9. Ataques

¿Qué es un ataque de intermediario?

Un ataque de intermediario es aquel en el que un hacker es capaz de interceptar, modificar y redirigir el tráfico de red de un usuario. De este modo, el atacante puede espiar las comunicaciones del usuario, robar datos confidenciales o dinero y hacer ataques de pharming o phishing.

Existen diferentes métodos para hacer ataques de este tipo.

  • El envenenamiento de ARP
  • El DNS Spoofing
  • El ataque con SSLStrip

Estos son los tres de los más comunes. Para ahondar acerca del tema de qué es un ataque de intermediario, a continuación te explicamos en qué consisten estas tres técnicas:

Envenenamiento de ARP

El envenenamiento de ARP es una de las formas de perpetrar ataques MITM (Man In The Middle).

ARP es un protocolo que permite que un dispositivo conozca la dirección física (MAC) de una tarjeta de interfaz de red correspondiente a una IP. El envenenamiento de ARP consiste en infectar un dispositivo y utilizarlo para hacerle creer a otros dispositivos de la red que él es el router. De este modo, los otros ordenadores dirigen todas sus comunicaciones a ese ordenador y queda interceptado el tráfico de la red. Por esta razón, configurar de forma segura una red compartida es un factor esencial para defenderse de este ciberataque.

DNS Spoofing

Otra manera de intervenir el tráfico de datos es redirigir al usuario a sitios webs maliciosos por medio del DNS Spoofing. Un servidor DNS (Domain Name System) cumple con la función de conectar el nombre de un dominio con la dirección IP de la página web que un usuario solicite visitar. El ciberataque del DNS Spoofing consiste en intervenir el servidor DNS para que redirija el tráfico de la red hacia sitios webs maliciosos, con el fin de robar datos confidenciales, dinero e instalar malwares.

SSLStrip

El ataque con SSLStrip fue descubierto por Moxie Marlinspike, quien estuvo a cargo de la ciberseguridad de la red social Twitter. Con este ataque, su desarrollador se concentró en encontrar cómo descifrar el tráfico de datos después de que se logra interceptarlo.

Algunas páginas web cuentan con una política de ciberseguridad conocida como HSTS (HTTP Strict Transport Security), que obliga a que la conexión con un sitio deba ser siempre por medio del protocolo HTTPS, que cifra la comunicación entre el usuario y la página.

Sin embargo, SSLStrip es una herramienta que permite identificar qué páginas no cuentan con la política de HSTS y redirigen al usuario a la versión HTTP del sitio. De este modo, se adquiere acceso a las comunicaciones del usuario sin la capa de cifrado. La idea es que la víctima y el agresor se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.