Ataque de intermediario activo (MitM)

¿Qué es un ataque de intermediario activo?

Active man-in-the-middle (MitM) es un método de ataque que permite a un intruso acceder a información confidencial interceptando y alterando las comunicaciones entre el usuario de una red pública y cualquier sitio web solicitado.

Evitar iniciar sesión en sitios sensibles desde ubicaciones públicas puede proteger al usuario de los ataques de intermediarios convencionales. Sin embargo, en un ataque MitM activo, el perpetrador manipula las comunicaciones de tal manera que puede robar información de los sitios a los que se accede en otros momentos. El atacante puede usar esa información para el robo de identidad u otros tipos de fraude.

Un MitM activo puede realizarse de varias formas. Aquí hay un método:

  1. El atacante escucha las comunicaciones transmitidas a través de una red pública.
  2. La víctima accede a Internet a través de la red y navega a un sitio web inocuo, como un sitio de noticias convencional.
  3. El servidor del sitio web procesa la solicitud y la responde.
  4. El atacante intercepta la respuesta enviada desde el servidor e interpone un objeto IFrame dirigido al sitio elegido.
  5. Cuando el navegador del usuario recibe la respuesta comprometida, solicita de forma invisible ese sitio web junto con la cookie que almacena las credenciales del usuario para el sitio.
  6. Esta respuesta permite al atacante iniciar sesión en el sitio e interactuar de cualquier forma que pueda hacer el usuario válido.

El atacante también puede usar el envenenamiento de caché para prolongar el ataque.

Roi Saltzman y Adi Sharabani informaron sobre ataques de intermediarios activos en febrero de 2009. Aunque los investigadores enfatizan que no puede protegerse completamente de los ataques activos de MitM, ofrecen una serie de sugerencias para una navegación más segura. Saltzman y Sharabani recomiendan que antes de conectarse a una red pública, elimine todas las cookies y los archivos de caché. Eso debería significar que no hay datos que un atacante pueda robar. Cuando se desconecte de la red pública, debe repetir el proceso para que se eliminen los datos sospechosos generados durante la sesión. Los investigadores también recomiendan dedicar un navegador a la navegación pública y nunca usar ese navegador para acceder a sitios con datos confidenciales.