¿Qué es un ataque por intermediarios (MitM)?

Lo más probable es que su dispositivo móvil no tenga las mismas defensas de seguridad que su computadora portátil o las de escritorio del trabajo. Por eso es importante que usted, el usuario final, haga todo lo que pueda para protegerse de las amenazas cibernéticas. Este artículo se enfocará en los ataques por intermediarios (MitM): cómo reconocer si su dispositivo móvil está infectado, cómo ocurre y qué hacer a continuación.

¿Qué es un ataque por intermediarios?

Un ataque por intermediarios se produce cuando la comunicación entre dos sistemas es interceptada por terceros, es decir, por un intermediario. Esto puede ocurrir en cualquier forma de comunicación en línea, como el correo electrónico, la navegación web, las redes sociales, etc.

El intermediario puede utilizar una conexión Wi-Fi pública para escuchar su conversación o intentar inyectar datos en su conexión para acceder a su navegador o app que esté intentando mover datos, o comprometer todo el dispositivo. Una vez que consigue acceder al dispositivo, el daño que puede hacer es infinito: puede robar datos de acceso a diversos sitios, transferir archivos de datos, instalar malware o incluso espiar al usuario.

¿Cómo funcionan los ataques por intermediarios?

Existen distintos tipos de técnicas de ataque MitM. Aquí tiene algunos ejemplos:

• Sniffing: los actores maliciosos utilizan herramientas de captura de paquetes para inspeccionarlos o, utilizando un dispositivo de monitoreo inalámbrico (disponible en Amazon por menos de $100), pueden ver los paquetes dirigidos a otros hosts.
• Inyección de paquetes: los actores maliciosos también pueden utilizar el dispositivo de monitoreo para inyectar paquetes maliciosos en los flujos de comunicación de datos, camuflándolos como parte de la comunicación.
• Secuestro de sesión: si un actor malicioso no puede ver la contraseña que usted introduce, aún puede hacerse cargo de la sesión existente en servicios en línea como las cuentas de redes sociales.
• SSL Stripping: los actores maliciosos utilizan el SSL stripping para interceptar paquetes y alterar sus peticiones de dirección basadas en HTTPS para que vayan a la versión HTTP del sitio solicitado.
• Ataques a redes Wi-Fi por Evil Twin (gemelo malvado) y puntos de acceso fraudulentos: simulan redes conocidas, como varias redes con el nombre "StarbucksFreeWiFi" en la misma ubicación. En esta situación, una podría ser falsa y podría utilizarse para secuestrar el tráfico de usuarios en un ataque MiTM
• Suplantación/envenenamiento ARP: : Los actores maliciosos envían paquetes ARP ilegítimos que vinculan la dirección MAC de un dispositivo a una dirección IP de un dispositivo de su LAN, lo que permite al actor malicioso enviar el tráfico de ese dispositivo a su propio dispositivo. Los actores maliciosos también pueden "envenenar" la tabla ARP de una organización falsificando los mapas MAC y afectando a otras computadoras.
• Suplantación de DNS: Un actor malicioso puede modificar el software DNS de un servidor, dirigiendo a los usuarios a sitios maliciosos que parecen legítimos.

¿Cuáles son los signos de un ataque por intermediarios?

Algunas señales de advertencia de que usted corre el riesgo de sufrir un ataque por intermediarios son:

• Redes Wi-Fi abiertas / públicas
• SSID (nombres de redes Wi-Fi) sospechosos que no parecen correctos

Una vez interceptada su conexión, un actor de amenazas puede inyectar diversos elementos en su dispositivo utilizando la conexión. He aquí algunos signos de que su conexión ya ha sido interceptada:

• Ventanas emergentes o páginas de portales cautivos pidiendo datos de acceso
• Aparecen páginas de inicio de sesión que no parecen legítimas
• Ventanas emergentes falsas para la actualización de software
• Mensajes de error del certificado
• Velocidades de conexión lentas

Qué hacer si cree que ha sido comprometido por un intermediario

Resulta que tiene a un intermediario fisgoneando en su conexión, ¿y ahora qué?

• Desconecte el Wi-Fi y utilice en su lugar una conexión del celular.
• Cambie la conexión a su VPN corporativa (red privada virtual) o solución de acceso a la red de confianza cero (ZTNA), si tiene una disponible.
• Esté atento a advertencias de robo de identidad y ponga una alerta de fraude en su cuenta de crédito.
• No se conecte a sitios web no seguros.
• Esté atento a los sitios de phishing que puedan haber sido sustituidos por páginas web confiables.

Cómo prevenir un ataque por intermediarios

Como los ataques por intermediarios son muy difíciles de detectar, el mejor remedio es la prevención. Reduzca su riesgo de los ataques por intermediarios siguiendo esta guía:

• Limite las conexiones a redes Wi-Fi públicas.
• Si necesita realizar operaciones bancarias en línea en un lugar público, desactive la conexión Wi-Fi de su dispositivo y en su lugar utilice la conexión del celular.
• Utilice una solución VPN o ZTNA si está disponible.
• Desactive las características de autoconexión al cambiar los ajustes de configuración para que sus dispositivos no se conecten automáticamente a una red Wi-Fi de forma predeterminada.
• Compruebe si dispone de cifrado: puede saber si un sitio web está cifrado buscando el símbolo HTTPS y el candado al principio de la URL, pero tenga en cuenta que esto no es una garantía de seguridad, solo de que el sitio dispone de un certificado legítimo.
• No visite ningún sitio web que contenga información privada o sensible mientras esté conectado a una red Wi-Fi pública.
• Si tiene que conectarse a una red Wi-Fi abierta, indique a su dispositivo que "olvide" la red para que no se conecte automáticamente.
• Mantenga sus dispositivos y programas actualizados con los últimos parches de software y seguridad.