipular tu ordenador para «degradar» su conexión y convertirla en no cifrada o redirigir con éxito el tráfico a sitios de phishing.
Como tales, los ataques MitM podrían considerarse menos directos pero más maliciosos en su intento de interrumpir tu experiencia tecnológica. Estos ataques pueden aumentar drásticamente el riesgo de sufrir amenazas técnicas más dañinas, provocando una interrupción masiva de la actividad empresarial y pérdidas económicas.
¿Cómo funcionan los ataques MitM?
La fuerza de los ataques MitM reside en su simplicidad. A diferencia de otros ciberataques que requieren que un actor malicioso acceda a tu ordenador, ya sea física o remotamente, los delincuentes simplemente necesitan estar en la misma red que tú.
Esto puede ocurrir de diferentes maneras. El ejemplo más obvio es el uso de una red Wi-Fi pública, pero los atacantes también pueden emplear envenenamientos de caché ARP. Esta técnica permite a los actores de amenazas asociar su dirección MAC con tu dirección IP. Si tiene éxito, el atacante tendrá acceso completo a cualquier dato que te esté destinado.
La suplantación de DNS, o envenenamiento de la caché DNS, es otra forma en que los delincuentes pueden utilizar un ataque MitM. En la suplantación de DNS, los atacantes manipulan, cambian o «falsean» los registros DNS para redirigir el tráfico a un sitio web falso. Los atacantes pueden entonces realizar un volcado de credenciales, propagar malware o llevar a cabo otras actividades maliciosas.
Los atacantes MitM se aprovechan de la naturaleza confiada de la mayoría de la gente. Las personas mayores o con recursos económicos limitados pueden ver las palabras «Wi-Fi gratuito» o «Wi-Fi público» y optar por conectarse a ellos a pesar del riesgo o porque no tienen otra opción.
No es de extrañar que los teléfonos móviles sean los más susceptibles a los ataques MitM, lo que ha llevado a los expertos a desarrollar planes para mejorar la seguridad de los móviles contra los ataques MitM.
Prevención de ataques MitM
Prevenir con éxito los ataques MitM no es tan sencillo como se cree. A medida que los hackers se vuelven más sofisticados, también lo hacen sus ataques. Aunque no hay forma de eliminar este riesgo, existen algunas estrategias para mitigar su amenaza para tu organización.
- Implementa protocolos de cifrado sólidos, incluidos HTTPS y cifrado de extremo a extremo.
- Asegúrate de que utilizas una conexión segura.
- Configura una VPN.
- Supervisa continuamente tu red.
- Imparte formación periódica sobre ciberseguridad a todos los miembros del equipo.
- Estate atento a cambios inusuales en tu red informática.
Dado que los ataques MitM se utilizan normalmente como trampolín para ciberataques más perjudiciales, como el malware, es muy recomendable instalar un RMM completo, como NinjaOne, para supervisar, gestionar y proteger fácilmente tus dispositivos endpoint.