Imagina que estás en una cita romántica en un restaurante y, cada vez que le susurras algo al oído a tu pareja, un camarero indiscreto se pone en medio, se inclina, anota lo que dices en una libreta, y luego se lo repite a ella (quizás cambiando alguna palabra para sembrar el caos). Eso, en esencia, es un ataque de Hombre en el Medio (Man in the Middle o MITM).
Parce brujería o cosa de espías, pero en realidad un atacante MITM no necesita romper la seguridad de la NASA; solo necesita situarse lógicamente entre tú y el servidor al que intentas acceder. Si lo logra, tiene el poder de ver, filtrar y modificar todo lo que envías.
En este artículo, vamos a destripar cómo estos «intermediarios» no invitados logran colarse en tus sesiones y qué puedes hacer para que, al menos, tengan que trabajar duro para conseguirlo.
Índice de contenidos
¿Qué es realmente un ataque Man-in-the-Middle?
El concepto es simple: interceptación. El atacante convence a la víctima de que él es el destino legítimo (el servidor) y, simultáneamente, convence al servidor de que él es la víctima. Es una relación tóxica a tres bandas donde el único que disfruta es el que está en medio.
Este ataque rompe directamente dos pilares de la triada CIA, confidencialidad e integridad. No solo pueden leer tus datos (adiós confidencialidad), sino que pueden alterarlos antes de que lleguen a su destino (adiós integridad).
Es una amenaza compleja de entender, ya que requiere que el atacante haya alcanzado cierto nivel de privilegios y persistencia. Pero no te preocupes, quédate, de nuevo, con el concepto principal: Interceptación.
El «Modus Operandi»: Cómo se meten en medio
Existen varias formas de ejecutar esta intrusión, dependiendo de si el atacante está sentado en la misma mesa que tú (red local) o si está manipulando las redes remotas en Internet.
ARP Spoofing: Engañando a la red local (LAN)
En una red local, los dispositivos se encuentran mediante el protocolo de resolución de direcciones (ARP, Adress Resolution Protocol). El envenenamiento de ARP (ARP Poisoning) consiste en enviar mensajes falsos a la red diciendo: «Oye, la dirección IP del router ahora es mi dirección MAC».
Si el switch se lo cree (y suele hacerlo, porque el protocolo ARP es tan confiable como un político en campaña), empezará a enviarle al atacante todo el tráfico que debería ir hacia Internet. Es el equivalente a cambiar las etiquetas de los buzones en un bloque de pisos para que todas las cartas lleguen a tu casa.
DNS Spoofing: Cuando el mapa te lleva al callejón oscuro
El envenenamiento de caché (DNS cache poisoning) ataca la resolución de nombres. Cuando escribes rutaciber.com, tu equipo pregunta a qué IP debe ir. El atacante intercepta esa pregunta y responde con la IP de un servidor clonado bajo su control.
Tú ves la URL correcta en el navegador, pero estás metiendo tus credenciales en el servidor de un tipo que probablemente no tiene buenas intenciones.
BGP Hijacking
Si el ARP spoofing es robar la carta de tu vecino, el secuestro de BGP (BGP Hijacking) es desviar una autopista entera. El Border Gateway Protocol es el sistema que decide qué ruta siguen los datos en Internet. En un ataque de este tipo, un sistema autónomo (AS) anuncia falsamente que tiene la ruta más corta para un rango de IPs (por ejemplo, las de Google o un gobierno).
Esto provoca que el tráfico de medio mundo pase por sus servidores antes de llegar a su destino real. Es un ataque a nivel de infraestructura, masivo y extremadamente peligroso, que a menudo se usa para vigilancia estatal o para interceptar datos financieros a escala global.
Secuestro de Sesión (Session Hijacking)
A veces el atacante no quiere tu contraseña porque quizás usas MFA (autenticación multifactor) y se le complica la vida. Lo que quiere es tu identificador de sesión (Session ID).
Cuando te logueas en una web, el servidor te da una «cookie» que dice «este usuario ya está autenticado». El secuestro de sesión (Session Hijacking) ocurre cuando el atacante roba esa cookie. Puede hacerlo mediante:
- Sniffing: Capturando el tráfico si la cookie viaja por HTTP (sin cifrar).
- XSS (Cross-Site Scripting): Inyectando código malicioso en la web para que tu propio navegador le envíe la cookie al atacante. Puedes leer más sobre cómo evitar esto en nuestra guía de XSS.
Una vez que tiene tu cookie, el atacante simplemente la pone en su navegador y, ¡magia!, ya es «tú» para el servidor, sin necesidad de saber tu contraseña ni pasar por el segundo factor de autenticación.
SSL/TLS Stripping: Forzando el lenguaje de los «viejos tiempos»
Este es uno de los ataques MITM más elegantes y frustrantes. El atacante utiliza una herramienta (como el famoso sslstrip) para interceptar la petición de conexión segura.
Cuando intentas entrar en https://google.com, el atacante intercepta la petición y establece la conexión segura con Google, pero a ti te entrega una versión degradada por HTTP (sin la ‘S’). Para ti, todo parece normal, pero el candadito ha desaparecido. Ahora, toda la comunicación entre tú y el atacante viaja en texto plano, mientras él la cifra para enviársela a Google. Es como si un traductor te obligase a hablar en un idioma que él entiende para poder enterarse de todo.
Para mitigar esto, los administradores usan cabeceras como HSTS, un tema clave que tratamos en nuestro artículo sobre cabeceras HTTP de seguridad.
El papel de la Criptografía como escudo
Si no puedes evitar que alguien escuche, asegúrate de que lo que escuche le suene a chino. Aquí es donde entra la artillería pesada.
- Criptografía Asimétrica: Es la base de la confianza. Gracias a la criptografía asimétrica y el uso de claves públicas, podemos verificar que el servidor es quien dice ser a través de certificados digitales y la infraestructura de clave pública (PKI).
- Hashing: Nos permite asegurar que el mensaje no ha sido modificado en el camino. Si el hash del mensaje que recibes no coincide con el original, alguien ha metido la mano en el paquete.
- Criptografía Simétrica: Una vez establecido el canal seguro, la criptografía simétrica se encarga de cifrar el grueso de los datos de forma rápida y eficiente.
Herramientas del «oficio» (Usar con ética y responsabilidad)
Si quieres probar la seguridad de tus propios sistemas (y solo de los tuyos, no acabes en la cárcel), existen herramientas estándar en la industria:
- Wireshark: El microscopio de la red. Permite capturar y analizar cada paquete. Te lo contarán en cualquier curso de hacking ético que puedas encontrar, muy interesante.
- Bettercap: La navaja suiza para ataques MITM en redes modernas.
- Ettercap: Un clásico para ARP poisoning y sniffing de contraseñas en redes locales. El logo ya da un poco de grima (no me gustan los insectos, me aterran).
Recordatorio: Usar estas herramientas en redes ajenas sin permiso explícito es ilegal.
Checklist: Cómo evitar que espíen tus datos
Para no ser la víctima fácil del próximo «hacker de cafetería», sigue estos puntos:
- Usa siempre una VPN: En redes públicas, una VPN (Virtual Private Network) crea un túnel cifrado que vuelve inútil cualquier intento de sniffing o ARP spoofing. Hoy mismo usé la VPN de Google de mi pixel para la wifi del gimnasio.
- Fuerza el uso de HTTPS: Instala extensiones como «HTTPS Everywhere» y huye de cualquier web bancaria o de correo que no muestre el candado.
- No ignores las advertencias del navegador: Si ves un mensaje de «Certificado no válido», no hagas clic en «Aceptar de todos modos». Puede ser el navegador gritándote que hay un Man-in-the-Middle.
- Implementa MFA: Incluso si te roban la sesión o la contraseña, un segundo factor basado en hardware (como una llave FIDO) puede salvarte los muebles.
- Configura tus equipos: Usa tablas ARP estáticas en servidores críticos y habilita DHCP Snooping en tus switches para evitar que cualquiera se haga pasar por el router.
Conclusión: ¿Seguridad o comodidad?
El ataque Man-in-the-Middle sobrevive porque los humanos priorizamos la comodidad. Queremos Wi-Fi gratis, queremos navegar rápido y no queremos configurar nada. Sin embargo, en el mundo digital, la confianza ciega es un lujo que no te puedes permitir.
Entender que el camino entre tu dispositivo y el servidor está lleno de posibles «peajes» controlados por terceros es el primer paso para protegerte. Ya sea mediante el uso de firmas digitales para verificar la identidad o simplemente no conectándote a la red «Wi-Fi_Gratis_No_Es_Un_Virus», la responsabilidad final es tuya.
Al final del día, TLS es básicamente ponerle un candado al mensaje… pero de los buenos, no los que compras en la tienda de souvenirs. Asegúrate de que tus candados estén siempre puestos, o prepárate para que un desconocido lea tus mensajes y se ría de tus memes antes que tú.
