Ciberamenazas: Man in the Middle y sus Contramedidas

Clase 18 de 37 • Curso de Seguridad Informática para Equipos Técnicos

Resumen

¿Qué es un ataque Man in the Middle?

El robo de información sensible es una preocupación constante en el mundo digital moderno. Este tipo de ciberataques, conocidos como ataques de Man in the Middle (hombre en el medio), pueden interceptar la comunicación entre un usuario y una aplicación alojada en un servidor. Los cibercriminales monitorizan y capturan información crítica estando estratégicamente posicionados en la red para interceptar, analizar y actuar sobre los paquetes de datos que se transmiten.

¿Cómo funciona un ataque Man in the Middle?

La dinámica de un ataque Man in the Middle es sencilla. En condiciones normales, las solicitudes de datos fluyen directamente de un cliente a un servidor. Sin embargo, en este método, el atacante se interpone en medio para quebrantar la comunicación mediante herramientas técnicas.

Es común que el cibercriminal se sitúe en un punto clave de la red, como el gateway de red, para maximizar su capacidad de interceptar la información.

Tipos de ataques Man in the Middle

Entender los diferentes tipos de ataques Man in the Middle es crucial para poder detectar y defenderse eficazmente contra ellos. Cada método tiene sus particularidades.

¿Qué es el IP Spoofing?

El IP Spoofing es uno de los tipos más representativos de este tipo de ataque. Consiste en que el atacante altera los encabezados de los paquetes para simular que la solicitud proviene de una dirección IP confiable. El flujo de trabajo incluye:

Adquirir una dirección IP y direccionarla hacia su víctima.
Identificar al servidor al que el cliente legítimo quiere conectar.
Organizar y modificar el paquete para simular que viene de una fuente confiable.

¿Qué implica el ARP Spoofing?

El ARP Spoofing enlaza la dirección física, o MAC address, con la dirección IP del usuario legítimo. El proceso incluye:

Utilizar la dirección IP y MAC del atacante.
Reconocer a la víctima con ambos datos.
Realizar un envenenamiento ARP que genere confianza hacia un punto de acceso que maneje el cibercriminal para obtener acceso a servicios.

¿Cómo opera el DNS Spoofing?

En el DNS Spoofing, el cibercriminal infiltra el servidor DNS, que se encarga de la resolución de nombres web. Los pasos son:

Penetrar el servidor DNS al que un cliente hace peticiones.
Alterar los registros que apuntan a direcciones web, haciendo que las solicitudes dirigidas a un mismo URL sean redirigidas a servidores controlados por el atacante.

¿Cómo mitigar los ataques Man in the Middle?

Protegerse contra estos ataques es fundamental para garantizar la integridad de la información.

Alertas en navegadores: ¿Qué debemos hacer?

Los navegadores generan alertas al detectar certificados de seguridad no válidos, que suelen ser usados en estos ataques. Nunca se deben ignorar estas señales:

Atender los mensajes de alerta emitidos por los navegadores.
Evitar ingresar a un sitio web si aparece una advertencia de seguridad.

¿Por qué es importante el logout obligatorio?

Cerrar sesión asegura que no queden puertas abiertas para que el atacante actúe en otras sesiones activas:

Implementar una cultura organizacional que promueva el logout al finalizar el uso de un servicio web.
Prevenir que sesiones remanentes faciliten accesos no autorizados.

Uso de VPNs: ¿Cómo protegen nuestras comunicaciones?

Las VPN o redes privadas virtuales encapsulan el tráfico, haciéndolo opaco para los observadores externos:

Aseguran las comunicaciones entre cliente y servidor.
Dificultan que el atacante observe de manera clara la información de tráfico.

¿Por qué debemos cifrar nuestras comunicaciones?

Aplicar cifrado robusto y protocolos seguros como TLS versión 1.3 es vital. Esto garantiza que la información interceptada no sea comprensible para el atacante.

Prueba de concepto: ¿Cómo opera la técnica Sniffing?

Una demostración de la técnica Sniffing ilustra la facilidad con que se puede interceptar información no cifrada:

# Utilización de la herramienta Ethercap
# como ejemplo de interceptación de datos.
$ ethercap

Cuando el tráfico de un usuario sin cifrar llega a los manos de un cibercriminal mediante herramientas como Ethercap, la información se presenta en texto claro. Por eso es esencial utilizar cifrado para proteger las credenciales.

Manténgase informado y educado sobre los cibercontroles más efectivos para combatir ciberamenazas como Man in the Middle, y continúe reforzando sus prácticas de ciberseguridad.

Jefferson Pacheco Suárez

student•

Un consejito, Platzi Team de mi corazón, algunos de los ejemplos que exponen en el video son poco visibles o borrosos, -y eso que tengo buena vista y un monitor externo al portacho y aún así algunas veces no alcanzo a ver, no imagino los otros platzinautas. -, así que recomiendaría testear, evaluar y mejorar los futuros cursitos en este aspecto.

Julio Cesar Flores Navarro

student•

Hola, yo pienso lo mismo, ya me va pasando ese mismo problema en otros videos del curso y en otros cursos de Platzi. Por favor que alguien atienda nuestra recomendación.

Saludos Julio

Victor Noguera

student•

Hola Team Platzi, algunos recursos estan con baja resoluciòn. Seria bueno que ajustaran los ejemplos, reduciendo el tamaño del profesor y aumentando el tamaño de las diapositivas.

Joaquín Ricardo Svoboda Abregú

student•

Sii, la verdad que no se ve nada 👎

Diego Fernando Ramos Aguirre

student•

Ciber-Controles para Man-in-the-middle

Alertas en navegadores: no omitir las alertas ofrecidas por los web browsers.
Logging-out obligatorio:Si no utilizas una aplicación, cierra sesión.
VPN: Utilizar las bondades de las redes privadas para encapsular o blindar el trafico y/o peticiones.
Cifrar comunicaciones: Utilizar TLS 1.3 o superior con algoritmos de cifrado robusto.

Jonathan Christopher Bertoni Montecinos

student•

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Edgar Geovani Xuc Xol

student•

quisiera un curso similar pero que sea practico poner en practica lo que se debe hacer en cualquier ataque, asi debemos aprender mas

Juan Pablo Sánchez G

student•

Apoyo tu idea.

Alejandro Linares

student•

Me gustaria un ejempo de como usar los link correctamente.

Carlos Alejandro Salinas Hernández

student•

Para cifrar las comunicaciones utilizando TLS 1.3, debes seguir estos pasos básicos:

Configuración del servidor: Asegúrate de que tu servidor web soporte TLS 1.3. Esto a menudo implica actualizar el software del servidor (Ej. Nginx, Apache) y configurarlo para habilitar TLS 1.3.
Instalación de un certificado SSL/TLS: Obtén un certificado válido de una autoridad certificadora (CA). Esto establece la confianza en tu servidor.
Configuración del cifrado: En tu archivo de configuración del servidor, habilita TLS 1.3 y define las suites de cifrado que deseas usar. Asegúrate de que solo se permitan las suites seguras.
Pruebas: Utiliza herramientas como SSL Labs para probar y verificar que TLS 1.3 está correctamente implementado y que tu servidor es seguro.
Mantenimiento: Mantén tu servidor actualizado para asegurarte de que siempre esté protegido contra vulnerabilidades.

Implementar TLS 1.3 mejora la seguridad de tu comunicación al ofrecer cifrado más robusto y eficiencia en la conexión.

Alfonso Galeano Conde

student•

Genial, gracias.

Angel Alberto Briceño Obregón

student•

Para evitar DNS Spoofing, configura un swtich administrable que permita que un solo puerto físico de red reciba peticiones UDP/TCP 53, con ello evitas un ataque de Rogue DNS. Así mismo podrías aumentar la seguridad configurando un sistema de DNSSec.

John Fredy Ramirez Bedoya

student•

Man-in-the-middle o Hombre en el medio: El MitM es un ciberataque que permite interceptar la comunicación user-application. Su objetivo es capturar información sensible t de alto riesgo.

Tipos de MitM

Spoofing de IP: Se alteran los packet headers para suplantar una dirección IP.
Spoofing de ARP: Al suplantar el Protocolo de Resolución de Direcciones (ARP), el atacante utiliza mensajes ARP falsos para vincular su dirección MAC (dirección de control de acceso a medios) con la dirección IP legítima de la víctima.
Spoofing de DNS: También conocido como envenenamiento de la caché del DNS, sucede cuando un hacker altera un servidor DNS (servidor de nombres de dominio) para redirigir el tráfico de la víctima a un sitio web fraudulento que se parece mucho al sitio web previsto.

Ciber-Controles

Alertas en navegadores.
Logging-out obligatorio, consiste en cerrar la sesión cuando no se utilice.
Uso de VPN
Cifrar comunicaciones. Utilizar TLS 1.3 o superior con algoritmos de cifrado robusto.

Qué es un ataque Man-in-the-Middle (MITM) Definición y prevención https://www.pandasecurity.com/es/mediacenter/seguridad/ataque-man-in-the-middle/

Ángel Adolfo Ramírez Tobar

student•

MitM

Un ciberataque que permite interceptar la comunicación entre el usuario y la aplicación. Capturando información sensible y/o de alto riesgo.

Tipos de MitM:

IP Spoofing - Se alteran los encabezados de paquetes para suplantar una dirección IP.

ARP Spoofing - Enlaza una MAC Address con la dirección IP de usuario legítimo.

DNS Spoofing - Infiltra un DNS Server, alterando los registros de direcciones web

Evitar estos Ciberataques: Alertas: No omitir las alertas que arroja el navegador. (Loggin-out obligatorio): Sí no se está utilizando una aplicación, cerrar la sesión.

VPN: Sí hay alguien interceptando la comunicación, hay un canal cifrado por lo que el ciberdelincuente no podrá obtener la información. Cifrar Comunicaciones: Utilizar TLS1.3 + con algoritmos de Cifrado robustos.

El TLS es la siguiente generación del Certificado SSL : permite y garantiza el intercambio de datos en un entorno securizado y privado entre dos entes, el usuario y el servidor, mediante aplicaciones como HTTP, POP3, IMAP, SSH, SMTP o NNTP. Nos referimos al TLS como la evolución del SSL dado que está basado en éste último certificado y funciona de manera muy similar, básicamente: encripta la información compartida.

El atacante para realizar MitM puede utiliza herramientas como Ettercap.

Cesar Victoria Ramírez

student•

Carlos Alejandro Salinas Hernández

student•

Me uno al consejo de Jefferson, los ejemplos se ven un poco pixeleados o borrosos, ese comentario fue hace dos años espero que puedan resolver esas cuestiones!

Juan Carlos Pinzón

student•

En el Ciner-control que menciona "Cifrar comunicaciones", también lo conocemos en la industria como cifrado en transito. En donde a pesar de que usemos https en el caso de las webs, la data que viaja o "request body" va cifrada por lo general con llaves asímetricas, por lo que solo el server y el cliente podrán descifrar.

Alejandro Barraza Montaño

student•

Recordemos que los ciber delincuentes ya están consiguiendo certificados de seguridad auténticos para sus páginas

Emanuel Mustapha

student•

Asi es amigo

Jorge Puentes

student•

disculpa. Estoy en la clase Man in the middle pero se paralizo? Que puede estar pasando gracias

Juan José Torres

Team Platzi•

¿Te sigue sucediendo?, lo puedo reproducir sin problema, ¿podría ser problema de la conexión a internet en ese momento?

Guillermo Alomia Monjaraz

student•

Juan David Ramos Cifuentes

student•

Una VPN (Red Privada Virtual) se utiliza para crear una conexión segura y cifrada a través de una red menos segura, como Internet. Su función principal es proteger los datos al encriptar la información que se transmite entre el usuario y el servidor, lo que dificulta que ciberdelincuentes intercepten y accedan a información sensible. Además, permite ocultar la dirección IP del usuario, proporcionando un nivel adicional de anonimato y seguridad. Esto es particularmente relevante para mitigar ciberamenazas como Man in the Middle.

MARIA TERESA PANIAGUA RIVERA

student•

gracia

Marco Castillo B.

student•

Por eso hay que evitar tener encendido el bluetooth todo el tiempo o conectarse a redes libres, como la de los aeropuertos.

Horacio Quindt

student•

Las calificaciones de "D" a "F" indican que el servidor SSL/TLS tiene graves problemas de seguridad que podrían hacer que la información confidencial sea vulnerable a los ataques.