¿Qué es un ataque Man in the Middle (MitM)? (Y cómo prevenirlos)

Imagínese descubrir que alguien estaba espiando todas sus comunicaciones: sus llamadas telefónicas, mensajes de texto, correos electrónicos, incluso sus conversaciones en persona. Y además de eso, la persona se hacía pasar por usted o por la otra persona, o incluso por ambos. Eso es lo que sucede en un ataque MITM. El atacante no solo observa lo que sucede, sino que puede actuar como una o ambas partes, sin que la otra lo sepa, para manipular la comunicación. En este artículo, explicaremos qué es un ataque MITM, cómo funciona y qué puede hacer para evitar que uno infecte su sitio de WordPress.

¿Qué es un ataque MITM?

Los ataques MITM son más comunes de lo que piensas. Este tipo de ataque de seguridad cibernética escucha a escondidas la comunicación que ocurre entre dos objetivos, como su navegador y un sitio que está visitando. Y más que eso, un ataque MITM puede secuestrar la conversación para que uno o ambos objetivos obtengan información errónea. El atacante puede disfrazarse como uno o ambos objetivos para que ninguno se dé cuenta de que se está comunicando con el atacante. La información se puede modificar antes de que se entregue.

¿Cómo funciona un ataque MITM?

Hay varios tipos de ataques MITM comunes. En todos ellos, sin embargo, hay dos pasos principales: interceptar la comunicación y luego descifrar la información.

Un ataque de punto de acceso no autorizado, por ejemplo, puede ocurrir cuando un dispositivo equipado con una tarjeta inalámbrica intenta conectarse a un punto de acceso. El atacante puede configurar un punto de acceso inalámbrico y engañar al dispositivo para que se conecte a él. Entonces, todo el tráfico de la red puede ser visto y manipulado por el atacante.

Otro ejemplo es el ataque de suplantación de identidad ARP . ARP significa Protocolo de resolución de direcciones, y se usa básicamente para que un host pueda determinar si otro host con el que está hablando tiene una dirección IP conocida. Con la suplantación de identidad ARP, el atacante se hace pasar por un host y responde a las solicitudes de verificación de IP. El atacante puede entonces espiar el tráfico entre los dos hosts y extraer información que les dé acceso a las cuentas.

Hay una serie de técnicas utilizadas en los ataques MITM:

• Rastreo: las herramientas de captura de paquetes se utilizan para inspeccionar paquetes, lo que le da al atacante acceso a información que no debería poder ver.
• Inyección de paquetes: los paquetes maliciosos se pueden inyectar en los flujos de comunicación, mezclándose para que no se noten. Por lo general, olfatear es un precursor de esto.
• Secuestro de sesión: cuando un usuario inicia sesión en una aplicación web, se genera un token de sesión temporal para que no se requieran el nombre de usuario y la contraseña cada vez que el usuario accede a una página diferente. Con el secuestro de sesión, el atacante identifica ese token de sesión y actúa como usuario.
• Eliminación de SSL: los paquetes se interceptan y modifican para que el host tenga que enviar solicitudes sin cifrar al servidor, lo que significa que la información confidencial ya no está cifrada.

Detectar este tipo de ataques es complicado. Tienes que estar ya buscando una intercepción; de lo contrario, un ataque MITM puede pasar desapercibido. Afortunadamente, puede tomar medidas para detectar un ataque antes de que ocurra en lugar de esperar para intentar atrapar uno en acción.

Cómo prevenir un ataque MITM

Estas son las mejores prácticas que debe seguir para prevenir un ataque MITM:

Cambiar las credenciales de inicio de sesión del enrutador

Nunca debe mantener las credenciales de inicio de sesión predeterminadas para su enrutador. Si un atacante puede encontrarlos, lo cual es más fácil si aún usa los valores predeterminados, puede cambiar sus servidores a los suyos. También podrían poner software malicioso en su enrutador.

Hacer cumplir HTTPS

Se necesita HTTPS para comunicarse de forma segura, y significa que el atacante no podrá usar los datos que está rastreando. Los sitios web no deberían ofrecer alternativas HTTP; solo deben usar HTTPS. Además, los usuarios pueden obtener un complemento de navegador que siempre aplicará HTTPS.

Configurar un cifrado fuerte

Los puntos de acceso inalámbrico necesitan un cifrado sólido si desea evitar que los usuarios no deseados cercanos se unan a su red. Cuando su cifrado es débil, un atacante puede usar un ataque de fuerza bruta para ingresar a su red y lanzar un ataque MITM.

Usa una VPN

Las redes privadas virtuales (VPN) crean un entorno en línea seguro, lo cual es importante si tiene información confidencial almacenada. Las VPN usan encriptación basada en claves para crear un espacio para una comunicación segura. Incluso si el atacante puede ingresar a una red compartida, no podrá comprender el tráfico VPN.

Lo que los usuarios de WordPress deben saber

Cuando un usuario inicia sesión en WordPress, el nombre de usuario y la contraseña se envían en una solicitud HTTP, que no está cifrada. Por eso es tan importante usar HTTPS para evitar que un atacante espíe la comunicación. Afortunadamente, es muy fácil configurarlo con un complemento: hay varios en el directorio de complementos de WordPress que configurarán su sitio para que se ejecute a través de HTTPS.

Cuando se trata de WordPress, la mayor preocupación es que un ataque MITM conduzca a un hackeo de WordPress. HTTPS es importante porque evita que los atacantes vean su nombre de usuario y contraseña en texto sin formato. HTTPS también ayudará a proteger su sitio de WordPress contra otras amenazas comunes, que incluyen la suplantación de identidad ARP y el robo de cookies de autenticación.

Además de usar HTTPS, las mejores prácticas de fortalecimiento de WordPress funcionarán para mantener su sitio web seguro. Éstos incluyen:

• Registro de actividades
• cortafuegos
• Limitación de intentos fallidos de inicio de sesión
• Contraseñas seguras
• Autenticación de dos factores

También es útil conocer los tipos de sitios web que son más víctimas de los ataques MITM. Los sitios donde se requiere iniciar sesión son los más propensos a los ataques MITM porque el objetivo del atacante suele ser robar credenciales, números de cuenta, números de tarjetas de crédito y similares. Si tiene un sitio web de WordPress donde los usuarios deben iniciar sesión, como para un sitio de membresía o para acceder a un carrito de compras guardado, debe estar especialmente atento a los ataques MIMT.

Preguntas frecuentes sobre el ataque MITM

¿Qué causa un ataque Man in the Middle?

Un ataque MITM puede ocurrir cuando dos partes tienen una interacción no segura. Podrían ser dos personas que están hablando a través de un sistema de mensajería en línea o una transferencia de datos entre dos hosts.

¿Cuáles son los signos de un ataque Man in the Middle?

Hay algunas señales reveladoras de que usted está, o podría estar, cerca de un ataque Man in the Middle, o incluso de que usted mismo es una víctima:

• Redes Wi-Fi abiertas y públicas.
• Nombres de redes WiFi sospechosos.
• Redes WiFi Evil-twin que pretenden engañar al usuario. Por ejemplo, StarbucksJoin y StarbucksWiFi. Si ves ambos, uno podría ser falso.

¿Qué es un hombre pasivo en el ataque medio?

Un ataque MITM pasivo es cuando el atacante está escuchando a escondidas la comunicación entre dos partes pero no está tomando ninguna acción para manipular los datos.

Terminando

Saber que ha sido víctima de un ataque MITM, ya sea que estaba revisando su correo electrónico en un café o si es el propietario de un sitio web que fue pirateado, da miedo. Pensar en alguien espiándote o espiando tu actividad en línea es simplemente espeluznante. Y cuando se trata de información confidencial, la suya propia o la de sus clientes, suscriptores, etc., también puede ser un grave perjuicio para su vida personal y profesional. Configurar HTTPS en su sitio web de WordPress es su siguiente paso absolutamente necesario. A partir de ahí, trabaje para fortalecer su sitio web tanto como sea posible. Nunca se puede estar demasiado seguro.

Mientras lo hace, consulte nuestro artículo sobre cómo realizar una auditoría de seguridad de WordPress.