No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Man-in-the-middle

18/37
Recursos

¿Qué es un ataque Man in the Middle?

El robo de información sensible es una preocupación constante en el mundo digital moderno. Este tipo de ciberataques, conocidos como ataques de Man in the Middle (hombre en el medio), pueden interceptar la comunicación entre un usuario y una aplicación alojada en un servidor. Los cibercriminales monitorizan y capturan información crítica estando estratégicamente posicionados en la red para interceptar, analizar y actuar sobre los paquetes de datos que se transmiten.

¿Cómo funciona un ataque Man in the Middle?

La dinámica de un ataque Man in the Middle es sencilla. En condiciones normales, las solicitudes de datos fluyen directamente de un cliente a un servidor. Sin embargo, en este método, el atacante se interpone en medio para quebrantar la comunicación mediante herramientas técnicas.

Es común que el cibercriminal se sitúe en un punto clave de la red, como el gateway de red, para maximizar su capacidad de interceptar la información.

Tipos de ataques Man in the Middle

Entender los diferentes tipos de ataques Man in the Middle es crucial para poder detectar y defenderse eficazmente contra ellos. Cada método tiene sus particularidades.

¿Qué es el IP Spoofing?

El IP Spoofing es uno de los tipos más representativos de este tipo de ataque. Consiste en que el atacante altera los encabezados de los paquetes para simular que la solicitud proviene de una dirección IP confiable. El flujo de trabajo incluye:

  • Adquirir una dirección IP y direccionarla hacia su víctima.
  • Identificar al servidor al que el cliente legítimo quiere conectar.
  • Organizar y modificar el paquete para simular que viene de una fuente confiable.

¿Qué implica el ARP Spoofing?

El ARP Spoofing enlaza la dirección física, o MAC address, con la dirección IP del usuario legítimo. El proceso incluye:

  • Utilizar la dirección IP y MAC del atacante.
  • Reconocer a la víctima con ambos datos.
  • Realizar un envenenamiento ARP que genere confianza hacia un punto de acceso que maneje el cibercriminal para obtener acceso a servicios.

¿Cómo opera el DNS Spoofing?

En el DNS Spoofing, el cibercriminal infiltra el servidor DNS, que se encarga de la resolución de nombres web. Los pasos son:

  • Penetrar el servidor DNS al que un cliente hace peticiones.
  • Alterar los registros que apuntan a direcciones web, haciendo que las solicitudes dirigidas a un mismo URL sean redirigidas a servidores controlados por el atacante.

¿Cómo mitigar los ataques Man in the Middle?

Protegerse contra estos ataques es fundamental para garantizar la integridad de la información.

Alertas en navegadores: ¿Qué debemos hacer?

Los navegadores generan alertas al detectar certificados de seguridad no válidos, que suelen ser usados en estos ataques. Nunca se deben ignorar estas señales:

  • Atender los mensajes de alerta emitidos por los navegadores.
  • Evitar ingresar a un sitio web si aparece una advertencia de seguridad.

¿Por qué es importante el logout obligatorio?

Cerrar sesión asegura que no queden puertas abiertas para que el atacante actúe en otras sesiones activas:

  • Implementar una cultura organizacional que promueva el logout al finalizar el uso de un servicio web.
  • Prevenir que sesiones remanentes faciliten accesos no autorizados.

Uso de VPNs: ¿Cómo protegen nuestras comunicaciones?

Las VPN o redes privadas virtuales encapsulan el tráfico, haciéndolo opaco para los observadores externos:

  • Aseguran las comunicaciones entre cliente y servidor.
  • Dificultan que el atacante observe de manera clara la información de tráfico.

¿Por qué debemos cifrar nuestras comunicaciones?

Aplicar cifrado robusto y protocolos seguros como TLS versión 1.3 es vital. Esto garantiza que la información interceptada no sea comprensible para el atacante.

Prueba de concepto: ¿Cómo opera la técnica Sniffing?

Una demostración de la técnica Sniffing ilustra la facilidad con que se puede interceptar información no cifrada:

# Utilización de la herramienta Ethercap
# como ejemplo de interceptación de datos.
$ ethercap

Cuando el tráfico de un usuario sin cifrar llega a los manos de un cibercriminal mediante herramientas como Ethercap, la información se presenta en texto claro. Por eso es esencial utilizar cifrado para proteger las credenciales.

Manténgase informado y educado sobre los cibercontroles más efectivos para combatir ciberamenazas como Man in the Middle, y continúe reforzando sus prácticas de ciberseguridad.

Aportes 23

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Un consejito, Platzi Team de mi corazón, algunos de los ejemplos que exponen en el video son poco visibles o borrosos, -y eso que tengo buena vista y un monitor externo al portacho y aún así algunas veces no alcanzo a ver, no imagino los otros platzinautas. -, así que recomiendaría testear, evaluar y mejorar los futuros cursitos en este aspecto.

Hola Team Platzi, algunos recursos estan con baja resoluciòn. Seria bueno que ajustaran los ejemplos, reduciendo el tamaño del profesor y aumentando el tamaño de las diapositivas.

Ciber-Controles para Man-in-the-middle

  • Alertas en navegadores: no omitir las alertas ofrecidas por los web browsers.

  • Logging-out obligatorio:Si no utilizas una aplicación, cierra sesión.

  • VPN: Utilizar las bondades de las redes privadas para encapsular o blindar el trafico y/o peticiones.

  • Cifrar comunicaciones: Utilizar TLS 1.3 o superior con algoritmos de cifrado robusto.



Me gustaria un ejempo de como usar los link correctamente.

quisiera un curso similar pero que sea practico poner en practica lo que se debe hacer en cualquier ataque, asi debemos aprender mas

Para cifrar las comunicaciones utilizando TLS 1.3, debes seguir estos pasos básicos: 1. **Configuración del servidor**: Asegúrate de que tu servidor web soporte TLS 1.3. Esto a menudo implica actualizar el software del servidor (Ej. Nginx, Apache) y configurarlo para habilitar TLS 1.3. 2. **Instalación de un certificado SSL/TLS**: Obtén un certificado válido de una autoridad certificadora (CA). Esto establece la confianza en tu servidor. 3. **Configuración del cifrado**: En tu archivo de configuración del servidor, habilita TLS 1.3 y define las suites de cifrado que deseas usar. Asegúrate de que solo se permitan las suites seguras. 4. **Pruebas**: Utiliza herramientas como SSL Labs para probar y verificar que TLS 1.3 está correctamente implementado y que tu servidor es seguro. 5. **Mantenimiento**: Mantén tu servidor actualizado para asegurarte de que siempre esté protegido contra vulnerabilidades. Implementar TLS 1.3 mejora la seguridad de tu comunicación al ofrecer cifrado más robusto y eficiencia en la conexión.

Para evitar DNS Spoofing, configura un swtich administrable que permita que un solo puerto físico de red reciba peticiones UDP/TCP 53, con ello evitas un ataque de Rogue DNS. Así mismo podrías aumentar la seguridad configurando un sistema de DNSSec.

Man-in-the-middle o Hombre en el medio: El MitM es un ciberataque que permite interceptar la comunicación user-application. Su objetivo es capturar información sensible t de alto riesgo.

Tipos de MitM

  1. Spoofing de IP: Se alteran los packet headers para suplantar una dirección IP.
  2. Spoofing de ARP: Al suplantar el Protocolo de Resolución de Direcciones (ARP), el atacante utiliza mensajes ARP falsos para vincular su dirección MAC (dirección de control de acceso a medios) con la dirección IP legítima de la víctima.
  3. Spoofing de DNS: También conocido como envenenamiento de la caché del DNS, sucede cuando un hacker altera un servidor DNS (servidor de nombres de dominio) para redirigir el tráfico de la víctima a un sitio web fraudulento que se parece mucho al sitio web previsto.

Ciber-Controles

  1. Alertas en navegadores.
  2. Logging-out obligatorio, consiste en cerrar la sesión cuando no se utilice.
  3. Uso de VPN
  4. Cifrar comunicaciones. Utilizar TLS 1.3 o superior con algoritmos de cifrado robusto.

Qué es un ataque Man-in-the-Middle (MITM) Definición y prevención
https://www.pandasecurity.com/es/mediacenter/seguridad/ataque-man-in-the-middle/

MitM

Un ciberataque que permite interceptar la comunicación entre el usuario y la aplicación. Capturando información
sensible y/o de alto riesgo.

Tipos de MitM:

IP Spoofing - Se alteran los encabezados de paquetes para suplantar una dirección IP.

ARP Spoofing - Enlaza una MAC Address con la dirección IP de usuario legítimo.

DNS Spoofing - Infiltra un DNS Server, alterando los registros de direcciones web

Evitar estos Ciberataques:
Alertas:
No omitir las alertas que arroja el navegador.
(Loggin-out obligatorio):
Sí no se está utilizando una aplicación, cerrar la sesión.

VPN:
Sí hay alguien interceptando la comunicación, hay un canal cifrado por lo que el ciberdelincuente no podrá
obtener la información.
Cifrar Comunicaciones:
Utilizar TLS1.3 + con algoritmos de Cifrado robustos.

El TLS es la siguiente generación del Certificado SSL : permite y garantiza el intercambio de datos en un
entorno securizado y privado entre dos entes, el usuario y el servidor, mediante aplicaciones como HTTP,
POP3, IMAP, SSH, SMTP o NNTP. Nos referimos al TLS como la evolución del SSL dado que está basado en
éste último certificado y funciona de manera muy similar, básicamente: encripta la información compartida.

El atacante para realizar MitM puede utiliza herramientas como Ettercap.

![](https://static.platzi.com/media/user_upload/image-40d9049d-faee-4dc5-a776-1b9088da5413.jpg)
Me uno al consejo de Jefferson, los ejemplos se ven un poco pixeleados o borrosos, ese comentario fue hace dos años espero que puedan resolver esas cuestiones!
En el Ciner-control que menciona "Cifrar comunicaciones", también lo conocemos en la industria como cifrado en transito. En donde a pesar de que usemos https en el caso de las webs, la data que viaja o "request body" va cifrada por lo general con llaves asímetricas, por lo que solo el server y el cliente podrán descifrar.

Recordemos que los ciber delincuentes ya están consiguiendo certificados de seguridad auténticos para sus páginas

![](https://static.platzi.com/media/user_upload/image-fdc7f7b7-5f83-4830-9724-f6edb367f38f.jpg)
Una VPN (Red Privada Virtual) se utiliza para crear una conexión segura y cifrada a través de una red menos segura, como Internet. Su función principal es proteger los datos al encriptar la información que se transmite entre el usuario y el servidor, lo que dificulta que ciberdelincuentes intercepten y accedan a información sensible. Además, permite ocultar la dirección IP del usuario, proporcionando un nivel adicional de anonimato y seguridad. Esto es particularmente relevante para mitigar ciberamenazas como Man in the Middle.
gracia
Por eso hay que evitar tener encendido el bluetooth todo el tiempo o conectarse a redes libres, como la de los aeropuertos.

Las calificaciones de "D" a "F" indican que el servidor SSL/TLS tiene graves problemas de seguridad que podrían hacer que la información confidencial sea vulnerable a los ataques.

El sitio web "SSL Server Test" es un servicio gratuito que permite a los usuarios realizar una evaluación de la seguridad de un servidor SSL/TLS. El servicio es proporcionado por Qualys, una empresa de seguridad informática. Las calificaciones de "A+" a "A" indican que el servidor SSL/TLS está bien configurado y es seguro. Las calificaciones de "B" a "C" indican que el servidor SSL/TLS tiene algunos problemas de seguridad que podrían ser explotados por los atacantes.

Se podría usar ARP Spoofing para luego envenenar la tabla de mac address y apuntar a otro Fake DNS Server que bien podria ser la estación del atacante.

El ataque Man-in-the-middle permite interceptar la comunicación entre el usuario y la aplicación, con el objetivo de capturar información sensible. Los tipos incluyen IP Spoofing, ARP Spoofing y DNS Spoofing. Para prevenir el MitM, es importante prestar atención a las alertas del navegador, cerrar sesión en aplicaciones no utilizadas, utilizar VPN y cifrar las comunicaciones con TLS 1.3+ y algoritmos de cifrado robustos.

Datos extra de IP spoofing

  • ARP Spoofing es un tipo de ataque MitM en el que el atacante envía paquetes ARP falsificados a la red, lo que puede hacer que los dispositivos de red redirijan el tráfico hacia el atacante en lugar de hacia su destino legítimo.
  • Este tipo de ataque se puede utilizar para robar información de la red, como contraseñas y datos confidenciales.
  • Los ataques de ARP Spoofing se pueden prevenir mediante el uso de autenticación de red, como el protocolo 802.1X, y mediante la segmentación de redes en VLAN separadas.
  • En algunos casos, los ataques de ARP Spoofing también pueden ser realizados por virus y malware que se ejecutan en los sistemas infectados, lo que les permite interceptar el tráfico de red.
  • Una técnica de detección de ARP Spoofing es el uso de software de detección de ARP que puede detectar y alertar sobre paquetes ARP falsificados en la red.