Estoy seguro de que la mayoría de los que leen este blog (toc toc, ¿hay alguien? xD) saben perfectamente lo que es un ataque Man in the middle (MiTM) y se que no voy a contar nada nuevo o que no se haya dicho, pero también es verdad que hay mucha gente desconocedora de estas técnicas y que como dice mi gran amigo Angelucho hay que concienciar y ayudar al mas débil.
Por eso voy a escribir algo que sea compresible (o al menos intentarlo) sobre ello.
Estos tipos de ataque son bastante peligrosos ya que en una comunicación entre dos equipos puede haber alguien que sepa lo que se está transmitiendo, es decir, si estas enviando un correo a tu novia puede saber lo que has escrito (por poner un ejemplo).
Como me decía de pequeño mi padre (gran sabio): ¿te hago un dibujo para que lo entiendas? Pues eso.
Como podemos ver en la imagen anterior el PC1 se comunica con el PC2 de manera normal.
Pero, ¿que pasa si un intruso se pone en medio a escuchar lo que los dos equipos están hablando entre si? Pues que ese tercero se estaría interponiendo entre el trafico de origen y de destino sin que nadie se diese cuenta, de esa manera se podría enterar de la conversación, o lo que seria peor aún, modificar los datos que envía el PC1 al PC2.
Pero, ¿que pasa si un intruso se pone en medio a escuchar lo que los dos equipos están hablando entre si? Pues que ese tercero se estaría interponiendo entre el trafico de origen y de destino sin que nadie se diese cuenta, de esa manera se podría enterar de la conversación, o lo que seria peor aún, modificar los datos que envía el PC1 al PC2.
En esta segunda imagen se ve que el "malo" esta en medio de la conexión y es la forma en la que puede saber el contenido de los datos que se están transmitiendo.
El ataque mas común MiTM es el del envenenamiento ARP (ARP poisoning) que es el que se encarga de obtener la dirección MAC asociada a una dirección IP, o traducido al cristiano, cuando el PC1 se comunica con el PC2 del que sabe su dirección IP, obtiene la dirección MAC a través del protocolo ARP.
En condiciones normales solo el PC2 debería contestar con su dirección MAC.
Recapitulando, el ataque consiste en que "el malo" se conecta a la misma red en la que están conectados los dos PC´s y empieza a generar paquetes de respuesta ARP. O dicho de otra manera mas sencilla, le dice al PC1 que él (el atacante) es el PC2 y viceversa (le dice al PC2 que él es el PC1).
Cabe mencionar que si tienes un wifi abierto o mal protegido (clave WEP) facilitas en gran medida este tipo de ataques, ya que "el malo" solo tiene que conectarse a tu wifi, ejecutar un programa y capturar conversaciones, contraseñas, etc.
Los ataques MiTM son bastante difíciles de evitar (al menos en casa), por eso la forma de defensa que tenemos es la de cuidar nuestra red, es decir, tenerla lo mas segura posible. Nada de dejar sin contraseña o poner cifrado WEP, intentar ocultar el nombre de la red, hacer que sólo se puedan conectar los equipos que estén dados de alta por su MAC... Para ayudarte puedes visitar estas entradas del blog de Angelucho en las que te lo explican perfectamente para que puedas tener mayor seguridad.
El uso de una VPN -como explicó Kino en su blog de manera magistral- también ayuda a paliar este tipo de ataques ya que la conexión va cifrada entre los dos puntos (servidor y cliente) y es establecida de manera segura.
Otra de las formas sencillas para evitar los ataques MiTM pasa por vigilar las conexiones. Debemos fijarnos en que las paginas que visitamos usan HTPPS en lugar de HTTP. Para saber más al respecto también puedes visitar esta entrada del blog de Angelucho.
Ademas, ya se habló hace tiempo de la verificación en dos pasos en este blog de manos del gran Winsock, lo que aumenta la seguridad algo más, aunque tampoco es la panacea.
En condiciones normales solo el PC2 debería contestar con su dirección MAC.
Recapitulando, el ataque consiste en que "el malo" se conecta a la misma red en la que están conectados los dos PC´s y empieza a generar paquetes de respuesta ARP. O dicho de otra manera mas sencilla, le dice al PC1 que él (el atacante) es el PC2 y viceversa (le dice al PC2 que él es el PC1).
Cabe mencionar que si tienes un wifi abierto o mal protegido (clave WEP) facilitas en gran medida este tipo de ataques, ya que "el malo" solo tiene que conectarse a tu wifi, ejecutar un programa y capturar conversaciones, contraseñas, etc.
Los ataques MiTM son bastante difíciles de evitar (al menos en casa), por eso la forma de defensa que tenemos es la de cuidar nuestra red, es decir, tenerla lo mas segura posible. Nada de dejar sin contraseña o poner cifrado WEP, intentar ocultar el nombre de la red, hacer que sólo se puedan conectar los equipos que estén dados de alta por su MAC... Para ayudarte puedes visitar estas entradas del blog de Angelucho en las que te lo explican perfectamente para que puedas tener mayor seguridad.
El uso de una VPN -como explicó Kino en su blog de manera magistral- también ayuda a paliar este tipo de ataques ya que la conexión va cifrada entre los dos puntos (servidor y cliente) y es establecida de manera segura.
Otra de las formas sencillas para evitar los ataques MiTM pasa por vigilar las conexiones. Debemos fijarnos en que las paginas que visitamos usan HTPPS en lugar de HTTP. Para saber más al respecto también puedes visitar esta entrada del blog de Angelucho.
Ademas, ya se habló hace tiempo de la verificación en dos pasos en este blog de manos del gran Winsock, lo que aumenta la seguridad algo más, aunque tampoco es la panacea.
Roberto García (@1GbDeInfo)
