¡Cuidado! Así te espían con un ataque Man in the Middle

Si alguna vez te has preguntado por qué es tan importante tener un buen antivirus Windows, este artículo te lo va a dejar más que claro. 

Hoy vamos a hablar de un tema que, aunque parezca sacado de una película de espías, es muy real: los ataques "Man in the Middle" (MITM). Pero tranquilo, no me voy a poner en plan técnico “friki”; voy a explicártelo como si estuviéramos tomando el té en el porche de tu casa.

¿Qué es un ataque Man in the Middle (MITM)?

Un ataque Man in the Middle, como su nombre indica, consiste en que un atacante se coloca "en el medio" de la comunicación entre dos dispositivos (por ejemplo, tu ordenador y tu router). De esta forma, puede interceptar y manipular la información que se está transmitiendo. Imagina que mandas un mensaje a un amigo, y alguien se mete en el camino, lee el mensaje, lo cambia y lo reenvía. Pues eso, pero con datos importantes como contraseñas o información bancaria.

A lo largo del tiempo, he aprendido que este tipo de ataques son sorprendentemente fáciles de ejecutar si el atacante tiene los conocimientos y herramientas adecuadas. Es por eso que creo que entender cómo funcionan es el primer paso para protegerte.

Antes de seguir entrando en materia, vamos a refrescar algunos conceptos básicos y su papel en un ataque MITM.

¿Qué son y para qué sirven las direcciones IP?

Las direcciones IP son como las "direcciones postales" de los dispositivos conectados a una red. Cada dispositivo que se conecta a Internet tiene una dirección IP que permite identificarlo y establecer comunicación con otros equipos. Por ejemplo, cuando visitas una página web, tu dispositivo usa su dirección IP para pedir información al servidor donde está alojada la web.

Tipos principales de direcciones IP: IPv4 e IPv6

Las IPv4 son las más comunes y están formadas por cuatro bloques de números (por ejemplo, 192.168.1.1). Sin embargo, debido al crecimiento exponencial de dispositivos conectados, las direcciones IPv4 empezaron a escasear, lo que llevó al desarrollo de IPv6. 

En las IPv6 su protocolo utiliza un formato más largo y complejo (por ejemplo, 2001:0db8:85a3:0000:0000:8a2e:0370:7334), permitiendo una cantidad casi ilimitada de direcciones únicas.

Otro aspecto clave es la división entre direcciones IP públicas y privadas. Las IP públicas son únicas en toda la red global de Internet y son asignadas por los proveedores de servicios de Internet (ISP). Por otro lado, las IP privadas se utilizan dentro de redes locales, como las de tu casa u oficina, y no son accesibles desde fuera de esa red.

En el contexto de un ataque Man in the Middle, las direcciones IP juegan un papel clave porque el atacante necesita conocerlas para poder interceptar el tráfico. Por ejemplo, podría monitorear las IP activas en una red para identificar posibles objetivos. Una vez identificada la IP de la víctima, el atacante puede redirigir los datos hacia su equipo y hacerse pasar por el destino original. Además, los atacantes pueden usar herramientas como escáneres de red (nmap, Angry IP Scanner, etc.) para mapear dispositivos conectados y encontrar vulnerabilidades que puedan explotar.

Esta comprensión de las direcciones IP también resulta fundamental para implementar medidas de seguridad, como la configuración de cortafuegos o el uso de VPN, que ocultan tu IP pública y dificultan que los atacantes identifiquen tu dispositivo.

¿Qué son y cómo funcionan las direcciones MAC?

Las direcciones MAC son identificadores únicos asignados a cada dispositivo que puede conectarse a una red. A diferencia de las direcciones IP, que pueden cambiar dependiendo de la red a la que te conectes, las direcciones MAC son permanentes y están asociadas al hardware del dispositivo (como la tarjeta de red).

Una dirección MAC está compuesta por 48 bits, divididos en seis grupos de dos caracteres hexadecimales, como "00:1A:2B:3C:4D:5E". Los primeros tres grupos suelen identificar al fabricante del dispositivo, mientras que los tres restantes son únicos para cada pieza de hardware. Esta estructura garantiza que no haya dos dispositivos con la misma dirección MAC en el mundo.

Durante un ataque MITM, los hackers pueden suplantar una dirección MAC para que el tráfico de la víctima pase por su dispositivo. Esto se logra mediante técnicas como el ARP Spoofing, donde el atacante engaña al dispositivo objetivo para que envíe datos a su dirección MAC en lugar de al router. Por ejemplo, un atacante podría configurar su equipo para que simule ser el router, interceptando todo el tráfico y permitiendo la captura de datos sensibles. Además, pueden usar herramientas como Ettercap o Bettercap para automatizar este proceso y realizar ataques a escala.

Las direcciones MAC también son fundamentales para identificar dispositivos dentro de una red. En redes grandes, como las de oficinas, universidades o cafeterías con WiFi público, esta información puede ser explotada para ataques dirigidos. Por ejemplo, un atacante podría monitorear qué dispositivos están activos en la red y elegir como objetivo aquellos que parecen más vulnerables, como un portátil con software desactualizado o un teléfono sin antivirus.

Aunque las direcciones MAC son permanentes, también se pueden modificar temporalmente en algunos sistemas operativos, un proceso conocido como "MAC spoofing". Esto se utiliza tanto en ciberseguridad ofensiva como defensiva. Por ejemplo, un usuario podría cambiar su dirección MAC para ocultar su identidad en una red WiFi pública, pero los hackers también lo emplean para hacerse pasar por dispositivos de confianza dentro de una red.

Por eso, el conocimiento y la protección de estos identificadores son cruciales. Algunas medidas de seguridad incluyen el uso de filtros de direcciones MAC en routers y la configuración de redes seguras que solo permitan conexiones desde dispositivos previamente autorizados. Estas prácticas, aunque no infalibles, dificultan significativamente los intentos de intrusión en la red.

¿Qué es y para qué sirve un DNS?

El DNS (Sistema de Nombres de Dominio) es como la agenda de contactos de Internet. Cuando introduces "facebook.com" en tu navegador, el DNS traduce ese nombre de dominio en una dirección IP que los dispositivos pueden entender. Sin este sistema, tendrías que recordar direcciones IP complejas en lugar de nombres sencillos. El DNS simplifica la navegación y permite que los usuarios accedan fácilmente a recursos en la web.

El funcionamiento del DNS implica varios pasos. Cuando escribes un nombre de dominio en el navegador, este envía una consulta a un servidor DNS. Este servidor busca en su base de datos la dirección IP correspondiente al dominio solicitado. Si no tiene la información, consulta a otros servidores hasta encontrarla. Una vez localizada, el navegador usa esa dirección IP para conectarse al servidor donde está alojada la página web.

El DNS tiene diferentes tipos de registros que cumplen funciones específicas. Algunos ejemplos son:

• A (Address): Asocia un nombre de dominio con una dirección IPv4.
• AAAA: Similar al registro A, pero para direcciones IPv6.
• CNAME (Canonical Name): Redirige un dominio a otro, como un alias.
• MX (Mail Exchange): Especifica los servidores de correo electrónico para un dominio.
• TXT: Almacena información de texto para diversos usos, como la verificación de dominios.

En un ataque MITM, los hackers pueden manipular el DNS para redirigir a la víctima a páginas falsas. Por ejemplo, si intentas entrar a tu banco, podrías acabar en una copia de la web diseñada para robar tus credenciales. Esto es lo que se conoce como DNS Spoofing, y es una de las técnicas más utilizadas en este tipo de ataques. Estos ataques también pueden alterar los registros DNS para redirigir el tráfico de varios dominios hacia servidores maliciosos controlados por los atacantes.

Además de DNS Spoofing, existen otros tipos de ataques relacionados con el DNS, como el DNS Cache Poisoning, donde se envenenan las entradas almacenadas en la caché de un servidor DNS. Esto permite a los atacantes redirigir a los usuarios hacia sitios fraudulentos sin necesidad de acceder directamente a sus dispositivos.

Los atacantes también pueden modificar la configuración DNS de un dispositivo para que todos los nombres de dominio apunten a servidores controlados por ellos. Este tipo de manipulación permite no solo el robo de datos, sino también la inserción de malware o publicidad no deseada en las conexiones de la víctima. Por eso, es vital conocer cómo funcionan estos sistemas y cómo protegerlos.

Para evitar estos problemas, es recomendable:

• Utilizar servidores DNS seguros, como los de Google (8.8.8.8) o Cloudflare (1.1.1.1).
• Configurar el router para evitar cambios no autorizados en sus ajustes DNS.
• Utilizar herramientas de ciberseguridad, como antivirus y sistemas de detección de intrusos, que puedan identificar manipulaciones DNS.

El DNS es una pieza clave en el funcionamiento de Internet, pero también representa un punto vulnerable si no se toman las precauciones adecuadas. Comprender cómo opera y qué riesgos implica es esencial para navegar de forma segura.

Pasos del ataque MITM

Primer paso: ARP Spoofing

Para que un ataque MITM funcione, primero hay que engañar a la máquina víctima. Esto se hace envenenando las tablas ARP (un protocolo que asocia direcciones IP con direcciones MAC). En palabras simples, las tablas ARP son como una lista de contactos que indican qué dispositivo pertenece a cada dirección en una red local. Envenenar estas tablas consiste en alterar esta lista para que la máquina víctima envíe los datos al dispositivo del atacante en lugar de al destino real.

En una de mis pruebas, conecté una máquina Windows a mi red local y configuré mi equipo con Kali Linux como "intermediario". El truco consistió en hacer que la máquina Windows pensara que mi ordenador era el router. Para lograrlo, utilicé herramientas como Bettercap, que automatiza el proceso de enviar respuestas ARP falsas a la máquina víctima.

Es algo así como disfrazarte de repartidor para que te den las cartas de otra persona. Una vez conseguí esto, todo el tráfico de la máquina víctima pasaba por mi equipo. Desde allí, pude ver cosas como qué páginas web visitaba o incluso datos enviados a través de formularios, como nombres de usuario y contraseñas.

Además, el ARP Spoofing no solo permite interceptar tráfico, sino también modificarlo. Esto significa que un atacante podría alterar las respuestas de un servidor antes de que lleguen a la máquina víctima. Por ejemplo, podría cambiar enlaces en una página web para redirigir al usuario a sitios maliciosos.

APPs gratuitas para Spoofing

El ARP Spoofing es el primer paso de muchos ataques MITM, y es asombroso cómo herramientas gratuitas pueden hacer esto en cuestión de minutos. Entre las más populares están:

• Bettercap: Una herramienta muy potente que permite realizar ataques de ARP Spoofing de manera rápida y automatizada. Además, incluye módulos adicionales para DNS Spoofing y otras técnicas avanzadas.
• Ettercap: Ideal para principiantes y profesionales, esta herramienta ofrece una interfaz fácil de usar y es compatible con varios sistemas operativos.
• Wireshark: Aunque su función principal es analizar tráfico de red, también se utiliza para detectar vulnerabilidades y ataques en tiempo real.

Esta facilidad es lo que hace que este tipo de ataques sean tan comunes. Por eso, protegerse contra este tipo de amenazas es crucial. Una buena estrategia es implementar medidas de seguridad como el uso de redes segmentadas, filtros ARP en el router y protocolos seguros como HTTPS que cifran la comunicación incluso si el atacante intercepta los datos.

Segundo paso: DNS Spoofing

Aquí viene la parte más curiosa y, también, la más peligrosa. Una vez que el tráfico está bajo control, puedes redirigirlo a donde quieras. Por ejemplo, si la víctima intenta acceder a "facebook.com", en lugar de ir al Facebook real, puede acabar en una página falsa que yo haya creado.

Recuerdo la primera vez que probé esto (con fines educativos, por supuesto). Creé una página de inicio de sesión que imitaba a Facebook, con un diseño bastante simple. Cuando ingresó un nombre de usuario y contraseña ficticia, esa información llegó directamente a mi equipo. Lo impresionante es lo sencillo que es configurar algo así con herramientas como Apache y Bettercap.

El DNS Spoofing permite no solo redirigir cualquier dominio popular, desde servicios de correo electrónico hasta plataformas de comercio electrónico, sino también interceptar y manipular el tráfico a gran escala. En ataques más avanzados, se pueden alterar respuestas DNS para redirigir no solo a una página falsa, sino a servidores con malware que infecten automáticamente el dispositivo de la víctima.

Otro riesgo asociado con esta técnica es el secuestro de sesiones. Al manipular las respuestas DNS, un atacante podría acceder a cookies de sesión y suplantar la identidad del usuario en servicios web, lo que permitiría acceso no autorizado a cuentas personales y empresariales.

Además, el DNS Spoofing es usado en campañas de phishing dirigidas, donde el atacante manipula registros DNS para replicar páginas de empresas reales, engañando a los usuarios para que compartan información confidencial. Esta táctica es común en ataques a redes corporativas y entidades financieras.

Este nivel de sofisticación hace que la detección de un ataque DNS Spoofing sea compleja, lo que refuerza la necesidad de herramientas como DNSSEC, que asegura la autenticidad de las respuestas DNS mediante firmas digitales, y la implementación de servidores DNS seguros y fiables.

Protegerse contra este tipo de ataques requiere una combinación de buenas prácticas de ciberseguridad, como el uso de conexiones cifradas (HTTPS), VPNs y sistemas de monitorización de red que puedan identificar cambios sospechosos en las respuestas DNS.

Mantenerse informado y aplicar medidas preventivas es clave para evitar ser víctima de este tipo de ataques tan peligrosos.

Tercer paso: montar un servidor falso

Para levantar esa página falsa, configuré un servidor web en mi máquina atacante. Fue tan fácil como editar un archivo HTML y añadir un formulario que enviara los datos al puerto que yo tenía abierto. Y sí, para simplificar el proceso, incluso recurrí a herramientas como ChatGPT para generar el código. La tecnología está al alcance de cualquiera, y por eso es tan importante entender el peligro que conlleva.

Levantar un servidor falso no solo es sencillo, sino también versátil. Puedes diseñar desde páginas de inicio de sesión falsas hasta formularios de 'encuestas' que recopilan datos personales. Los atacantes también pueden crear páginas de actualización de software falsas que engañan a los usuarios para que descarguen malware. Otro ejemplo común es la simulación de portales cautivos en redes WiFi públicas, donde se solicita a los usuarios iniciar sesión antes de obtener acceso, cuando en realidad están entregando sus credenciales al atacante.

Además, un servidor falso puede utilizar certificados digitales falsos para dar una apariencia de legitimidad aún mayor, engañando incluso a usuarios con algo de conocimiento técnico. Esta técnica, conocida como SSL stripping, puede hacer que las conexiones cifradas parezcan seguras cuando en realidad no lo son.

Esto demuestra lo crucial que es comprobar siempre la autenticidad de las páginas web que visitamos, verificar los certificados digitales y evitar conexiones a redes no seguras sin protección adicional como una VPN.

La clásica reflexión y ¿por qué es tan importante?

Aunque todo esto lo hice en un entorno controlado y únicamente para aprender, me di cuenta de lo fácil que sería que alguien con malas intenciones usara estos métodos. Imagínate que, en lugar de una página básica, alguien creara una copia exacta de tu banco o de cualquier plataforma donde tengas datos sensibles.

Además, las redes WiFi públicas son un punto especialmente vulnerable. Si alguna vez has conectado tu móvil o portátil a un WiFi gratuito, podrías haber estado expuesto a este tipo de ataques. Por eso, siempre recomiendo evitar este tipo de conexiones y, si no hay otra opción, usar una VPN y mantener tu antivirus actualizado.

Los ataques MITM también nos enseñan la importancia de la educación en ciberseguridad. Saber identificar señales de redirecciones sospechosas, utilizar conexiones cifradas (HTTPS) y verificar certificados digitales son pasos esenciales para protegerse.

Entender cómo funcionan los ataques Man in the Middle no solo es interesante, sino también necesario para mantenernos seguros. Después de probarlo en un entorno seguro, me quedó claro que la mejor defensa es estar informado. Tener un buen antivirus, usar conexiones seguras y prestar atención a las URL antes de ingresar tus credenciales son pasos simples que pueden marcar la diferencia.

Espero que este artículo te haya ayudado a ver la importancia de la ciberseguridad de una forma práctica y sencilla. Recuerda que el conocimiento es tu mejor herramienta para mantenerte seguro.