Skip to main content

¿Qué es un ataque de intermediarios?

Mitm 750x425 02nov15 es

Hace muchos años, su servicio telefónico local puede haberle ofrecido a usted y muchos de sus vecinos un servicio denominado party line (línea compartida). Esta configuración compartida tenía dos características. Si uno deseaba hacer una llamada, debía esperar hasta que el circuito estuviese inactivo; es decir, que todas las demás partes en el circuito compartido no estuviesen también intentando realizar llamadas. Sin embargo, más preocupante era que las otras partes en el circuito compartido podían escuchar o unirse a la llamada (fuesen o no bien recibidas) o incluso podían interrumpir cualquier conversación.

Ethernet y WiFi comparten estas mismas características, y una razón importante por la cual se alienta a todos a utilizar el cifrado es para prevenir las formas de escucha que son comunes a los medios compartidos o las líneas compartidas.

Las escuchas constituyen uno de los varios tipos de ataque que llamamos "de intermediarios". Cada ataque de intermediarios o MITM (siglas en inglés de Man in the Middle Attack) involucra a un atacante (o un dispositivo) que puede interceptar o alterar las comunicaciones entre dos partes que normalmente no son conscientes de que el atacante está presente en sus comunicaciones o transacciones. Veamos dos ejemplos de ataques MITM en Internet.

El primero se llama ataque de punto de acceso evil twin (gemelo malvado). Cuando usted intenta conectarse a una red inalámbrica, sus dispositivos Wi-Fi intentan "asociarse" a un punto de acceso (AP) cercano. Los atacantes pueden utilizar software para convertir un ordenador portátil común y corriente en un punto de acceso, y luego utilizan el nombre de un punto de acceso que usted pueda reconocer o en el cual pueda confiar para que usted o su dispositivo se conecten a este "evil twin" en lugar de conectarse a un punto de acceso "bueno" (los fanáticos de la serie original de StarTrek recordarán el episodio "Espejo, Espejo"). Una vez que su dispositivo se conecta al punto de acceso "evil twin", el atacante puede interceptar los datos de ingreso de su compañía o la información de su tarjeta de crédito, e incluso podría conectarle al sitio que desea visitar para perpetuar el engaño. El atacante puede redirigirle a sitios web, servidores de correo u otros sitios falsos donde es posible que, sin sospechar nada, usted introduzca su información personal o descargue software malicioso adicional. (Nota: Aquí Lisa Phifer ofrece dos excelentes artículos técnicos sobre ataques de punto de acceso "evil twin")

El otro se llama ataque de intermediarios en el navegador (MiTB). Imagina todo el daño que un atacante podría hacer si pudiese sentarse "dentro" de su navegador y leer o modificar lo que usted escribe o aquello que un sitio web le envía. Lamentablemente, los atacantes han ido más allá de tales escenarios imaginados. Los ataques MiTB utilizan software malicioso denominado Trojan horse (caballo de troya o "troyano") que se inserta entre su navegador y un servidor web, por lo general durante una transacción financiera o comercial en línea. El atacante puede utilizar el troyano, que puede ser un keylogger (registrador de digitación),rootkit (encubridor), un objeto de asistencia al navegador malicioso o un plug-in para robar credenciales bancarias, alterar importes de transacciones o hacer transacciones adicionales, a menudo durante sus sesiones bancarias o comerciales.

Tanto el cifrado como el software antivirus pueden ayudar, pero su mejor defensa contra los puntos de acceso twin evil es actuar con cautela cuando se conecta a las redes WiFi libres o sin seguridad. Para protegerse contra ataques MiTB, considere el uso de un software de detección anti-keylogger o rootkit, pero tenga en cuenta que este tipo de malware es comúnmente entregado a través de correos electrónicos de phishing o descargas ocultas desde sitios web incompletos o comprometidos; de modo que, antes de visitar los sitios o de abrir los hipervínculos de sus mensajes de correo electrónico, deténgase y piense.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."