Man In the Middle: un tema de ciberseguridad
El término Man In The Middle (MitM) u Hombre en el Medio, es utilizado para referirse a la técnica que utilizan los ciberdelincuentes para obtener la información que envía un usuario a través de una aplicación. El atacante se posicionará en el medio de estos haciéndose pasar por uno de ellos para obtener toda la información que se comparte.
Imagina que quieres enviarle una carta muy importante a un amigo, por lo que decides utilizar el servicio de correo local para hacerla llegar. Sin embargo, el atacante va a tu buzón, toma la carta y lee el contenido de ésta, le toma una fotografía, la sella y la vuelve a colocar en el buzón.
El cartero llega, la envía a su destino y tu amigo recibe la carta sin saber que alguien ha visto el contenido. Tú eres el usuario, la carta los datos que envías, el cartero el medio en que se transportan esos datos en este caso, internet y tu amigo sería la aplicación con la que quieres comunicarte.
Ahora, piensa si lo que envías en la carta fuesen las credenciales de tu banco, datos personales u otra información que sea de mucha importancia para ti. El Hombre en el Medio se asegurará de no ser detectado cuando acceda a tus datos, hará uso de diversas herramientas para interceptar la información enviada desde tu equipo a la página de compras, a tus redes sociales o, incluso, al servidor de tu banco.
Debes saber que, para que un atacante ejecute un ataque de Hombre en el Medio, debe estar en la misma red de la víctima, así como conocer la puerta de enlace y su dirección IP. Es por ello que constantemente escucharás que los especialistas en Seguridad de la Información decimos que no ingreses a sitios no seguros o que no te conectes a redes públicas, menos si vas a ingresar a tu cuenta bancaria, realizar compras o compartir información. Siempre evita hacerlo si no estás consciente de que la red es segura.
¿Cómo es un ataque de MItM?
Existen diversas formas en la que los atacantes ejecutan un ataque de Hombre en el Medio, pero en este momento te mostraré cómo hacen uso de ARP Poisoning o ARP Spoofing, el cual consiste en que el ciberdelincuente le hace creer al equipo de la víctima, haciendo uso de diversas herramientas como la puerta de enlace de la red, por lo cual no despertará sospecha alguna en el equipo de la víctima a la hora de enviar la información y que éste pueda acceder a ella, ya que debemos entender que la puerta de enlace es el medio por el cual se transmite la información de un dispositivo a otro.
A continuación, verás cómo un atacante usa diversas herramientas para ejecutar un ataque de Hombre en el Medio, demostrando que pueden acceder a tu información sin que te des cuenta. Ten presente que todo esto es con el propósito de que veas que puedes ser un objetivo fácil al usar redes no seguras.
1. Kali Linux (atacante): este sistema operativo está diseñado para realizar auditorías en redes y así encontrar posibles fallas con el consentimiento de la empresa evaluada. Los atacantes suelen usarla para fines maliciosos y así poder acceder a información a la que no están autorizados.
2. Windows 10 (víctima): este sistema operativo creado por Microsoft es uno de los más utilizados hoy en día. Considera que los atacantes no solo se enfocarán en este tipo de sistema operativo, sino que buscarán en todos los dispositivos que se encuentren en la red hasta encontrar información que sea de utilidad.
Observamos la información del dispositivo víctima, podemos ver la IP y su puerta de enlace predeterminada. Cuando la víctima intenta comunicarse con cualquier página web, enviará información a través de la puerta de enlace, misma que puede ser interceptada por los atacantes que están en la misma red.
Cabe mencionar que existen muchas herramientas utilizadas para este tipo de ataques. Sin embargo, para este ejemplo te mostraré la herramienta Ettercap, diseñada para para auditorías programadas con el consentimiento de la empresa/persona sometidas a este proceso. Funciona técnicamente “olfateando y registrando” lo que pasa a través de la red, es decir, monitorea todo el tráfico que pasa a través de ésta y lo guarda para analizarlo.
El atacante hace uso de este tipo de herramientas para ver la comunicación en la red y así examinar en busca de credenciales u otra información que sean de utilidad.
Inicialmente, colocará una red señuelo para que te conectes a ella, como una red WiFi abierta, o ingresará tu red a través de diversos medios si no estaba configurada de forma segura.
Primero, necesita saber cuáles equipos están en la red, por lo que realizará un monitoreo. Ettercap mostrará un listado de los equipos en la red, su IP y dirección MAC, un identificador único que le da el fabricante de los equipos al hardware.
Una vez que el atacante obtiene el listado de dispositivos en la red, ya sabrá cuál tipo de hardware tienes y cuál es la dirección IP que usas. Lo que hará ahora es elegir cuál será su objetivo. En este caso podrías ser tú la víctima y su segundo objetivo será él mismo, el dispositivo que recibirá los paquetes enviados a través de la red.
Ahora el atacante aplicará el envenenamiento, lo que significa que le hará creer a tu equipo que él es la puerta de enlace, por lo cual se enviará toda la información con suma confianza.
Observaremos cómo el atacante “envenena” a las víctimas, haciéndoles creer que las comunicaciones son enviadas a sus destinatarios. Sin embargo, son redirigidas al equipo donde se hace el ataque. Si observas, el atacante no requiere de mucho tiempo y esfuerzo para hacerte creer que es tu puerta de enlace.
¿Cómo visualizan las comunicaciones los atacantes?
Algo que debemos tener en cuenta es que los atacantes podrán observar todo el tráfico de la red en la que se hace el ataque y es posible visualizar, en algunos casos, los paquetes que son transmitidos a través de páginas que no cuentan con certificados de seguridad. En este sentido, veamos un ejemplo de cuando se desea ingresar mediante una página con un inicio de sesión sin este tipo de seguridad.
Supongamos que, como víctima, ingresas a un sitio web sin certificado de seguridad. Observa que el mismo navegador nos indica que es un sitio no seguro. Si ves esto, sal inmediatamente del mismo.
Ya has ingresado tu correo electrónico y contraseña sin ningún problema. Ahora veamos desde el lado del atacante, cuyo dispositivo detecta todos los paquetes que pasan a través de la red. Cada fila que ves en la siguiente imagen es un paquete de datos enviado a través de la red. Este fue capturado y analizado por la herramienta Wireskark que se ejecuta el equipo del ciberdelincuente.
Ahora, cuando se ingresa a sitios sin certificados de seguridad, se aprecian las credenciales en texto plano. Esto porque los datos no están siendo protegidos de ninguna manera y observa cómo el atacante puede ver las credenciales que usaste para acceder al sitio.
Ahora, ¿ves lo fácil que puede ser para un atacante que conozca las páginas visitas e incluso ver las credenciales cuando inicias sesión en sitios inseguros?
Recomendaciones
Te daré algunas recomendaciones para evitar caer en este tipo de ataques:
1) No ingreses a sitios web que no cuenten con el certificado de seguridad. Podrás identificar un sitio seguro cuando la URL de la página tiene un candado antes:
Incluso si le das clic sobre este candado, te indicará que el sitio es seguro.
2) No hagas uso de redes WiFi-abiertas, menos si es para acceder a sitios en los que ingreses tu información para inicios de sesión.
3) Protege tu red inalámbrica con contraseñas seguras, ¡nunca dejes la contraseña predeterminada! Muchas personas tienen configurados los routers de su hogares o empresas con estas contraseñas, mismas que pueden ser encontradas en la web sin problema alguno.
4) Haz uso de VPN para evitar que el atacante conozca tu dirección IP y así no te conviertas en objetivo para obtener información valiosa.
Como Especialista en Ciberseguridad te puedo asegurar que, aunque pienses que no tienes nada importante o que no te van a robar nada, los ciberdelincuentes constantemente buscan información que les pueda ser útil, en especial si se trata de dinero. Ellos podrían obtener tus datos para falsificar tu identidad y hasta acumular deudas a tu nombre sin que te des cuenta.
El riesgo de sufrir de un ataque de Hombre en el Medio es más probable de lo que piensas y muchas veces no te darás cuenta, así que asegúrate de protegerte.
¡Cuídate mucho!
Listopro Community da la bienvenida a todas las razas, etnias, nacionalidades, credos, géneros, orientaciones, puntos de vista e ideologías, siempre y cuando promuevan la diversidad, la equidad, la inclusión y el crecimiento profesional de los profesionales en tecnología.