¿Qué es?

Es un ataque cibernetico en el que un hacker roba información confidencial al espiar las comunicaciones entre dos objetivos en línea, como un usuario y una aplicación sitio web.

Los atacantes MITM interceptan datos confidenciales, como números de tarjetas de crédito, información de cuentas y credenciales de inicio de sesión. Luego, los hackers emplean esa información para cometer otros delitos cibernéticos, como realizar compras no autorizadas, secuestrar cuentas financieras y robar identidad.

Los intercambios entre un usuario y una aplicación, un atacante MITM también podría espiar las comunicaciones privadas entre dos personas. En este escenario, el atacante desvía y retransmite mensajes entre las dos personas, a veces alterando o reemplazando mensajes para controlar la conversación.

¿Cómo funciona un ataque MiTM?

Las vulnerabilidades en redes, navegadores sitio web, cuentas de email, comportamientos de los usuarios y protocolos de seguridad son los puntos de partida de los ataques MITM. Los ciberdelincuentes aprovechan estas debilidades para insertar entre los usuarios y las aplicaciones de confianza para poder controlar las comunicaciones e interceptar datos en tiempo real.

Loa ataques de phishing son un medio común de entrada para los atacantes MITM. Al hacer clic en un enlace malicioso en un email, un usuario puede lanzar, sin saberlo, un ataque de hombre en el navegador. Los atacantes MITM a menudo confían en esta táctica para infectar el navegador sitio web de un usuario con malware que les permite realizar cambios encubiertos en los sitios web, manipular transacciones y espiar la actividad del usuario.

Otra fuente común de ataques MITM son los puntos de acceso wifi públicos. Los enrutadores wifi públicos tienen menos protocolos de seguridad que los enrutadores wifi domésticos o laborales. Esto facilita que los usuarios cercanos se conecten con la red. Pero también facilita que los hackers comprometan el enrutador para que puedan espiar el tráfico de Internet y recopilar datos de los usuarios.

Los atacantes MITM a veces crean sus propias redes wifi públicas maliciosas para atraer a usuarios desprevenidos y recopilar sus datos personales.

Los atacantes MITM también pueden crear sitios web falsos que parezcan legítimos pero que en realidad estén recopilando datos críticos, como las credenciales de inicio de sesión. Los piratas informáticos pueden emplear esas credenciales para acceder a cuentas de usuario en sitios web auténticos. O podrían emplear el sitio web falso para engañar a los usuarios para que realicen pagos o transferencias de fondos.

Etapas de un ataque MiTM

Los ataques de intermediario requieren que los delincuentes cibernéticos:

1. Intercepten los datos que pasan entre sus dos objetivos
2. Descifren esa información

Interceptación

Para interponer entre dos objetivos que se comunican, como un usuario y una aplicación sitio web, un atacante debe interceptar los datos que viajan entre ambos. El atacante luego transmite esa información desviada entre los objetivos como si se tratara de una comunicación normal para que las víctimas no sospechen nada.

Descifrado

Hoy en día, la mayoría de las comunicaciones por Internet están encriptadas, por lo que es probable que cualquier dato que intercepte un atacante MITM deba descifrarse antes de que el atacante pueda usarlo. Los atacantes pueden descifrar datos robando claves de cifrado, ejecutando ataques de fuerza bruta o mediante técnicas especializadas de ataques MITM (vea la siguiente sección).

¿Cómo puedes protegerte?

Podemos mantenernos protegidos utilizando las herramientas de seguridad de Sophos, ya que se actualizan de forma continua para detectar y enfrentar las amenazas más recientes.

1. Firewall XGS

Sophos ofrece un Firewall actualmente XGS Firewall, que ayuda a prevenir ataques MiTM:

• Inspección HTTPS: Permite detectar certificados falsos y conexiones sospechosas. Activa la opción de SSL/TLS inspection en las reglas del firewall para analizar el tráfico cifrado.
• Protección contra ataques de red: Activa las políticas IPS (Intrusion Prevention System), especialmente las que detectan escaneos ARP, suplantaciones de DNS o MITM locales.

2. Endpoint Protection

Esta protección en los dispositivos cliente ayuda a prevenir ataques MiTM en conexiones no seguras:

• Web Protection: Verifica la reputación de sitios y bloquea conexiones a sitios falsificados (phishing).
• Exploit Prevention: Detecta comportamientos sospechosos que pueden estar asociados a ataques MiTM.
• HTTPS Decryption Validation: Detecta certificados alterados, lo que es típico en un MiTM.

3. Sophos Intercept X

Intercept X incluye tecnologías avanzadas como:

• Detección de comportamiento sospechoso de red (como DNS redirect o tráfico extraño).
• Cryptoguard: Aunque está pensado para ransomware, también monitorea accesos anómalos a archivos y redes.