Llegamos a ustedes gracias a:



Reportajes y análisis

Ataques MitM: Cómo funcionan y cómo prevenirlos

[18/03/2019] Un ataque man-in-the-middle (MitM) es cuando un atacante intercepta las comunicaciones entre dos partes, ya sea para escuchar en secreto o modificar el tráfico que viaja entre las dos. Los atacantes pueden usar los ataques MitM para robar credenciales de inicio de sesión o información personal, espiar a la víctima o, sabotear comunicaciones o datos corruptos.

"Los ataques MitM son un medio táctico para un fin", señala Zeki Turedi, estratega de tecnología para Europa, Oriente Medio y África en CrowdStrike. "El objetivo podría ser espiar a individuos o grupos para redirigir esfuerzos, fondos, recursos o atención".

Aunque uno se puede proteger de los ataques MitM a través del cifrado, los atacantes exitosos desviarán el tráfico a sitios de phishing diseñados para parecer legítimos o simplemente pasarán el tráfico a su destino deseado una vez que se haya recolectado o registrado, lo que significa que la detección de tales ataques es increíblemente difícil.

Cómo funcionan los ataques man-in-the-middle

Los ataques MitM son una de las formas más antiguas de ciberataque. Los científicos informáticos han estado buscando formas de evitar que los agentes de amenazas alteren o escuchen las comunicaciones desde principios de la década de 1980.

Los ataques MitM consisten en situarse entre la conexión de dos partes y, observar o manipular el tráfico. Esto podría llevarse a cabo interfiriendo en redes legítimas o creando redes falsas que el atacante controla. El tráfico comprometido luego se despoja de cualquier cifrado para robarlo, cambiarlo o redireccionarlo al destino elegido por el atacante (como un sitio de inicio de sesión de phishing). Debido a que los atacantes pueden estar observando en silencio o volviendo a cifrar el tráfico interceptado hacia su fuente prevista una vez registrado o editado, puede ser un ataque difícil de detectar.

"Los ataques MitM son unos en los que el atacante está realmente sentado entre la víctima y un anfitrión legítimo con el que la víctima está tratando de conectarse", indica Johannes Ullrich, decano de investigación del Instituto de Tecnología SANS. "Entonces, o están escuchando pasivamente la conexión o están interceptándola, terminándola y configurando una nueva al destino".

Los ataques MitM abarcan una amplia gama de técnicas y resultados potenciales según el objetivo y la meta. Por ejemplo, en la eliminación de SSL, los atacantes establecen una conexión HTTPS entre ellos y el servidor, pero con una conexión HTTP no segura con el usuario, lo que significa que la información es enviada en texto sin formato y sin cifrado. Los ataques Evil Twin son un reflejo de los puntos de acceso legítimos de Wi-Fi, pero están totalmente controlados por actores malintencionados, que ahora pueden monitorear, recopilar o manipular toda la información que envía el usuario.

"Estos tipos de ataques pueden ser por espionaje, por ganancias económicas, o simplemente para perjudicar". anota Turedi. "El daño causado puede variar de pequeño a enorme, dependiendo de los objetivos del atacante y su capacidad de causar daño".

En un escenario bancario, un atacante podría ver que un usuario está realizando una transferencia y, cambiar el número de cuenta de destino o la cantidad que se envía. Los actores de amenazas podrían usar los ataques man-in-the-middle para recopilar información personal o credenciales de inicio de sesión. Si los atacantes detectan que las aplicaciones están siendo descargadas o actualizadas, pueden enviar actualizaciones comprometidas que instalen malware en lugar de unas legítimas. El kit de explotación EvilGrade fue diseñado específicamente para dirigirse a las actualizaciones mal protegidas. Dado que a menudo fallan en cifrar el tráfico, los dispositivos móviles son particularmente susceptibles a este escenario.

"Estos ataques se pueden automatizar fácilmente", anota Ullrich del Instituto SANS. "Hay herramientas para automatizar esto que buscan contraseñas y las escriben en un archivo cada vez que ven solicitudes particulares de descarga o esperan recibirlas, y envían tráfico malicioso de vuelta".

Si bien a menudo estos ataques de red física o Wi-Fi requieren tener cierto nivel de proximidad a la víctima o a la red objetivo, también es posible comprometer los protocolos de enrutamiento de forma remota. "Ese es un ataque más difícil y más sofisticado", explica Ullrich. "Los atacantes pueden promocionarse a sí mismos en Internet como responsables de estas direcciones IP para que las enrute directamente hacia ellos y poder lanzar ataques MitM.

"También pueden cambiar la configuración de DNS para un dominio en particular [conocido como falsificación de DNS]", continúa Ullrich. "Así, si entra a un sitio web en particular, en realidad se estará conectando a la dirección IP incorrecta que proporcionó el atacante, y nuevamente, el atacante podrá lanzar un ataque MitM".

Si bien la mayoría de los ataques se realizan a través de redes cableadas o Wi-Fi, también es posible realizarlos con torres falsas de teléfonos celulares. Se ha encontrado que las agencias policiales en los Estados Unidos, Canadá y el Reino Unido utilizan torres de teléfonos celulares falsas -conocidas como stingrays- para recopilar información en masa. Los dispositivos stingray también están disponibles comercialmente en la página web oscura.

Investigadores de la Universidad Técnica de Berlín, ETH Zurich y SINTEF Digital en Noruega descubrieron recientemente fallas en los protocolos de autenticación y de acuerdo de claves (AKA) usados en las tecnologías 3G, 4G y previsto para ser utilizado en las implementaciones de tecnología inalámbrica 5G, lo que podría llevar a los atacantes a realizar ataques MitM.

¿Qué tan comunes son los ataques MitM?

Aunque no son tan comunes como los ataques de ransomware o phishing, los ataques MitM son una amenaza que siempre está presente para las organizaciones. El Threat Intelligence Index 2018 de IBM X-Force dice que el 35% de la actividad de explotación involucró a atacantes que intentaban realizar ataques MitM, pero las cifras específicas son difíciles de obtener.

"Diría que, según los informes anecdóticos, los ataques MitM no son increíblemente frecuentes", indica Alex Hinchliffe, analista de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks. "Muchos de los mismos objetivos -espiar datos/comunicaciones, redirigir el tráfico, etc.- se pueden realizar utilizando el malware instalado en el sistema de la víctima. Si hay formas más simples de realizar ataques, el adversario a menudo tomará la ruta fácil".

Un ejemplo destacado reciente es el de un grupo de agentes rusos del GRU que intentaron penetrar en la oficina de la Organización para la Prohibición de Armas Químicas (OPCW) en La Haya, utilizando un dispositivo de redireccionamiento de Wi-Fi.

El incremento en la adopción de HTTPS y en el número de advertencias en el navegador han reducido la amenaza potencial de algunos ataques MitM. En el año 2017, la Electronic Frontier Foundation (EFF) informó que más de la mitad de todo el tráfico de Internet ahora está encriptado, con Google ahora informando que más del 90% del tráfico en algunos países ahora está cifrado. Los principales navegadores, como Chrome y Firefox, también advertirán a los usuarios si están en riesgo de ataques MitM. "Con el aumento en la adopción de SSL y la introducción de navegadores modernos, como Google Chrome, los ataques MitM en puntos de acceso públicos de WiFi han disminuido en popularidad", indica Turedi de CrowdStrike.

"Hoy en día, lo que se ve comúnmente es la utilización de ataques MitM altamente sofisticados", agrega Turedi. "Un ejemplo que se observó recientemente en los informes de código abierto fue el malware dirigido a la red SWIFT de una gran organización financiera, en el que se utilizó una técnica MitM para proporcionar un saldo de cuenta falso en un esfuerzo por no ser detectado, ya que los fondos se desviaron maliciosamente a la cuenta de los ciberdelincuentes.

Sin embargo, la amenaza todavía existe. Por ejemplo, el Troyano bancario Retefe redireccionará el tráfico de los dominios bancarios a través de servidores controlados por el atacante, descifrando y modificando la solicitud antes de volver a cifrar los datos y enviarlos al banco. Una falla descubierta recientemente en el protocolo TLS -incluyendo la versión 1.3 más reciente- permite a los atacantes romper el intercambio de claves RSA e interceptar datos.

Prevención de ataques MitM

Aunque a veces se descubren fallas, los protocolos de encriptación como TLS son la mejor manera de protegerse contra los ataques MitM. La última versión de TLS se convirtió en el estándar oficial en agosto del 2018. También hay otros, como SSH o protocolos más nuevos, como el QUIC de Google.

Para la educación del usuario final, aliente al personal a no usar ofertas públicas abiertas de Wi-Fi o Wi-Fi en lugares públicos, ya que son mucho más fáciles de falsear que las conexiones de teléfonos celulares. Asimismo, dígales que presten atención a las advertencias de los navegadores cuando dicen que los sitios o las conexiones pueden no ser legítimas. Use VPNs para ayudar a garantizar conexiones seguras.

"Los mejores métodos incluyen la autenticación multifactor, maximizando el control y la visibilidad de la red, y segmentando su red", indica Hinchliffe de Palo Alto.

Es mejor prevenir que intentar remediar los daños después de un ataque, especialmente uno que es tan difícil de detectar. "Estos ataques son furtivos y difíciles de detectar para la mayoría de los dispositivos de seguridad tradicionales", indica Turedi de Crowdstrike.

Si se vuelve comercialmente viable, la criptografía cuántica podría proporcionar una protección robusta contra los ataques MitM basándose en la teoría de que es imposible copiar datos cuánticos y que no puede ser observado sin cambiar su estado, por lo que proporciona un indicador sólido si es que el tráfico ha sido interferido.

¿Es la IoT la próxima frontera para los ataques MitM?

Los analistas predicen que la cantidad de dispositivos conectados a Internet podría multiplicarse en decenas de miles de millones en los próximos cinco años. Desafortunadamente, la falta de seguridad en muchos de estos significa que el crecimiento en la Internet de las Cosas (IoT, por sus siglas en inglés) podría traer un incremento en los ataques MitM. CSO ha informado previamente sobre la posibilidad de que se ejecuten ataques del estilo MitM en dispositivos IoT y se envíe información falsa a la organización o instrucciones incorrectas a los dispositivos.

"Los dispositivos IoT tienden a ser más vulnerables a los ataques porque no implementan muchas de las mitigaciones estándar contra los ataques MitM", señala Ullrich. "Muchos aún no implementan TLS o versiones anteriores que no son tan robustas como la última".

Una nueva encuesta realizada por Ponemon Institute y OpenSky encontró que el 61% de los profesionales de la seguridad en los Estados Unidos afirman que no pueden controlar la proliferación de dispositivos IoT e IIoT dentro de sus compañías, mientras que el 60% dice que no puede evitar las vulnerabilidades de seguridad y las violaciones de datos relacionadas con IoT e IIoT.

"Con las aplicaciones móviles y los dispositivos IoT no hay nadie alrededor y eso es un problema. Algunas de estas aplicaciones ignorarán estos errores y seguirán conectándose, lo que anula el propósito de TLS", indica Ullrich.