Equipos CERT, CSIRT y PSIRT, clave para la gestión de incidentes de ciberseguridad en la empresa
20 de junio de 2024Activos críticos en las empresas: ¿Cuáles son y cómo protegerlos?
18 de julio de 2024Los ataques Man-in-the-Middle (MITM) forman parte de ese grupo no tan conocido de ataques dirigidos tanto a empresas como a usuarios finales con el objetivo principal del robo de información sensible. Consisten principalmente en que los atacantes interceptan la comunicación entre dos o más dispositivos utilizando técnicas de engaño. Como resultado, los usuarios se conectan a redes comprometidas, de forma que los delincuentes consiguen ver toda la información que circula entre los dos puntos.
¿A quién van dirigidos los ataques MITM?
Estos ataques van dirigidos tanto a usuarios como a compañías de todos los tamaños ,los objetivos son muy variados, pero principalmente se centran en robar credenciales de acceso o información personal, espiar a una persona, alterar datos…
Las fases de un ataque Ataque Man-in-the-Middle (MITM)
Las agresiones MITM cuentan con diferentes fases:
1.- INTERCEPTACIÓN
Consiste en la forma en la que el atacante consigue colocarse ‘en medio’ de la conexión. Para ello, utiliza técnicas como:
- ARP Spoofing (Spoofing de Protocolo de Resolución de Direcciones): Consiste en el envío de mensajes ARP falsificados en una red local para asociar su dirección MAC con la dirección IP de otro dispositivo (como el gateway). Esto hace que el tráfico destinado al dispositivo original se redirija al atacante, permitiéndole interceptar y modificar los datos.
- DNS Spoofing (Spoofing de Sistema de Nombres de Dominio): La información corrupta se inserta en el caché de un servidor DNS manipulando sus respuestas. Como resultado, las consultas DNS de la víctima se resuelven a direcciones IP controladas por el atacante en lugar de las legítimas, redirigiendo el tráfico web y permitiendo el acceso a información sensible.
- IP Spoofing (Spoofing de Protocolo de Internet): En este caso, el atacante falsifica la dirección IP de origen de los paquetes de datos. Esto puede ser utilizado para hacerse pasar por una máquina confiable dentro de una red, permitiendo enviar y recibir datos que parecen ser legítimos.
- HTTPS Spoofing: se crea un sitio web que parece idéntico a un sitio legítimo y utiliza certificados SSL/TLS falsos o comprometidos para engañar a los usuarios y hacerles creer que están en una conexión segura. Esto puede ser particularmente efectivo si se combina con otros tipos de spoofing, como DNS spoofing.
2.- DESENCRIPTACIÓN (opcional)
Si la comunicación interceptada está cifrada, es necesario desencriptarla para acceder al contenido. Algunas técnicas incluyen:
- SSL Stripping: El atacante degrada una conexión HTTPS a HTTP, haciendo que la información se transmita en texto claro.
- Ataques a SSL/TLS: Aprovechamiento de vulnerabilidades en los protocolos de cifrado para desencriptar la comunicación.
3.- MONITORIZACIÓN
La comunicación puede ser espiada, obteniendo información sensible como credenciales de inicio de sesión, datos personales, números de tarjeta de crédito, etc. Esta fase puede ser pasiva (simplemente escuchando) o activa (modificando la información en tránsito).
4.- MANIPULACIÓN (opcional)
En algunos casos, el ciberdelincuente no solo escucha la comunicación, sino que también la modifica. Esto puede incluir:
- Inserción de Datos: Añadir contenido malicioso, como enlaces a sitios web de phishing o malware.
- Alteración de Datos: Cambiar el contenido de los mensajes para engañar a una de las partes (por ejemplo, cambiando el destinatario de una transferencia bancaria).
- Bloqueo de Datos: Impedir que ciertos mensajes lleguen a su destino, afectando la comunicación.
5.- CIERRE
El ataque puede ser finalizado, cerrando la sesión interceptada, borrando rastros de la intrusión o incluso lanzando otro tipo de ataque utilizando la información obtenida.
Cosmikal Endurance, blindaje ante ataques MITM
Existen numerosas medidas de prevención que podemos aplicar para evitar ser víctimas de una agresión MITM. Es necesario tener en cuenta que, por lo general, la forma de colarse en estas conexiones de red es a través de engaños o descuidos de las personas. Si los ataques van dirigidos a empresas, los trabajadores constituyen la puerta de entrada más sencilla, convirtiéndose en el blanco perfecto. Aunque la concienciación de las personas es clave para convertirles en el primer escudo, ésta no suele ser suficiente para garantizar el blindado de la compañía.
En este punto, Cosmikal Endurance es el aliado perfecto para contar con una garantía ante cualquier intento de ataque MITM. Se trata de un gestor de acceso privilegiado que blinda los activos de la organización. Ofrece un escritorio blindado que protege el acceso a los activos de la organización y haciendo una estricta gestión de las credenciales de acceso.
Además, la parte de red donde se encuentran los activos sólo es accesible mediante Cosmikal Endurance, evitando así ataques MITM.
Así, Cosmikal Endurance permite administrar de forma centralizada el acceso remoto a todos los recursos de la organización y, además, es clave para ajustarse a diferentes normativas europeas de obligado cumplimiento, como la NIS2 o la RGPD, entre otras.