¿Qué es MitM?

Para que su dispositivo se comunique con cualquier otro dispositivo, necesita conectarse a él. Si el otro dispositivo está físicamente presente, esto es bastante simple. Simplemente puede pasar un cable entre los dos dispositivos. Es necesario que compartan algún tipo de estándar de comunicación, pero el principio básico se mantiene. Por supuesto, la mayoría de los dispositivos con los que podría querer comunicarse no están físicamente presentes. En su lugar, debe conectarse a ellos a través de una red informática, normalmente con Internet involucrado.

El problema con esto es que ahora hay potencialmente muchos mensajeros que necesitan pasar sus comunicaciones de un lado a otro. Para comunicarse correctamente a través de intermediarios, debe poder confiar en ellos. Alternativamente, debe poder asegurarse de que no puedan leer o modificar sus comunicaciones. Esta es la base del cifrado. Le permite comunicarse de forma segura a través de un canal inseguro.

La cuestión es que, incluso con el cifrado en juego, todavía hay algunos malos que intentan obtener acceso a información confidencial. Una forma en que pueden intentar hacer eso es realizar un ataque Man-in-the-Middle o MitM.

La puesta en marcha

Para que MitM funcione, el atacante debe ser una de las partes que transmite los datos a los que desea acceder. Hay algunas maneras de lograr esto. El primero es relativamente simple, ejecute un punto de acceso a Internet, esta es exactamente la razón por la que debe tener cuidado con los puntos de acceso Wi-Fi gratuitos al azar. Esto es fácil de hacer, el problema es que puede no ser fácil lograr que una persona específica se conecte a una red específica.

Las opciones alternativas son configurar el dispositivo de la víctima para usar su dispositivo como un servidor proxy o para ser un ISP para la víctima. De manera realista, si un atacante puede configurar su dispositivo para que se use como proxy, probablemente tenga acceso más que suficiente a su computadora para obtener la información que desea. Teóricamente, el ISP de cualquier persona también podría dirigirse a ellos cuando su tráfico pasa por su ISP. Un proveedor de VPN/proxy está exactamente en la misma posición que el ISP y puede o no ser tan confiable.

Nota: si está pensando en obtener una VPN para protegerse contra su ISP, es importante comprender que el proveedor de VPN se convierte en su ISP efectivo. Como tal, todas las mismas preocupaciones de seguridad también deberían aplicarse a ellos.

MitM Pasivo

Si bien muchos dispositivos pueden estar en una posición MitM, la mayoría de ellos no serán maliciosos. Aún así, el cifrado protege de los que lo son y ayuda a mejorar su privacidad. Un atacante en una posición MitM puede simplemente usar su posición para "escuchar" el flujo de tráfico. De esta forma, pueden rastrear algunos detalles vagos del tráfico cifrado y pueden leer el tráfico no cifrado.

En este tipo de escenario, un atacante en una posición MitM siempre puede leer o modificar el tráfico sin cifrar. Es solo el cifrado lo que evita esto.

MitM activo

Un atacante que se ha tomado la molestia de llegar a esa posición puede no estar necesariamente contento con solo leer/modificar datos no cifrados. Como tal, pueden intentar realizar un ataque activo en su lugar.

En este escenario, se insertan de lleno en el medio de la conexión actuando como un intermediario activo. Negocian una conexión "segura" con el servidor e intentan hacer lo mismo con el usuario final. Aquí es donde las cosas normalmente se desmoronan. Por mucho que puedan hacer absolutamente todo esto, el ecosistema de encriptación ha sido diseñado para manejar este escenario.

Cada sitio web HTTPS sirve un certificado HTTPS. El certificado está firmado por una cadena de otros certificados que conducen a uno de los pocos "certificados raíz" especiales. Los certificados raíz son especiales porque se almacenan en el almacén de certificados de confianza de cada dispositivo. Por lo tanto, cada dispositivo puede verificar si el certificado HTTPS que se le presentó ha sido firmado por uno de los certificados raíz en su propio almacén de certificados de confianza.

Si el proceso de verificación del certificado no se completa correctamente, el navegador mostrará una página de advertencia de error de certificado que explica los aspectos básicos del problema. El sistema de emisión de certificados está configurado de tal manera que debe poder demostrar que es el propietario legítimo de un sitio para persuadir a cualquier Autoridad de certificación para que firme su certificado con su certificado raíz. Como tal, un atacante generalmente solo puede usar certificados no válidos, lo que hace que las víctimas vean mensajes de error de certificado.

Nota: El atacante también podría convencer a la víctima de que instale el certificado raíz del atacante en el almacén de certificados de confianza, momento en el que se rompen todas las protecciones.

Si la víctima elige "aceptar el riesgo" e ignorar la advertencia del certificado, el atacante puede leer y modificar la conexión "encriptada" porque la conexión solo está encriptada hacia y desde el atacante, no hasta el servidor.

Un ejemplo menos digital

Si tiene dificultades para entender el concepto de un ataque Man-in-the-Middle, puede que sea más fácil trabajar con el concepto de correo físico "caracol". La oficina de correos y el sistema son como Internet pero para enviar cartas. Usted asume que cualquier carta que envía pasa por todo el sistema postal sin ser abierta, leída o modificada.

Sin embargo, la persona que entrega su publicación está en una posición perfecta de hombre en el medio. Podrían optar por abrir cualquier carta antes de entregarla. Luego podían leer y modificar el contenido de la carta a voluntad y volver a sellarla en otro sobre. En este escenario, en realidad nunca te estás comunicando realmente con la persona que crees que eres. En cambio, ambos se están comunicando con la persona entrometida del correo.

Un tercero que pueda verificar firmas (criptográficamente seguras) puede al menos decirle que alguien está abriendo su correo. Puede optar por ignorar esta advertencia, pero le recomendamos que no envíe nada en secreto.

Es muy poco lo que puede hacer con respecto a la situación aparte de cambiar el sistema a través del cual se comunica. Si comienza a comunicarse por correo electrónico, la persona que publica la publicación ya no podrá leer ni modificar sus mensajes. Del mismo modo, conectarse a una red diferente e idealmente confiable es la única forma de denegar el acceso al atacante sin dejar de poder comunicarse.

Conclusión

MitM significa Man-in-the-Middle. Representa una situación en la que un mensajero en la cadena de comunicación está monitoreando maliciosamente y potencialmente editando comunicaciones. Por lo general, el mayor riesgo proviene del primer salto, es decir, el enrutador al que se conecta. Un punto de acceso Wi-Fi gratuito es el ejemplo perfecto de esto. Un atacante en una posición MitM puede leer y editar comunicaciones sin cifrar. También pueden intentar lo mismo con las comunicaciones cifradas, pero esto debería generar mensajes de error de validación del certificado. Estos mensajes de advertencia de validación de certificados son lo único que impide que un atacante también pueda preparar y modificar el tráfico cifrado. Esto funciona porque ambas partes se comunican con el atacante en lugar de comunicarse entre sí. El atacante se hace pasar por la otra parte para ambas partes.