¿Ha recibido alguna vez un paquete que parecía haber sido abierto antes de llegar a sus manos y, al abrirlo, ha descubierto que faltaban algunos artículos? ¿Ha utilizado su tarjeta de crédito para realizar una compra y, una semana después, ha descubierto que su extracto mostraba varios cargos no autorizados? Estas situaciones son ejemplos clásicos de ataques de intermediario, en los que alguien intercepta y manipula su paquete o la información de su tarjeta de crédito durante una transacción normal.

Considere otra situación. Se encuentra en un aeropuerto, esperando su vuelo, y decide utilizar su portátil para consultar el correo electrónico y navegar por Internet. Se conecta a lo que parece ser una red Wi-Fi oficial del aeropuerto. Una vez conectado, introduce sus credenciales de inicio de sesión para acceder a varios servicios online. Sin embargo, meses más tarde, descubre que sus credenciales se han filtrado en la Dark Web y que una de sus cuentas se ha visto comprometida. Este es un caso clásico de un ataque de intermediario, en el que un atacante intercepta sus datos en un entorno aparentemente seguro y de confianza.

¿Qué es un ataque de intermediario?

Un ataque de intermediario (MITM, por sus siglas en inglés) es un tipo de ciberataque en el que un intruso se introduce subrepticiamente en un proceso de comunicación para interceptar información crucial. Este intruso puede limitarse a escuchar la conversación, obteniendo discretamente detalles confidenciales, o puede desempeñar un papel más agresivo modificando el contenido del mensaje o haciéndose pasar por la persona o el sistema con el que usted cree que está interactuando. Una vez que un atacante logra situarse en mitad de su comunicación digital, crea una puerta trasera oculta que le permite acceder de forma encubierta a sus datos e interacciones online.

La gravedad de los ataques MITM

Los ataques MITM son especialmente peligrosos porque permiten a los hackers capturar datos críticos como nombres de usuario, contraseñas, detalles de tarjetas de crédito e información bancaria sin que el usuario se percate de la presencia de un intermediario que desvía sus datos a una entidad hostil. Una vez en posesión de estos datos, los ciberdelincuentes pueden aprovecharlos de diversas formas, como por ejemplo manipulando los datos de una cuenta, retirando fondos o realizando transacciones no autorizadas.

Según un informe de 2022 elaborado por F5, más de la mitad de los ataques de intermediario consisten en interceptar datos confidenciales, como credenciales de inicio de sesión e información bancaria. Un informe de Accenture de 2020, destaca el importante impacto económico de estos ataques, revelando que los ataques MITM contribuyen a unas pérdidas globales anuales de unos 2.000 millones de dólares.

Más frecuentes de lo que se cree

Es frecuente oír hablar de ataques de ransomware y filtraciones de datos a gran escala, pero para un usuario cualquiera, los ataques MITM pueden considerarse un riesgo mayor, ya que estos ataques se dirigen al eslabón más débil, los usuarios individuales. El Índice de Inteligencia sobre Amenazas X-Force de IBM indica que los ataques de intermediario representan el 35% de todos los ataques. Además, hay un notable aumento de los ataques de phishing que emplean métodos MITM, con un incremento del 35% en los correos electrónicos de este tipo que llegaron a las bandejas de entrada de los usuarios entre el primer trimestre de 2022 y el primer trimestre de 2023.

El ataque en dos fases

Entre las dos formas más frecuentes de ataques MITM se incluyen los siguientes escenarios:

1. En primer lugar, un actor de amenazas instala un punto de acceso malicioso en un lugar estratégico, incitando a víctimas desprevenidas a conectarse a él. Una vez conectada, el atacante puede manipular cualquier tráfico generado por la víctima.
2. El segundo consiste en una página de inicio de sesión fraudulenta oculta en un correo electrónico. Las víctimas desprevenidas introducen sus credenciales o datos de autenticación multifactor (MFA) en dicha página. En esta situación, el atacante captura toda la información introducida y la utiliza para acceder a la cuenta de la víctima reenviándola al sitio auténtico.

Independientemente de la táctica utilizada, un ataque MITM consta de dos fases:

1. La primera fase es la interceptación, que como su nombre indica, intercepta el tráfico del usuario antes de que éste llegue a su destino. El proceso de interceptación se lleva a cabo utilizando técnicas como la suplantación de las direcciones IP o MAC o de un servidor DNS.  
2. La siguiente fase es la de descifrado. Aquí el atacante descifra discretamente los datos robados. En el caso del tráfico no cifrado, esto puede hacerse utilizando un sniffer. Para el tráfico cifrado, un atacante puede utilizar métodos que incluyen la supresión de HTTPS, el secuestro de SSL o la supresión de SSL.

Qué pueden hacer los usuarios para protegerse

La naturaleza oculta de los ataques MITM dificulta especialmente la protección de los usuarios individuales. Además, el problema se agrava en el caso de los usuarios móviles que navegan con frecuencia por varios sitios que utilizan una amplia gama de pilas tecnológicas. Sin embargo, hay varias medidas proactivas que los usuarios individuales pueden tomar para reducir el riesgo de que sus sesiones sean interceptadas por atacantes:

• Evitar conectarse a redes Wi-Fi públicas a menos que sea absolutamente necesario. Estas redes suelen ser menos seguras, lo que las convierte en objetivos preferentes para los ataques MITM.

• Utilizar una VPN al conectarse a cualquier red, ya que añade una capa adicional de cifrado al tráfico de sesión, por lo que es más difícil que un atacante pueda vulnerar las comunicaciones.

• Optar siempre por sitios web con HTTPS, ya que este protocolo cifra los datos entre el navegador y el sitio web, por lo que es más difícil que los atacantes puedan descifrar y acceder a la información.

• Utilizar métodos avanzados de autenticación multifactor (MFA) como aplicaciones de autenticación o claves FIDO, que, a diferencia de las opciones tradicionales de MFA como los SMS, no requieren teclear información que pueda ser interceptada por los atacantes.

El poder de un MDR respaldado por un SOC

Sin embargo, no es realista esperar que los usuarios nunca hagan clic en un enlace de correo electrónico incrustado o se abstengan de utilizar los SMS para la autenticación multifactor, ya que los usuarios no siempre siguen las mejores prácticas en materia de seguridad. Podría decirse que los usuarios estándar funcionan de forma muy parecida a un sistema que carece de parches y actualizaciones de seguridad.

Por eso es necesaria una solución escalable que garantice la protección. Si bien los ataques MITM pueden ser transparentes para los usuarios normales, los equipos de seguridad de los SOC son expertos en identificar estos intentos encubiertos de los atacantes. Mediante la supervisión continua del tráfico de red en busca de patrones o actividades irregulares, los SOC hacen que sea mucho más difícil que los ataques MITM tengan éxito dentro de una red fuertemente vigilada.

Un SOC avisará a los usuarios de que deben utilizar protocolos de cifrado robustos para la transmisión de los datos y de que sólo se puede acceder a sitios web HTTPS, lo que reduce significativamente el riesgo. Mediante el uso de sofisticadas herramientas de seguridad, un SOC puede detectar anomalías o indicios de intenciones maliciosas. Además, cuando se asocian con un MSSP fiable, están equipados para recomendar los métodos MFA más actuales y ofrecer asesoramiento sobre el uso seguro de las redes Wi-Fi, además de consejos sobre los certificados de seguridad legítimos de los sitios web.

Conclusión

En lo que respecta a la ciberseguridad, las empresas sufren ataques desde numerosos frentes y son muchas las cosas que pueden salir mal, especialmente cuando se trata de los usuarios. Aunque conseguir una protección completa puede ser inalcanzable, es indispensable la presencia de un MDR experimentado y curtido en mil batallas, experto en reconocer amenazas. Es crucial no dejar el flanco medio de su empresa vulnerable a los atacantes. Garantizar que las personas adecuadas estén equipadas con las herramientas apropiadas para defenderse de posibles ataques es clave para mantener la ciberseguridad de su organización.