Cómo comprender los ataques MitM y sus riesgos
Descubrir cómo se comunica tu dispositivo con otros a través de la red puede ser un poco confuso, sobre todo cuando las cosas no salen como deberían o cuando quieres asegurarte de que tus cosas estén realmente seguras. Lo básico es bastante sencillo: conéctate por cable si está cerca, o usa wifi o una conexión Ethernet por cable. Pero una vez que te enfrentas a internet y a todos los intermediarios (como proxies, VPN o incluso puntos de acceso no autorizados), la cosa cambia por completo. No se trata solo de conectarte; se trata de saber quién te escucha y cómo evitar que te espíe.
Se supone que el cifrado es el superhéroe aquí, algo así como un código secreto que protege tus mensajes de miradas indiscretas. Pero los cibercriminales no se quedan esperando; algunos intentan intervenir en la conversación, haciéndose pasar por ti o por el servidor. Aquí es donde entran en juego los ataques Man-in-the-Middle, o MitM para abreviar. Pueden escuchar, modificar lo que se envía o incluso engañar a tu navegador para que piense que todo está normal cuando no lo está.¿Lo complicado? Estos ataques pueden ser pasivos (solo escuchan) o activos, donde se introducen activamente en tu conexión, simulando que todo está bien mientras interceptan datos en secreto.
La configuración
Básicamente, para que un MitM funcione, el atacante necesita interponerse en tu ruta de comunicación. Una forma bastante común, aunque obvia, es conectarse a un punto de acceso Wi-Fi gratuito al azar, como esos cafés o aeropuertos que ofrecen «Wi-Fi gratis» sin más. No sé por qué funciona tan a menudo, pero estas redes suelen carecer de la seguridad adecuada, lo que las convierte en un punto de acceso donde los atacantes pueden configurar un punto de acceso falso y esperar a que alguien se conecte. Es facilísimo, pero te sorprendería saber cuánta gente se conecta sin pensar.
Otra forma de hacerlo es engañar a tu dispositivo para que use un proxy o configurarlo para que acepte un servidor malicioso específico. Por ejemplo, si logran convencer a tu dispositivo para que use su máquina como proxy, podrán ver todo tu tráfico, algo así como escuchar una conversación a escondidas sentados a tu lado. Y, por supuesto, en teoría, tu proveedor de internet podría estar involucrado, especialmente si es malicioso o está comprometido. Se supone que usar una VPN oculta tu tráfico, pero no lo olvides: tu proveedor de VPN se convierte en tu nuevo proveedor de internet y, por lo tanto, en quien tiene acceso a tus datos. Elegir un proveedor confiable es clave; de lo contrario, podrías estar cambiando un problema por otro.
MitM pasivo
Este es el más sigiloso. El atacante simplemente escucha tu tráfico cifrado sin manipularlo, recopilar información ni intentar reconocer patrones. El cifrado es de gran ayuda, ya que, sin él, lo verían todo con total claridad. Pero incluso con cifrado, si están en medio, pueden obtener metadatos o, si no tienes cuidado, datos sin cifrar. Recuerda: ser pasivo no significa inofensivo, pero es menos malicioso que manipular activamente tus datos.
MitM activo
Este es el escenario más agresivo. En este caso, el atacante interviene activamente, actuando como intermediario, negociando conexiones «seguras» contigo y el sitio web. En teoría, SSL/TLS debería solucionar la mayor parte de este problema, ya que los sitios web utilizan HTTPS y certificados firmados por autoridades raíz de confianza almacenados en el almacén de certificados de confianza de tu dispositivo. Cuando todo esté configurado correctamente, tu navegador te avisará si algo no es fiable: aparecerá una ventana emergente de advertencia sobre certificados no válidos o no confiables.
Si el certificado no se verifica (por ejemplo, porque ha caducado o no está firmado correctamente), el navegador te avisa. Pero ten cuidado: algunos atacantes intentan engañar a los usuarios para que acepten sus certificados no válidos, a menudo convenciéndote de instalar un certificado raíz malicioso en tu almacén de confianza. Una vez que esto sucede, tus defensas están prácticamente destruidas, ya que el atacante puede hacerse pasar por cualquier sitio que visites, sin hacer preguntas.
Y aquí viene lo extraño: a veces, a pesar de esas advertencias, la gente simplemente hace clic en «aceptar el riesgo» y sigue adelante. Así es como obtienen acceso completo a tu conexión supuestamente «segura».El cifrado solo protege la parte entre el atacante y tu dispositivo, no hasta el servidor real. Es como confiar en alguien que finge ser otra persona, lo que frustra por completo el propósito del HTTPS.
El ejemplo menos digital
Para facilitar su obtención, piense en enviar una carta por correo postal. El servicio postal es como internet: envía su mensaje.¿Pero el cartero? Ese es el MitM: puede abrir, leer e incluso intercambiar su carta si quiere. Usted asume que todo está seguro porque la carta está sellada, pero si el cartero es malicioso o está comprometido, se acabó el juego. La criptografía ayuda en este caso, como firmar su carta para demostrar que realmente proviene de usted, y así saber si alguien la ha manipulado.
Cambiar tu forma de comunicarte, como cambiar del correo electrónico a aplicaciones de mensajería cifrada, puede marcar la diferencia. Y no solo cambiar, sino elegir redes y servicios de confianza. Porque, al fin y al cabo, la mejor defensa es no facilitarle la entrada a un atacante.
Resumen
Los ataques MitM son reales y pueden ocurrir en un abrir y cerrar de ojos, especialmente en redes Wi-Fi no seguras o si se ignoran las advertencias de los certificados. El cifrado mantiene a raya a la mayoría de los ciberdelincuentes, pero solo si la configuración es correcta y los usuarios prestan atención a las señales de advertencia. Además, siempre conviene ser precavido con las redes y los servicios que se utilizan. A veces, solo se trata de saber dónde están los puntos débiles y cómo evitarlos.