Adversary in the middle (AiTM) - Ataque de intermediario

Un ataque de intermediario (adversary in the middle o AiTM) es un tipo de espionaje y robo de datos, en el que un atacante intercepta datos de un remitente a un destinatario, y después de un destinatario de vuelta al remitente. Se llama de intermediario porque el dispositivo del atacante se posiciona entre el remitente y el destinatario, y transmite mensajes de manera furtiva sin notificar a ninguna de las partes acerca del espionaje. El atacante típicamente está situado en la misma red que el usuario objetivo, pero el espionaje se puede hacer en una red remota si los datos atraviesan la ruta donde el atacante está ubicado. Usando un AiTM, un atacante puede obtener contraseñas, información personal de identificación (PII), propiedad intelectual, mensajes privados y secretos comerciales. En ataques avanzados, el atacante podría potencialmente instalar malware en el dispositivo de un usuario objetivo.

Cualquier método que permita a un atacante leer comunicaciones externas entre dos personas se considera un AiTM o Adversary in the middle. Es fundamental que el atacante no sea detectado, así que los atacantes suelen infiltrarse en una red o cuenta personal para leer información mientras las dos partes se comunican entre sí, y no hacen nada que pueda alertarles de la actividad del atacante. Un buen AiTM le brinda al atacante meses enteros para leer información antes de que lo detecten.

El método más común es el envenenamiento de protocolo de resolución de direcciones (ARP, del inglés Address Resolution Protocol), generalmente en una red wifi pública. Mientras está en la red, el atacante envía un mensaje al dispositivo del usuario objetivo, que le dice que use el dispositivo del atacante como puerta de enlace predeterminada. Después, el atacante envía un mensaje de envenenamiento de ARP a la puerta de enlace predeterminada (que suele ser el router wifi), en el que dice que la dirección IP del usuario objetivo debe asociarse con el dispositivo del atacante, y no con el del usuario objetivo. Esto pone al dispositivo del atacante en “medio” de la comunicación entre el usuario objetivo y la puerta de enlace predeterminada, lo que permite al atacante interceptar los datos. En otras palabras, el dispositivo del atacante actúa como un proxy, similar a un servidor proxy.

Si los datos están en texto legible o cleartext (sin conexión HTTPS), el atacante tendrá acceso a cualquier dato intercambiado entre las dos partes. Por ejemplo, si un usuario se autentica en una aplicación usando HTTP, el nombre de usuario y contraseña serían interceptados y visibles al atacante.

Incluso las conexiones HTTPS no están completamente seguras de un ataque AiTM. Si el servidor acepta conexiones criptográficas descontinuadas que usan bibliotecas como TLS 1.0, los datos cifrados interceptados podrían ser vulnerables ante ataques de fuerza bruta, donde un atacante puede transformarlo en cleartext. Con este método, el atacante envía mensajes envenenamiento de ARP al servidor del remitente y el destinatario, pero degrada la conexión HTTPS a una biblioteca insegura y engaña al dispositivo del usuario para que degrade el algoritmo de cifrado. Esta degradación es invisible para el usuario, de modo que éste no es consciente de que la conexión HTTPS no es segura. A medida que los datos se van pasando mediante HTTPS, el atacante sigue siendo capaz de descifrarlos y leer comunicaciones.

Si bien el envenenamiento de ARP se suele conocer como ataque adversary in the middle, otros tipos de intercepción de datos también brindan a los atacantes la capacidad de leer comunicaciones privadas entre ambas partes.

Las cinco categorías principales de los ataques de AiTM son:

• Secuestro de correo electrónico: Los mensajes de correo electrónico enviados en texto legible están abiertos al espionaje, pero un atacante también puede leer mensajes si obtiene la contraseña y nombre del usuario objetivo para la cuenta de correo electrónico. El atacante puede esperar silenciosamente leyendo mensajes hasta que la información delicada, como las transacciones financieras, se transfiere, y después usar la dirección de correo electrónico del usuario objetivo para enviar un mensaje que redireccionará las transferencias de dinero a la cuenta bancaria del atacante.
• Espionaje de wifi: Una conexión de wifi mal asegurada puede estar sujeta a ataques de AiTM usando un método llamado “envenenamiento de ARP”. El dispositivo de los atacantes se usa como la puerta de enlace predeterminada entre el remitente y el router wifi, donde los datos se pueden interceptar y leer. Los atacantes también usan redes malintencionadas propias para engañar a los usuarios y hacer que se conecten y redirijan sus comunicaciones a través de la red controlada por el atacante.
• Secuestro de sesiones: Cuando los usuarios se conectan a un servidor, se crea una sesión única que identifica al usuario en el servidor. Los atacantes con acceso al token de esta sesión pueden suplantar al usuario y leer datos en una aplicación web.
• Spoofing de IP: Usando una dirección IP fraudulenta, un atacante puede redireccionar tráfico de una página web oficial a un servidor controlado por un atacante.
• Spoofing de DNS: Similar al spoofing de IP, el spoofing de DNS altera la dirección de registro de una página web para redireccionar el tráfico a un servidor controlado por el atacante. Cualquier información enviada a este servidor es interceptada por el atacante, sin el conocimiento de los usuarios engañados.

Cada vez más usuarios acceden a internet sin un dispositivo móvil, por lo que los ataques de AiTM suelen ir orientados a sistemas operativos iOS o Android. Los atacantes pueden inyectar código en una aplicación, usar aplicaciones malintencionadas para interceptar datos o instalar sus propios proxys para leer datos entre un dispositivo y una API remota. Por ejemplo, los proxies malintencionados podrían usarse para leer mensajes en Tinder o Twitter. Después se comenzó a usar el pinning de certificados para atajar esto, pero los atacantes siguen usando aplicaciones malintencionadas para leer datos antes de que se haga una conexión remota y antes de que los datos se encripten.

El troyano bancario Retefe fue creado para interceptar datos entre los remitentes y los servidores financieros. El malware afectaba a los principales navegadores, como Chrome, Firefox e Internet Explorer, que la mayoría de los usuarios usaban en ordenadores de sobremesa. Instala un certificado falso y redirecciona el tráfico a un servidor controlado por el atacante, usado como el proxy predeterminado en la configuración del navegador. Los datos del usuario se recopilan en el servidor del atacante y se descifran allí. El malware Retefe se usaba como vector de ataque para transacciones bancarias en la mayoría de las instituciones financieras, pero sus principales objetivos eran bancos en Japón, Suiza, Reino Unido y Suecia.

Como los ataques de AiTM son invisibles para el usuario objetivo, es fundamental que los usuarios tomen las precauciones necesarias para evitarlos. También es responsabilidad del desarrollador de la aplicación garantizar que su software no sea vulnerable ante ataques de AiTM. En algunos casos, los usuarios no podrían evitar un ataque de intermediario, debido a la manera en que está codificada la aplicación.

Algunos métodos para evitar caer víctima de un ataque AiTM:

• Usar la autenticación de dos factores en las cuentas de correo electrónico. Si un atacante obtiene las credenciales de acceso para su cuenta, una autenticación exitosa no será posible si el atacante no tiene acceso al PIN de 2FA.
• Usar las herramientas de análisis de tráfico de la red. Estas herramientas ayudan a los administradores a identificar tráfico sospechoso y brindan herramientas de análisis de uso de puertos y protocolos entre usuarios y dispositivos.
• Usar el pinning de certificados en aplicaciones móviles. El pinning de certificados pone en una lista blanca las certificaciones aprobadas, lo que bloquea el uso de cualquier certificado controlado por el atacante dentro de la aplicación. El pinning de certificados es responsabilidad del desarrollador de la aplicación.
• Usar VPN en redes wifi públicas. Con una VPN, un atacante podrá interceptar los datos, pero no será capaz de leerlos o cambiar a un protocolo de cifrado inferior, porque la VPN usa sus propios algoritmos de cifrado para encapsular los datos y transferirlos por internet.
• Dar formación a los empleados acerca de los peligros del phishing. Algunos ataques de AiTM y de malware comienzan con ataques de phishing. Capacitar a los empleados para identificar a los ataques de phishing para que no instalen malware o envíen credenciales a los atacantes.
• Integración de la seguridad para correo electrónico. Los filtros de correo electrónico detectan la mayoría de los ataques de phishing o mensajes con archivos adjuntos malintencionados y los envían a un almacenamiento de cuarentena seguro, donde un administrador puede revisarlos.
• Nunca conectarse a una red wifi desconocida. Los atacantes usan redes malintencionadas con nombres similares a los de una fuente oficial. Los usuarios nunca deben conectarse a una red wifi pública sin antes verificar que realmente sea propiedad del proveedor oficial.