Está presente en todos los sectores y estoy casi segura de que has oído hablar en más de una ocasión de ello. “Man in the middle” o lo que más comúnmente se conoce como ataque por intervención, son aquellos ciberataques en los cuáles un hacker interviene en las comunicaciones entre dos personas, emisor y receptor, con el fin de interceptar el mensaje y modificarlo sin que nadie se de cuenta visiblemente. Su equivalencia en el mundo offline sería que el cartero modificara la carta antes de entregarla a su destinatario.
En estos casos, lo más frecuente es que los ciberdelincuentes creen una red maliciosa intentando suplantar una red segura e intervenir todas las comunicaciones que pasen por ella. Una vez las víctimas se conectan a su red, los ciberdelincuentes tienen control total sobre sus comunicaciones, y pueden intervenirlas, modificarlas y enviarlas a su destinatario, siendo uno de los ciberdelitos más difíciles de detectar. Por ejemplo, en otros malware, la víctima puede detectar a simple vista que ha sido atacada, en el caso de Man in The Middle pueden pasar semanas hasta que no se detecta el ataque. Un ejemplo de ello es como hace unos años, con este método, unos hackersconsiguieron robar un millón de euros a una startup israelí, y como consecuencia, la llevaron a la quiebra. El ataque interceptó las comunicaciones entre el venture capital y la startup, y logró así cancelar un encuentro presencial entre ambas, y modificó el número de cuenta, adjunto en un correo electrónico, para la transacción de los fondos. El venture capital abonó el importe en una cuenta falsa controlada por los hackers, pensando que era la de la startup.
En España también tenemos varios casos. Por ejemplo, el pasado año, a través de esta técnica, unos hackers consiguieron robar también un millón de euros al ayuntamiento de Sevilla. En este caso, el Ayuntamiento denunció el robo varias semanas más tarde, cuando se dieron cuenta de lo ocurrido.
El pasado año, a través de esta técnica, unos hackers consiguieron robar también un millón de euros al ayuntamiento de Sevilla
Si bien, hay varios tipos de ataques Man in The Middle, algunos de ellos son: ataques basados en servidores DHCP o DNS (los atacantes utilizan su ordenador como si fuera un servidor DHCP en una red local), ARP cache poisoning (técnica de hacking usada para infiltrarse en una red, con el objetivo de husmear los paquetes que pasan por la LAN, modificar el tráfico o incluso provocar una denegación de servicio), simulación de un punto de acceso inalámbrico, Man-in-the-browser (troyano que tras infectar una máquina es capaz de modificar páginas webs, contenidos o transacciones, de una manera invisible tanto para el usuario como para el servidor web) y Human assisted attack (se da cuando un patrón de ataque no es puramente automático, sino que está controlado por uno o más atacantes en tiempo real.).
¿Cómo protegernos de los ataques Man in The Middle?
En estos casos lo más importante es la prevención, es vital dotar a cualquier organización de un esquema de seguridad informática para impedir convertirla en un blanco fácil para los ciberatacantes. En la actualidad, el 93% de los ciberataques entran por correo electrónico, por lo que es muy importante trabajar un canal seguro para el intercambio de información de la empresa, con el fin de evitar este tipo de situaciones.
Es imprescindible que cualquier archivo se envíe conencriptación end to end, para garantizar que se dispone de la versión genuina del archivo y que no hay nadie más detrás de las comunicaciones. Las transferencias encriptadas posteriormente se identifican con un código checksum único que se valida a la salida y a la recepción para asegurar que el contenido no ha sido modificado.
Lo que se conoce como checksum es una suma de comprobación que se obtiene de un origen de datos; esta sirve para comprobar que el fichero que nos hemos descargado mantiene su identidad original.
En definitiva, lo principal en estos casos es trabajar con un canal seguro, donde se elimine por completo cualquier ciberamenaza, gracias a las políticas avanzadas de seguridad de la empresa.