Un atacante en ruta se interpone entre las víctimas y los servicios a los que intentan acceder, a menudo con el fin de robar datos.
Después de leer este artículo podrás:
Contenido relacionado
¿Seguridad de aplicaciones web?
Falsificación de solicitud entre sitios
Ataque por fuerza bruta
¿Qué es el desbordamiento del búfer?
¿Qué es la inyección de código SQL?
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Los atacantes en ruta se sitúan entre dos dispositivos (con frecuencia, un navegador web y un servidor web), e interceptan o modifican las comunicaciones entre ambos. Los atacantes pueden entonces recopilar información, así como hacerse pasar por cualquiera de los dos agentes. Además de los sitios web, estos ataques pueden dirigirse a las comunicaciones por correo electrónico, a las búsquedas de DNS y las redes WiFi públicas. Los objetivos típicos de los atacantes en ruta incluyen negocios SaaS, negocios de comercio electrónico y usuarios de las aplicaciones financieras.
Podemos pensar que un atacante en ruta es como un empleado de correos deshonesto, que se sienta en una oficina de correos e intercepta las cartas que se escriben dos personas. Este empleado de correos puede leer los mensajes privados e incluso editar el contenido de esas cartas antes de pasarlas a sus destinatarios.
En un ejemplo más actual, un atacante en ruta puede situarse entre un usuario y el sitio web que quiere visitar, y recopila su nombre de usuario y contraseña. Esto puede hacerse atacando a la conexión HTTP entre el usuario y el sitio web; el secuestro de esta conexión permite al atacante actuar como proxy, recopilando y modificando la información que se envía entre el usuario y el sitio. De forma alternativa, el atacante puede robar las cookies del usuario (pequeños datos creados por un sitio web y almacenados en el ordenador del usuario para su identificación y otros fines). Estas cookies robadas pueden utilizarse para secuestrar la sesión de un usuario, lo cual permite al atacante hacerse pasar por ese usuario en el sitio.
Los atacantes en ruta también pueden centrarse en los servidores DNS. El proceso de búsqueda de DNS es lo que permite a los navegadores web encontrar sitios web al traducir nombres de dominio a direcciones IP. En los ataques en ruta de DNS como el spoofing de DNS y el secuestro de DNS, un atacante puede comprometer el proceso de búsqueda de DNS y enviar a los usuarios a los sitios equivocados, a menudo sitios que distribuyen malware y/o recopilan información sensible.
Otro ataque común es el secuestro de correos electrónicos, que los atacantes en ruta utilizan para infiltrarse en los servidores de correo electrónico al colocarse entre un servidor de correo electrónico y la web. Una vez que se ha puesto en riesgo el servidor, los atacantes pueden vigilar las comunicaciones por correo electrónico con diversos fines. Una de estas estafas consiste en esperar a que una persona necesite transferir dinero a otra (por ejemplo, un cliente que paga a una empresa). Los atacantes pueden entonces utilizar una dirección de correo electrónico falsa para solicitar que el dinero se transfiera a la cuenta del atacante. El correo electrónico le parecerá legítimo e inofensivo al destinatario ("¡Perdón, había una errata en mi último correo! Mi número de cuenta es en realidad: XXX-XXXX"), lo que hace que este ataque sea muy eficaz y financieramente devastador. En 2015, una red de ciberdelincuencia de Bélgica utilizó el secuestro de correos electrónicos para robar más de 6 millones de euros a varias empresas europeas.
Los ataques en ruta se perpetran con frecuencia a través de redes WiFi. Los atacantes pueden crear redes WiFi maliciosas que parecen inofensivas o que sean clones de redes WiFi legítimas. Una vez que un usuario se conecta a la red WiFi en riesgo, un atacante en ruta puede vigilar la actividad en línea de ese usuario. Los atacantes más sofisticados pueden incluso redirigir el navegador del usuario a copias falsas de sitios web legítimos.
Debido que los atacantes en ruta utilizan varios métodos, no existe una solución única para estos ataques. Una de las formas fundamentales de protegerse contra los ataques dirigidos al tráfico HTTP es adoptar SSL/TLS, que crea conexiones seguras entre los usuarios y los servicios web. Por desgracia, esta no es una solución infalible, ya que los atacantes más sofisticados en ruta pueden burlar la protección SSL/TLS. Para protegerse todavía más contra este tipo de ataques, algunos servicios web implementan la Seguridad de transporte estricta de HTTP (HSTS), que fuerza las conexiones seguras SSL/TLS con cualquier navegador o aplicación, mediante el bloqueo de cualquier conexión HTTP no segura y evitando así también el robo de cookies. Más información sobre HSTS en el blog de Cloudflare.
Los certificados de autenticación también pueden utilizarse para protegerse contra estos ataques. Una organización puede implementar la autenticación basada en certificados en todos sus dispositivos, de modo que solo los usuarios con certificados correctamente configurados puedan acceder a su sistema.
Para evitar el secuestro de correos electrónicos, se pueden utilizar las Extensiones multipropósito de correo de Internet (S/MIME). Este protocolo encripta los correos electrónicos y permite a los usuarios firmar digitalmente los correos con un Certificado digital único, lo cual permite que el receptor sepa que el mensaje es legítimo.
Los usuarios individuales también pueden protegerse de los atacantes en ruta si evitan enviar cualquier información confidencial en cualquier red WiFi pública a menos que estén protegidos por una red privada virtual (VPN) segura.