Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad Última actualización: 25 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Un ataque man-in-the-middle (MITM) se produce cuando un actor malintencionado interrumpe una conversación de red establecida o una transferencia de datos. El atacante se sitúa en medio de la ruta de transferencia y luego finge o actúa como un participante legítimo en la conversación

En la práctica, los atacantes se sitúan entre las solicitudes entrantes y las respuestas salientes. Como usuario, usted seguirá creyendo que está hablando directamente con el servidor o la aplicación web de destino legítimos, como Facebook, Twitter, un banco en línea y otros. Sin embargo, en realidad, estará enviando solicitudes al hombre en el medio, que luego habla con su banco o aplicación en su nombre

man-in-the-middle - ataque MITM
Imagen de Imperva

Como tal, el hombre en el medio lo verá todo, incluidas todas sus peticiones y las respuestas que reciba del servidor de destino o meta. Además de ver toda la conversación, el hombre en el medio puede modificar sus peticiones y respuestas, robar sus credenciales, dirigirle a un servidor que controle o realizar otros ciberdelitos.

Por lo general, el atacante puede interceptar el flujo de comunicaciones o los datos de cualquiera de las partes de la conversación. A continuación, el atacante puede modificar la información o enviar enlaces o respuestas maliciosas a ambos participantes legítimos. En la mayoría de los casos, esto puede pasar desapercibido durante algún tiempo, hasta que más tarde se produzca un gran daño.

Técnicas habituales de ataque man-in-the-middle

Esnifado de paquetes: - El atacante utiliza diversas herramientas para inspeccionar los paquetes de red a bajo nivel. El sniffing permite a los atacantes ver paquetes de datos a los que no están autorizados a acceder

Inyección de paquetesLos atacantes inyectan paquetes maliciosos en los canales de comunicación de datos. Antes de la inyección, los delincuentes utilizarán primero el sniffing para identificar cómo y cuándo enviar los paquetes maliciosos. Tras la inyección, los paquetes maliciosos se mezclan con los válidos en el flujo de comunicación

Secuestro de sesión: En la mayoría de las aplicaciones web, el proceso de inicio de sesión crea un testigo de sesión temporal para que el usuario no tenga que seguir tecleando la contraseña en cada página o en cualquier solicitud futura. Desgraciadamente, un atacante que utilice diversas herramientas de sniffing puede identificar y utilizar el testigo de sesión, que ahora puede utilizar para realizar peticiones haciéndose pasar por el usuario legítimo

Desconexión SSL: Los atacantes pueden utilizar la técnica de desprotección SSL para interceptar los paquetes legítimos, modificar las peticiones basadas en HTTPS y dirigirlas al destino HTTP equivalente inseguro. En consecuencia, el host empezará a realizar una petición sin cifrar al servidor, exponiendo así los datos sensibles como texto sin formato fácil de robar

Consecuencias de los ataques MITM

Los ataques MITM son peligrosos para cualquier organización, ya que pueden provocar pérdidas financieras y de reputación.

Por lo general, los delincuentes pueden obtener y utilizar indebidamente la información sensible y privada de la organización. Por ejemplo, pueden robar credenciales como nombres de usuario y contraseñas, datos de tarjetas de crédito y utilizarlos para transferir fondos o realizar compras no autorizadas. También pueden utilizar las credenciales robadas para instalar programas maliciosos o robar otra información sensible, que pueden utilizar para chantajear a la empresa.

Por este motivo, es fundamental proteger a los usuarios y los sistemas digitales para minimizar los riesgos de los ataques MITM

Herramientas de ataque MITM para los equipos de seguridad

Además de utilizar soluciones y prácticas de seguridad fiables, debe utilizar las herramientas necesarias para comprobar sus sistemas e identificar las vulnerabilidades que pueden aprovechar los atacantes. Para ayudarle a hacer la elección correcta, aquí tiene algunas de las herramientas HTTP de ataque MITM para investigadores de seguridad

Hetty

Hetty es un rápido conjunto de herramientas HTTP de código abierto con potentes funciones para ayudar a los investigadores de seguridad, a los equipos y a la comunidad de bug bounty. La ligera herramienta con interfaz web Next.js incorporada comprende un proxy HTTP man in the middle

Herramienta de ataque mitm Hetty

Características principales

  • Le permite realizar una búsqueda de texto completa
  • Dispone de un módulo emisor que le permite enviar solicitudes HTTP manualmente basándose en las solicitudes desactivadas del registro del proxy o creándolas desde cero.
  • Dispone de un módulo atacante que le permite enviar peticiones HTTP automáticamente
  • Instalación sencilla e interfaz fácil de usar
  • Envíe manualmente las peticiones HTTP ya sea empezando desde cero, elaborando la petición, o simplemente copiando desde el registro del proxy.

Bettercap

Bettercap es una herramienta completa y escalable de reconocimiento y ataque de redes

Esta solución fácil de usar proporciona a los ingenieros inversores, expertos en seguridad y equipos rojos todas las funciones para probar o atacar redes Wi-Fi, IP4, IP6, dispositivos Bluetooth Low Energy (BLE) y dispositivos HID inalámbricos. Además, la herramienta cuenta con capacidades de monitorización de redes y otras funciones como la creación de puntos de acceso falsos, sniffer de contraseñas, spoofer de DNS, captura de apretones de manos, etc.

Características principales

  • Un potente sniffer de red incorporado para identificar datos de autenticación y cosechar credenciales
  • potente y extensible
  • Sondea y comprueba de forma activa y pasiva hosts de red IP en busca de posibles vulnerabilidades MITM.
  • Interfaz de usuario basada en web fácil de usar e interactiva que le permite realizar una amplia gama de ataques MITM, olfatear credenciales, controlar el tráfico HTTP y HTTP, etc.
  • Extrae todos los datos que recopila, como credenciales POP, IMAP, SMTP y FTP, URLs visitadas y hosts HTTPS, cookies HTTP, datos HTTP publicados, etc. A continuación, los presenta en un archivo externo.
  • Manipule o modifique el tráfico TCP, HTTP y HTTPS en tiempo real.

Proxy.py

Proxy.py es un ligero servidor proxy WebSockets, HTTP, HTTPS y HTTP2 de código abierto. Disponible en un único archivo python, esta rápida herramienta permite a los investigadores inspeccionar el tráfico web, incluidas las aplicaciones cifradas TLS, con un consumo mínimo de recursos.

Características principales

  • Es una herramienta rápida y escalable que puede manejar decenas de miles de conexiones por segundo.
  • Dispone de funciones programables como un servidor web integrado, un proxy y personalización del enrutamiento HTTP, etc.
  • Tiene un diseño ligero que utiliza entre 5 y 20 MB de RAM. Además, se basa en las bibliotecas estándar de Python y no requiere dependencias externas.
  • Un panel de control personalizable en tiempo real que puede ampliarse mediante plugins. También le ofrece la posibilidad de inspeccionar, supervisar, configurar y controlar el proxy.py en tiempo de ejecución.
  • La herramienta segura utiliza TLS para proporcionar cifrado de extremo a extremo entre el proxy.py y el cliente.

Mitmproxy

El mitmproxy es una solución proxy HTTPS de código abierto y fácil de usar

En general, esta herramienta fácil de instalar funciona como un proxy HTTP SSL man-in-the-middle y dispone de una interfaz de consola que le permite inspeccionar y modificar el flujo de tráfico sobre la marcha. Puede utilizar la herramienta basada en línea de comandos como proxy HTTP o HTTPS para registrar todo el tráfico de la red, ver lo que solicitan los usuarios y reproducirlo. Normalmente, mitmproxy hace referencia a un conjunto de tres potentes herramientas: mitmproxy (interfaz de consola), mitmweb (interfaz basada en web) y mitmdump (versión de línea de comandos)

Características principales

  • Herramienta interactiva y fiable de análisis y modificación del tráfico HTTP
  • Una herramienta flexible, estable, fiable y fácil de instalar y utilizar
  • Le permite interceptar y modificar las peticiones y respuestas HTTP y HTTPS sobre la marcha
  • Grabe y guarde las conversaciones HTTP del lado del cliente y del lado del servidor, para luego reproducirlas y analizarlas en el futuro
  • Genere los certificados SSL/TLS para interceptarlos sobre la marcha
  • Las funciones de proxy inverso le permiten reenviar el tráfico de red a un servidor diferente.

Eructo

Eructo es una herramienta de exploración de vulnerabilidades automatizada y escalable. La herramienta es una buena elección para muchos profesionales de la seguridad. En general, permite a los investigadores probar aplicaciones web e identificar vulnerabilidades que los delincuentes pueden explotar y lanzar ataques MITM.

Utiliza un flujo de trabajo dirigido por el usuario para proporcionar una visión directa de la aplicación objetivo y de su funcionamiento. Al funcionar como un servidor proxy web, Burp se sitúa como el hombre en el medio entre el navegador web y los servidores de destino. En consecuencia, esto le permite interceptar, analizar y modificar el tráfico de solicitud y respuesta

Características principales

  • Intercepta e inspecciona el tráfico de red sin procesar en ambas direcciones entre el navegador web y el servidor
  • Rompe la conexión TLS en el tráfico HTTPS entre el navegador y el servidor de destino, lo que permite al atacante ver y modificar los datos cifrados
  • Posibilidad de utilizar el navegador integrado Burps o el navegador web estándar externo
  • Solución de escaneado de vulnerabilidades automatizada, rápida y escalable, Le permite escanear y probar aplicaciones web de forma más rápida y eficaz, identificando así una amplia gama de vulnerabilidades
  • Visualice las solicitudes y respuestas HTTP interceptadas individualmente
  • Revise manualmente el tráfico interceptado para comprender los detalles de un ataque.

Ettercap

Ettercap es un analizador e interceptor de tráfico de red de código abierto

Esta completa herramienta para ataques MITM permite a los investigadores deseccionar y analizar una amplia gama de protocolos de red y hosts. También puede registrar los paquetes de red en una LAN y otros entornos. Además, el analizador de tráfico de red polivalente puede detectar y detener ataques de intermediario

Características principales

  • Intercepta el tráfico de red y captura credenciales como contraseñas. Además, puede descifrar datos cifrados y extraer credenciales como nombres de usuario y contraseñas.
  • Adecuado para el rastreo profundo de paquetes, pruebas, supervisión del tráfico de red y filtrado de contenidos en tiempo real.
  • Admite la escucha activa y pasiva, la disección y el análisis de protocolos de red, incluidos aquellos con cifrado
  • Analiza la topología de una red y establece los sistemas operativos instalados.
  • Interfaz gráfica de usuario de fácil manejo con opciones de funcionamiento interactivas y no interactivas de la interfaz gráfica
  • utiliza técnicas de análisis como la interceptación ARP, el filtrado IP y MAC y otras para interceptar y analizar el tráfico

Prevención de ataques MITM

Identificar los ataques MITM no es muy fácil, ya que se producen lejos de los usuarios y son difíciles de detectar porque los atacantes hacen que todo parezca normal. Sin embargo, existen varias prácticas de seguridad que las organizaciones pueden utilizar para prevenir los ataques man-in-the-middle. Entre ellas se incluyen

  • Asegurar las conexiones a Internet en las redes de trabajo o domésticas, por ejemplo utilizando soluciones y herramientas de seguridad eficaces en sus servidores y ordenadores, soluciones de autenticación fiables
  • Imponiendo un cifrado WEP/WAP fuerte para los puntos de acceso
  • Asegurándose de que todos los sitios web que visita son seguros y tienen HTTPS en la URL.
  • Evitar hacer clic en mensajes de correo electrónico y enlaces sospechosos
  • Imponga HTTPS y desactive los protocolos TLS/SSL inseguros.
  • Utilice redes privadas virtuales siempre que sea posible.
  • Utilizar las herramientas anteriores y otras soluciones HTTP para identificar y solucionar todas las vulnerabilidades man-in-the-middle que puedan aprovechar los atacantes.
  • Amos Kingatua
    Autor
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder