Más allá de MITM: El peligro creciente de los ataques "adversario en el medio"

Casi con toda seguridad, habrá oído hablar de los ataques de "intermediario" (MITM). Pero recientemente ha surgido un nuevo tipo de ataque similar, aunque más avanzado y peligroso: "adversario en el medio" (AITM).

Los dos tipos de ataque son estructuralmente similares. Pero su mecánica, sofisticación y capacidades son indudablemente diferentes. Para los administradores de TI, comprender esta distinción y cómo opera cada tipo de ataque es fundamental para mantener sus sistemas y datos seguros.

¿Qué es un ataque de intermediario?

Los ataques MITM son una técnica muy utilizada para interceptar información valiosa en tránsito. En este escenario, un actor malicioso transmite en secreto y posiblemente altera la comunicación entre dos partes que creen que están comunicándose directamente entre sí. Piense en ello como alguien que escucha a escondidas una conversación privada y ocasionalmente aporta información engañosa.

Los ataques MITM generalmente explotan redes inseguras o mal protegidas, como el Wi-Fi público. También pueden depender de suplantación de DNS, envenenamiento ARP, o decapado de SSL para interceptar el tráfico. El atacante podría capturar credenciales de inicio de sesión, cookies de sesión o datos sensibles en tránsito. Sin embargo, la mayoría de los servicios web modernos utilizan HTTPS y otros protocolos de cifrado que hacen que los ataques MITM tradicionales sean cada vez más difíciles de ejecutar con éxito.

¿Qué es un ataque de "adversario en el medio"?

Los ataques AITM son la siguiente evolución de las tácticas MITM: más sofisticados, más dirigidos y más peligrosos. En un ataque AITM, el atacante no solo intercepta el tráfico de manera pasiva. En su lugar, manipula activamente el proceso de autenticación, lo que le permite eludir los esquemas de autenticación multifactor (MFA).

Los ataques AITM suelen involucrar campañas de phishing que dirigen a los usuarios a un servidor proxy controlado por el atacante. Este proxy se sitúa entre el usuario y el servicio legítimo (por ejemplo, Microsoft 365 o Google Workspace), capturando credenciales y tokens de sesión en tiempo real. Dado que el atacante está retransmitiendo la sesión en vivo, puede eludir el MFA capturando el token después de que el usuario complete el segundo paso de autenticación.

Diferencias clave entre MITM y AITM

Por qué AITM es más peligroso

Los ataques AITM son particularmente peligrosos porque explotan la confianza en la capa de aplicación. Incluso si su organización impone MFA, AITM puede volverlo ineficaz. Una vez que un atacante tiene un token de sesión válido, puede suplantar al usuario sin necesidad de volver a autenticarse.

Además, los ataques AITM son más difíciles de detectar. Dado que el atacante está retransmitiendo tráfico legítimo, es posible que las herramientas tradicionales de supervisión de la red pueden no señalar la actividad como sospechosa. El usuario ve una página de inicio de sesión familiar, completa la autenticación multifactor (MFA) y continúa, sin darse cuenta de que su sesión ha sido secuestrada.

Ejemplos del mundo real

Los ataques AITM no son teóricos, están ocurriendo en este momento.

• En 2024, Microsoft 365 fue atacado por atacantes que utilizaron un kit de herramientas de phishing como servicio (PhaaS) llamado Rockstar 2FA. Un empleado de Microsoft fue engañado para que se autenticara a través de un sitio falso, entregando su token de sesión en el proceso.
• Storm-0485, un conocido actor de amenazas, ha utilizado técnicas de AITM para recolectar credenciales a gran escala. Sus campañas a menudo utilizan correos electrónicos falsos de verificación de LinkedIn y URLs ofuscadas para atraer a los usuarios a ceder el acceso.

La frecuencia de los ataques AITM está aumentando rápidamente debido a su capacidad para eludir controles de acceso tradicionales como MFA y protocolos de cifrado como HTTPS.

Cómo defenderse frente a AITM

Una plataforma moderna de ciberseguridad multicapa como BarracudaONE proporciona la mejor defensa contra AITM y otros ataques sofisticados. Una fuerte protección del correo electrónico como Barracuda Email Protection le permite detectar y bloquear intentos iniciales de phishing, mientras que una potente seguridad de red como Barracuda Network Protection ofrece avanzados controles de acceso a la red de confianza cero que van más allá de MFA para identificar y bloquear el acceso no autorizado a recursos, incluso cuando se presentan credenciales legítimas.