En 2015, un grupo de ciberdelincuentes de Bélgica robó un total de 6 millones de euros pirateando empresas europeas medianas y grandes. Los piratas informáticos consiguieron acceder a cuentas de correo electrónico corporativas y solicitar dinero a clientes que utilizaban las cuentas pirateadas. Según el comunicado de prensa oficial de Europol, el modus operandi del grupo implicaba el uso de malware y técnicas de ingeniería social. Una vez conseguían entrar, vigilaban cuidadosamente las comunicaciones para detectar y hacerse con las solicitudes de pago. Este impresionante despliegue de destreza pirata es un excelente ejemplo de ataque man-in-the-middle. La cuestión es que tu empresa podría ser cualquiera de las empresas europeas afectadas.
¿Qué es un ataque Man-in-the-Middle (MITM)?
Un ataque MITM se produce cuando una comunicación entre dos sistemas es interceptada por una entidad externa. Esto puede ocurrir en cualquier forma de comunicación en línea, como el correo electrónico, las redes sociales, la navegación web, etc. No sólo intentan espiar tus conversaciones privadas, sino que también pueden apuntar a toda la información que hay dentro de tus dispositivos.
Dejando a un lado todos los tecnicismos, el concepto de un ataque MITM puede describirse en un sencillo escenario. Imaginemos que nos trasladamos a los viejos tiempos, cuando el correo postal era moneda corriente. Jerry escribe una carta a Jackie expresándole su amor después de años ocultando sus sentimientos. Envía la carta a la oficina de correos y la recoge un cartero entrometido. Éste la abre y, sólo por fastidiar, decide reescribir la carta antes de entregársela a Jackie. El resultado es que Jackie odia a Jerry para el resto de su vida después de que "Jerry" la llamara vaca gorda. La moraleja de la historia es que el cartero es un entrometido, y los hackers también.
Un ejemplo más moderno sería el de un hacker que se interpone entre tú (y tu navegador) y el sitio web que estás visitando para interceptar y capturar cualquier dato que envíes al sitio, como credenciales de inicio de sesión o información financiera.
¿Cómo funciona un ataque Man-in-the-Middle?
A lo largo de los años, los piratas informáticos han encontrado varias formas de ejecutar ataques MITM y, lo creas o no, ahora es relativamente barato comprar una herramienta de pirateo en línea, lo que demuestra lo fácil que puede ser piratear a alguien si tienes suficiente dinero. Estos son algunos de los tipos más comunes de ataques MITM con los que probablemente se encontrará tu empresa:
Secuestro de correo electrónico
Al igual que en el caso anterior, los hackers que utilizan esta táctica tienen como objetivo las cuentas de correo electrónico de grandes organizaciones, especialmente instituciones financieras y bancos. Una vez que obtienen acceso a cuentas de correo electrónico importantes, supervisan las transacciones para que su ataque final resulte mucho más convincente. Por ejemplo, pueden esperar un escenario en el que el cliente vaya a enviar dinero y responder, suplantando la dirección de correo electrónico de la empresa, con sus propios datos bancarios en lugar de los de la compañía. De este modo, el cliente cree que está enviando su pago a la empresa, pero en realidad lo está enviando directamente al hacker.
No sólo las grandes empresas pueden ser víctimas de este tipo de ataques. Una situación similar le ocurrió al londinense Paul Lupton. Tras vender su casa, envió por correo electrónico los datos de su cuenta bancaria a su abogado para cobrar las más de 333.000 libras recaudadas, sin saber que los hackers habían accedido a su correo electrónico y estaban vigilando las comunicaciones. Viendo una oportunidad de oro, los piratas informáticos enviaron rápidamente otro correo electrónico al abogado con el nombre de Lupton en el que le decían que hiciera caso omiso del correo anterior y lo enviará a otra cuenta (propiedad de los piratas informáticos). La transferencia se realizó a la cuenta del hacker, pero afortunadamente Lupton se dio cuenta rápidamente de lo sucedido y pudo recuperar la mayor parte de los fondos. Por desgracia, la mayoría de estos ataques no tienen finales tan felices.
Espionaje Wi-Fi
La mayoría de los ataques MITM prosperan en las conexiones Wi-Fi. En uno de los métodos, los hackers establecen una conexión Wi-Fi con un nombre que parece legítimo. Todo lo que el hacker tiene que hacer es esperar a que te conectes y tendrá acceso instantáneo a tu dispositivo. Alternativamente, el hacker puede crear un nodo Wi-Fi falso disfrazado de punto de acceso Wi-Fi legítimo para robar la información personal de todos los que se conecten.
Secuestro de sesión
Una vez que inicias sesión en un sitio web, se establece una conexión entre tu ordenador y el sitio web. Los piratas informáticos pueden secuestrar tu sesión con el sitio web a través de numerosos medios. Una opción popular que utilizan es robar las cookies de tu navegador. Por si no lo sabes, las cookies almacenan pequeños fragmentos de información que te facilitan la navegación por Internet. Puede tratarse de tu actividad en línea, credenciales de inicio de sesión, formularios precumplimentados y, en algunos casos, tu ubicación. Si se hacen con tus cookies de inicio de sesión, pueden entrar fácilmente en tus cuentas y asumir tu identidad.
¿Cómo puedes proteger tus redes de estos ataques?
Los ataques MITM pueden abrumar sólo con oír su concepto básico, pero eso no significa que sean imposibles de evitar. La tecnología PKI puede ayudarte a protegerte de algunos de los tipos de ataques que hemos comentado anteriormente.
S/MIME
Las extensiones de correo de Internet seguras/multipropósito, o S/MIME para abreviar, cifran tus correos electrónicos en reposo o en tránsito, garantizando que solo los destinatarios previstos puedan leerlos y no dejando espacios para que los piratas informáticos se introduzcan y alteren tus mensajes.
Además, S/MIME te permite firmar digitalmente tu correo electrónico con un Certificado Digital único para cada persona. Esto vincula tu identidad virtual a tu correo electrónico y les brinda a tus destinatarios la seguridad de que el correo electrónico que recibieron realmente proviene de ti (a diferencia de un pirata informático que accede a tu servidor de correo). Puedes ver cómo esto podría haber sido útil en el ejemplo de Europol analizado anteriormente. Si bien los piratas informáticos tenían acceso a los servidores de correo de las empresas, para firmar digitalmente los mensajes, también habrían necesitado acceso a las claves privadas de los empleados, que generalmente se almacenan de forma segura en otro lugar. Estandarizar la firma digital de mensajes y educar a los destinatarios para que confíen únicamente en los mensajes de la empresa que hayan sido firmados puede ayudar a diferenciar los correos electrónicos legítimos de los que han sido falsificados.
Certificados de autenticación
Los piratas informáticos nunca desaparecerán, pero una cosa que puedes hacer es hacer que sea prácticamente imposible penetrar en tus sistemas (por ejemplo, redes Wi-Fi, sistemas de correo electrónico, redes internas) implementando la autenticación basada en certificados para todas las máquinas y dispositivos de los empleados. Esto significa que solo los puntos finales con certificados configurados correctamente pueden acceder a tus sistemas y redes. Los certificados son fáciles de usar (no hay hardware adicional que administrar ni se necesita mucha capacitación del usuario) y las implementaciones se pueden automatizar para simplificar las cosas para TI.
¿Qué es la interceptación HTTP?
HTTP es el protocolo de Internet más común. La mayoría de las cosas que hacemos en línea se implementan en HTTP, desde la navegación web habitual hasta la mensajería instantánea. Desafortunadamente, las comunicaciones HTTP no están protegidas y son relativamente fáciles de interceptar, lo que las convierte en un objetivo principal para los ataques MITM. Como se mencionó anteriormente, los piratas informáticos pueden sentarse entre los usuarios finales y el sitio web al que están conectados y escuchar las comunicaciones, incluida cualquier información que envíen al sitio web, sin que ellos tengan idea.
¿Cómo se previene la interceptación HTTP?
Certificados SSL/TLS
Si tu sitio web todavía utiliza el protocolo HTTP más vulnerable, es hora de actualizar al protocolo HTTPS más seguro a través de certificados SSL/TLS. Un certificado TLS activará el protocolo HTTPS, que es la versión más segura de HTTP. Esto permite una conexión cifrada y segura entre tu servidor y las computadoras de tus clientes, evitando que toda la información llegue a piratas informáticos entrometidos.
Los certificados TLS también pueden vincular tu nombre de dominio y tu identidad organizacional si obtienes un certificado de nivel de Validación de organización (OV) o Validación extendida (EV). Los certificados EV ponen tu información de identidad al frente y al centro al mostrar el nombre de tu organización directamente en la barra de URL. Esto puede aumentar la confianza entre tus visitantes en que tu sitio es operado legítimamente por tu empresa y no por un sitio impostor.
Configuraciones del sistema y del servidor
No te sientes en los laureles todavía. Una vez que TLS esté en funcionamiento, deberás realizar algunas configuraciones. Asegúrate de que tu sitio web no tenga ningún contenido mixto ni ningún elemento de página cargado a través de un protocolo HTTP (por ejemplo, fotos, scripts, widgets) para evitar dejar una puerta trasera a los aspirantes a piratas informáticos. También es una buena práctica asegurarte de que todos los enlaces que obtenga de otros sitios sean a través de HTTPS. Asegúrate de que tus formularios de inicio de sesión estén protegidos mediante HTTPS para evitar el secuestro de credenciales. Mozilla ya está haciendo un gran trabajo evitando que los usuarios completen formularios bajo protocolos HTTP mediante mensajes de advertencia de "conexión no segura" y un ícono de candado con una barra diagonal. Asegúrate de que todos los hipervínculos contenidos en tu sitio web utilicen el protocolo HTTPS.
También es importante asegurarte de tener tu servidor configurado correctamente (por ejemplo, utilizando las mejores prácticas actuales para protocolos, algoritmos, etc.). Por ejemplo, debes asegurarte de tener deshabilitados los protocolos SSL2, SSL3 y TLS1; solo se deben habilitar TLS 1.1 y 1.2. Hay muchos otros elementos de configuración a considerar y las mejores prácticas recomendadas cambian continuamente a medida que se descubren nuevas vulnerabilidades. La prueba de servidor SSL de GlobalSign es una herramienta completa y fácil de usar para asegurarte de que tu servidor esté configurado correctamente.
HSTS sobre HTTPS
Como se mencionó anteriormente, los piratas informáticos han encontrado formas de eludir TLS. Por ejemplo, incluso si solicita una conexión HTTPS (por ejemplo, escribir https://www.example.com), pueden cambiar la solicitud a HTTP para que vaya a http://www.example.com, evitando así el cifrado. conexión. La implementación de HTTP Strict Transport Security o HSTS puede ayudar a prevenir este tipo de ataque. Esta directiva del servidor web obliga a cualquier navegador web o aplicación a conectarse a HTTPS y bloquear cualquier contenido que utiliza HTTP como protocolo. HSTS también evitará que los piratas informáticos extraigan información de las cookies del navegador, defendiendo eficazmente el sitio web de los secuestradores de sesión.
¿Tienes más preguntas sobre los ataques de man-in-the-middle? Envíanos tus preguntas y sugerencias en el cuadro de comentarios a continuación.
Visita nuestro sitio web para ver más soluciones para las necesidades de seguridad de tu empresa.
