Seguridad
Ataque “Man-in-the-Middle”
Man-in-the-Middle (MitM), que en español significa “hombre en el medio”, es un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos (hosts) conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes. Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, el delincuente debe estar presente en la misma red que los hosts apuntados en el ataque para cambiar la tabla de enrutamiento para cada uno de ellos.
Aunque alterar la tabla de enrutamiento es infinitamente más simple cuando se realiza en la misma red, técnicamente sería posible secuestrar los routers de los proveedores de Internet y alterar arbitrariamente sus tablas de enrutamiento, pero la complejidad de este tipo de ataque es incomparablemente mayor. Por tanto, todos los ejemplos que citaré en este artículo estarán relacionados con el ataque desde dentro de la red.
Lectura recomendada: Malware Plead distribuido mediante ataques de Man in the Middle a nivel de router
Ejecución del ataque:
Como sucede en la mayoría de los ataques, incluso si el delincuente no tiene un profundo conocimiento sobre lo que va a ejecutar, podrá llevarlo a cabo, aunque sea de forma mecánica. Y en el caso de los ataques de Man-in-the-Middle no es diferente: siguiendo algunas instrucciones que se encuentran fácilmente en Internet, es posible reproducir este tipo de ataque. Por eso es tan importante tomar siempre medidas de protección.
Para comprender cómo funciona el ataque, veamos la imagen a continuación. En la misma se puede apreciar la tabla de enrutamiento presente en la computadora de la víctima, aún sin cambios.
Phishing
Definición:
El “phishing” es una modalidad de estafa diseñada con la finalidad de robarle al usuario su identidad. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes.
Cómo funciona:
En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como un banco o la empresa de su tarjeta de crédito. Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.
Para que estos mensajes parezcan aún más reales, el estafador suele incluir un vínculo (link) falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan “sitios Web piratas”. Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.
Cómo protegerse:
Este tipo de fraude debe contenerse a través del ISP y vía usuario.
- Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje. Tener especial cuidado en correos que supuestamente han sido enviados por entidades financieras y compras por Internet, como eBay, PayPal, bancos, etc., solicitando actualizar datos de cuentas y/o accesos, ya que ninguna de estas entidades solicitan este tipo de información por este medio.
- Asegúrese que su PC cuente con las últimas actualizaciones a nivel de seguridad dadas por los fabricantes (Microsoft, Mac, etc…)
- Para visitar sitios Web, introduzca directamente la dirección URL en la barra de direcciones.
- Asegúrese de que el sitio Web utiliza cifrado.
- Si tiene instalado servidores Web, asegúrese que tanto el aplicativo como el sistema operativo cuenten con las últimas actualizaciones a nivel de seguridad dadas por los fabricantes correspondientes. Muchas veces los phishers buscan en la red servidores Web vulnerables que puedan ser utilizados para montar páginas que intentan suplantar la identidad de una entidad financiera, sin que el usuario se de cuenta. Para el cliente, esto tiene como repercusión la afectación directa en su servicio de Internet, ya que la IP donde se encuentra alojada la página fraude es reportada por entidades internacionales pidiendo al ISP (COMSERVIRED) el bloqueo de la misma.
- Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.
- A nivel del ISP, actualmente COMSERVIRED implementa filtros anti-spam que ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.
Spam
Definición:
Se llama spam, correo basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera a los usuarios que reciben este correo. Aunque su difusión se puede hacer por distintas vías, lo más común es hacerlo vía correo electrónico.
Actualmente COMSERVIRED cuenta con una plataforma que protege a los usuarios de este tipo de correos.
Normas básicas para evitar y reducir al mínimo el spam
El spam es un problema que debe ser controlado desde diferentes frentes, tanto a nivel de usuarios como a nivel de los proveedores de Internet.
- No abra archivos adjuntos de remitentes desconocidos, incluso si tiene un software bloqueador de spam o filtro de aplicación activo.
- Nunca haga clic en el vínculo Quitar spam en correos spam para evitar confirmar su dirección activa.
- Use cuentas de correo con números y letras para dificultar que los spammers las adivinen.
- No haga clic en enlaces dentro de correos de remitentes desconocidos o sospechosos.
- Si conoce al remitente, igual evite hacer clic en enlaces de correos electrónicos para evitar fraudes o suplantaciones.
- Para visitar enlaces, escriba manualmente la URL en el navegador.
- Tenga cuidado con sitios donde registra su correo, ya que pueden venderlo a redes de spammers.
- Si tiene servidores de correo, mantenga sistema operativo y aplicaciones actualizados para evitar ser un Open Relay.
- Verifique que su IP no esté en listas negras usando sitios como dnsstuff.com.
- Para desbloquear IPs reportadas, use este enlace y tome las medidas necesarias para evitar nuevos envíos de spam.
Los tiempos aproximados de desbloqueo según sitio:
- www.aol.com: 48 horas
- www.lashback.com: 1 hora
- www.uceprotect.net: 7 días
- www.spamcop.net: 24 horas
- www.dsbl.org: 7 días
- www.wpbl.info: 1 hora
- www.moensted.dk: 1 hora
- www.comcast.com: 48 horas
- www.abuso.cantv.net: 48 horas
- www.spamhaus.org: 24 horas
Virus
Definición:
Un virus informático es un programa que se copia automáticamente y que tiene por objeto alterar el normal funcionamiento del PC, sin el permiso o el conocimiento del usuario. Los virus pueden destruir, de manera intencionada, los datos almacenados en un PC aunque también existen otros más “benignos”, que solo se caracterizan por ser molestos.
Los virus informáticos tienen, básicamente, la función de propagarse, replicándose, pero algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
Cómo protegerse:
Similar al spam, los virus son un problema que debe ser controlado desde diferentes frentes, tanto a nivel de usuarios como a nivel de los proveedores de Internet.
- No abrir archivos adjuntos de remitentes desconocidos, incluso con antivirus instalado.
- Evitar instalar software pirata o de baja calidad, especialmente desde redes P2P.
- Mantener el sistema operativo y aplicaciones actualizados con los últimos parches de seguridad.
- Instalar un software antivirus actualizado con las últimas firmas.
- COMSERVIRED cuenta con equipos especializados para detectar y filtrar correos con virus mediante filtros heurísticos y preventivos, colocando en cuarentena tráfico sospechoso.
Consecuencias de un ataque de Man-in-the-Middle
Ahora que entendemos un poco sobre la estructura del ataque en sí, queda por ver qué pueden hacer los delincuentes cuando llevan a cabo un ataque Man-in-the-Middle.
En el ejemplo que mencioné, la captura de tráfico fue realizada por Ettercap con el fin de analizar paquetes. Sin embargo, Ettercap no es la única solución que ayuda a crear ataques Man-in-the-Middle. Es posible desarrollar amenazas para realizar determinadas acciones dentro del tráfico interceptado o utilizar alguna de las soluciones ya creadas para realizar estas modificaciones. Una de las soluciones desarrolladas para este propósito fue Man-in-the-Middle Framework, o MITMf, que viene con varias funcionalidades instaladas por defecto. Algunas de estas funcionalidades permiten:
- Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo;
- Insertar en la página a la que se accede código en JavaScript creado por el atacante;
- Ejecutar procesos que intentan abrir tráfico encriptado HTTPS;
- Insertar un keylogger que capture todo lo que escribe la víctima.
Con esto, las opciones de ataque son prácticamente ilimitadas, y aún es posible utilizar el ataque para dirigir el tráfico a otros frameworks con aún más funcionalidades, como, por ejemplo, BeEF.
Además del enfoque MitM más tradicional que menciono en esta publicación, los delincuentes usan este concepto de interceptar las acciones de las víctimas en varios otros tipos de ataques, como la alteración de la memoria cuando la víctima usa el portapapeles (al copiar y pegar algo), ataques de Man-in-the-Browser (que significa hombre en el navegador) cuando el ciberdelincuente modifica información transmitida directamente por el navegador, por ejemplo, cuando se realiza una compra. Todos estos tipos de ataques tienen un impacto significativo en las víctimas y la mayoría de ellos no muestran signos de que la víctima esté siendo atacada en ese momento, lo que hace que las medidas de protección frente a este tipo de amenazas sean aún más necesarias.
Cómo protegerse de un ataque de Man-in-the-Middle
- Siempre desconfíe de las redes Wi-Fi: por definición, las redes Wi-Fi son más susceptibles a los ataques si alguien ha podido acceder a la red legítima de manera no autorizada o porque los actores maliciosos crean una red con el mismo nombre que la red legítima para engañar a los usuarios y que se conecten. Tenga siempre cuidado al utilizar redes Wi-Fi públicas. En caso de necesitarlas, evite compartir información importante y descargar archivos.
- Solo instale software de fuentes conocidas: muchas amenazas se esconden detrás de software o archivos que parecen inofensivos. Por eso es importante asegurarse de que el software que necesita descargar provenga de una fuente confiable para disminuir las posibilidades de que la descarga haya sido manipulada.
- Antivirus: tener una solución antivirus correctamente instalada, actualizada y configurada es una de las formas más eficientes de prevenir la mayoría de las amenazas. Esta recomendación es clave para detectar ataques MitM, incluso cuando intentan envenenar caché ARP o interceptar tráfico.
- Si le preocupan los ataques MitM en su entorno corporativo:
- Segregar redes para evitar ataques en toda la red.
- Usar firewall con reglas estrictas para proteger las redes.
- Configurar routers para inspeccionar tablas ARP y evitar ataques de envenenamiento.