Los ataques llamados ‘hombre en el medio’ (MITM, por sus siglas en inglés) son maniobras molestas y sigilosas que aparecen por todas partes, desde la nube hasta SSL. Aparecen a medida que los atacantes encuentran formas de insertarse en secreto entre dos puntos de comunicación de cualquier tecnología nueva o existente.

“Cualquier ruta de comunicaciones puede tener su propia forma y medios para explotar los ataques MITM”, señaló Michael H. Davis, CISO de American Bureau of Shipping.

Podría estar en desventaja si no sabe dónde atacará próximamente. CSO presenta una serie de ataques MITM, detallando métodos para asegurar la empresa en contra de ellos. Para este popurrí de amenazas MITM, CSO da una mirada a falsos puntos de acceso Wi-Fi, sesiones secuestradas, DNS apócrifos, SSL secuestrados, envenenamiento de caché ARP, y ataques de hombre en el medio en la nube.

El ataque de falso punto de acceso Wi-Fi MITM es uno de los ataques más comunes, señaló Davis. Mediante el uso de herramientas como Kali Linux, Aircrack-ng, Wireshark, y Ettercap, un atacante captura tráfico inalámbrico, identifica a los usuarios de una red WLAN, y determina el punto de acceso que utilizan. El ladrón cibernético entonces puede desconectarlo de su conexión existente y hacer que se reconecten a una versión clonada del punto de acceso.

El secuestro de sesión se produce cuando un atacante compromete el token de seguridad de la sesión de navegador web que se produce entre el usuario final y el servidor web. Esto permite que el ladrón cibernético acceda al servidor web, al usuario, o ambos. Hay un número de maneras de hacer esto, incluyendo detección de paquetes de sesión para conseguir la ID de sesión, adivinar identificadores de sesión que no son lo suficientemente largos, y el lanzamiento de ataques ‘hombre en el medio’, que utilizan un proxy como caballo de Troya para aprovechar las comunicaciones entre el servidor y el navegador.

El DNS apócrifo se alimenta de los servidores DNS no seguros, reemplazando los nombres de dominio almacenados en caché y las asociaciones de direcciones IP utilizando IPs falsas que podrían, por ejemplo, llevar a alguien que navega en www.csoonline.com a una dirección IP designada por el atacante. Estos ataques funcionan cuando el servidor DNS no comprueba las asociaciones que recibe utilizando una autoridad legítima.

Es posible que un atacante mantenga su actividad sincronizada con la cuenta de la víctima desde cualquier lugar, en cualquier momento y sin notificarle al propietario de la cuenta.

El secuestro de SSL insinúa al atacante en el proceso de encriptado. El ataque utiliza una herramienta de demostración/prueba de ataque creada por un investigador de seguridad informática que trabaja bajo el seudónimo de Moxie Moulinsart. La herramienta ejecuta el ataque SSLStrip, que se identifica fácilmente por el hecho de que un sitio que normalmente produciría un enlace en la dirección URL que comienza con https:// ahora produce un enlace que comienza con http://.

Los ataques de envenenamiento de caché ARP tienen como objetivo el protocolo ARP que traduce las direcciones IP en direcciones MAC de los equipos asociados. Tan pronto como esta traducción se completa por primera vez, los datos de resolución de direcciones residen en una memoria caché, conocida como la caché ARP. El envenenamiento ARP envía falsas asociaciones IP a MAC en respuestas ARP, causando que los hosts de la red actualicen sus cachés ARP con información falsa, lo cual permite al atacante hacerse pasar por la máquina que tiene la verdadera dirección MAC correspondiente para dicha dirección IP y recibir datos destinados al host genuino.

Los ataques ‘hombre en la nube’ roban tokens OAuth con el fin de comprometer las herramientas de sincronización automatizada para compartir archivos. Box, Dropbox, Google Drive y OneDrive son ejemplos de estas herramientas, que sincronizan datos entre dispositivos de forma automática. Estas herramientas utilizan tokens OAuth para validar el usuario. Un atacante engaña al usuario y roba el token OAuth de su máquina. El atacante coloca el token en su propio dispositivo, y la herramienta de sincronización empieza a compartir los datos con él también. “Es posible que un atacante mantenga la actividad de sincronización con la cuenta de la víctima desde cualquier lugar, en cualquier momento y sin notificarle al titular de la cuenta”, señala Amichai Shulman, CTO y jefe del centro de defensa de aplicación de Imperva (ADC).

Silenciando el espionaje del ‘hombre en el medio’

Los puntos de acceso WiFi falsos utilizan SSID con el mismo nombre que el punto de acceso clonado, aumentan su señal por lo que son más fuertes que los puntos de acceso genuinos, y cuentan con dispositivos que utilizan la conexión automática para volver a conectar automáticamente el dispositivo al punto de acceso del mismo nombre con la señal más fuerte. Para evitar este ataque, no utilice la opción de auto conectar, sino examine los SSID disponibles y preste atención cuando dos puntos de acceso se presentan con el mismo nombre.

El secuestro de sesión aprovecha vulnerabilidades y herramientas como identidades de sesión débiles (cortas), detección de paquetes, o caballos de Troya del proxy. La empresa debe utilizar identidades fuertes para el inicio de sesión, tráfico seguro utilizando tecnologías como IPsec y VPN, y utilizar máquinas virtuales que se puedan cerrar cuando se infectan y reabrirse sin infección.

Mediante el uso de DNSSEC, y sus extensiones para asegurar DNS, las empresas pueden asegurar el DNS contra el DNS apócrifo. Para SSLStripping, tenga en cuenta las herramientas de administración de certificados basados en la versión más reciente de TLS y evite el uso de SSL. Compruebe las tecnologías de autenticación de punto final como TLS en busca de vulnerabilidades. “El sistema de cifrado RC4 en TLS es vulnerable a los ataques MITM y debe evitar utilizarlo”, anotó Shulman. Asegúrese de configurar correctamente TLS y otros métodos de autenticación.

Esto ayudará a que la empresa utilice protección por capas incluyendo un paquete profundo de herramientas para monitorear el tráfico de la red, con el fin de abordar el envenenamiento de la caché ARP y otros ataques MITM. “Esto ayudará a que la empresa identifique paquetes de sondeo y rastree las fuentes desde el principio”, señaló Davis. También es importante asegurar estas herramientas de seguridad.

Las empresas deberían considerar el uso de agentes de seguridad de acceso a la nube (CASB, por sus siglas en inglés) para frustrar ataques ‘hombre en la nube’. Estos agentes comprueban la adhesión a las políticas de seguridad empresariales existentes, que pueden separar a los atacantes de los usuarios autorizados. “La vigilancia de los patrones de acceso y uso de servicios en la nube de la empresa por los usuarios de la empresa mediante un CASB puede detectar anomalías con eficacia y en tiempo real”, finalizó Shulman.

– David Geer, CSO (EE.UU.)