Qué es un ataque de Man‑in‑the‑Middle y cómo funciona

Man-in-the-Middle (MitM), que en español significa “hombre en el medio”, es un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos (hosts) conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes. Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, el delincuente debe estar presente en la misma red que los hosts apuntados en el ataque para cambiar la tabla de enrutamiento para cada uno de ellos.

Aunque alterar la tabla de enrutamiento es infinitamente más simple cuando se realiza en la misma red, técnicamente sería posible secuestrar los routers de los proveedores de Internet y alterar arbitrariamente sus tablas de enrutamiento, pero la complejidad de este tipo de ataque es incomparablemente mayor.

Para comprender cómo funciona el ataque, veamos la imagen a continuación. En la misma se puede apreciar la tabla de enrutamiento presente en la computadora de la víctima, aún sin cambios.

Imagen 1. Listado de tablas ARP – Windows.

Cada una de las entradas de la tabla ARP tiene una dirección única, como puede observarse en la numeración final presente en cada una de ellas.

Cuando se está ejecutando un ataque MitM, el delincuente se hace pasar por la dirección de destino de la víctima, que suele ser un router o alguna otra dirección que sea la puerta de entrada a esa red. Vale la pena mencionar que los ataques en los que se hacen pasar por la dirección de destino de la víctima representan uno de los tantos tipos de ataques de MitM. Dicho esto, existen algunas herramientas que pueden realizar este tipo de ataque. En el caso de nuestro ejemplo, el ataque realizado fue de envenenamiento de ARP, también conocido como ARP spoofing o envenenamiento de tablas ARP. El ARP, o Adress Resolultion Protocol, es un protocolo de resolución de dirección que se utiliza en la comunicación entre direcciones IP y la dirección física de un equipo, más conocida como dirección MAC.

El software utilizado para automatizar este ataque fue Ettercap a través de la línea de comandos. Sin embargo, el software también tiene una interfaz gráfica muy intuitiva y fácil de usar. Después de ejecutar el comando, la víctima cree que el atacante es la puerta de enlace y comienza a enviarle todas sus solicitudes.

Imagen 2. Listado de la tabla ARP durante el ataque de envenenamiento – Windows.

Imagen 3. Ettercap muestra la captura de paquetes entre la víctima y la puerta de enlace.

Como la visualización que ofrece Ettercap tiene una estructura muy difícil de interpretar, es posible utilizar analizadores de red más robustos como Wireshark para monitorear la interfaz de red que está recibiendo este tráfico y tratarlo o guardarlo para realizar un análisis posterior.

Imagen 4. Wireshark muestra la misma captura de paquetes entre la víctima y la puerta de enlace.

Consecuencias de un ataque de Man-in-the-Middle

Ahora que entendemos un poco sobre la estructura del ataque en sí, queda por ver qué pueden hacer los delincuentes cuando llevan a cabo un ataque Man-in-the-Middle.

– Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo;

– Insertar en la página a la que se accede código en JavaScript creado por el atacante;

– Ejecutar procesos que intentan abrir tráfico encriptado HTTPS;

– Insertar un keylogger que capture todo lo que escribe la víctima.

Con esto, las opciones de ataque son prácticamente ilimitadas, y aún es posible utilizar el ataque para dirigir el tráfico a otros frameworks con aún más funcionalidades.

Cómo protegerse de un ataque de Man-in-the-Middle

  • Siempre desconfíe de las redes Wi-Fi: Tenga siempre cuidado al utilizar redes Wi-Fi públicas. En caso de necesitar utilizarlas, evite compartir información importante y descargar archivos.
  • Solo instale software de fuentes conocidas: Es importante asegurarse de que el software que necesita descargar provenga de una fuente confiable para disminuir las posibilidades de que la descarga haya sido manipulada. Si un ataque Man-in-the-Middle ya está en marcha, es posible que los ciberdelincuentes puedan cambiar el archivo de destino que se descargará. Si este es el caso, el siguiente consejo le ayudará a identificar el proceso.
  • Antivirus –esta es una recomendación presente en casi todas las publicaciones relacionadas a amenazas informáticas, por el simple hecho de que es una de las formas más eficientes de prevenir la mayoría de las amenazas. Tenga siempre en su dispositivo una solución antivirus correctamente instalada, actualizada y configurada para detener las amenazas que llegan a través de archivos o redes.

Si le preocupan los ataques MitM en su entorno de red corporativa, puede tomar algunas medidas adicionales para prevenirlos:

  • Segregar redes: sacar hosts del mismo dominio de colisión ayuda a evitar que se realicen ataques en toda la red a la vez.
  • Firewall: proteja estas redes con un firewall que tenga reglas adecuadas, evitando interacciones no deseadas.
  • Configurar los routers: muchos dispositivos de red tienen la capacidad de inspeccionar la tabla ARP para evitar ataques de envenenamiento, identificar si sus dispositivos tienen esta función y, si la tienen, habilitarla.