
Cuidado con los ataques "Man in the middle" | cortesía de Betech
Que tal, un saludo para todos y gracias por seguir visitando este blog:
Hoy voy a tratar de explicar de una sencilla una vulnerabilidad en las comunicaciones (principalmente en el área informática, aunque puede producirse en otras áreas también) que recibe el nombre de "Man in the middle" (hombre en medio, hombre de en medio o ataque de intermediario).
Esta vulnerabilidad consiste en que dos entidades (en su manera más simple) están comunicándose, pero debido a que la comunicación no se encuentra encriptada o dicha encriptación es vulnerable, una tercera entidad puede estar escuchando sin intervenir en la comunicación, de manera que ninguna de las dos partes originales se dan cuenta de que hay un espía en su conversación.
Pongamos un ejemplo muy simple de algo que tuve que efectuar hace algunos meses atrás para entenderlo mejor:
Como he comentado en otras ocasiones, soy informático trabajando para una empresa, entre mis diversas labores debo efectuar los respaldos diarios de las bases de datos de la empresa, estar al pendiente de los servidores de la misma, si están fallando o caídos restablecerlos, etc. Pues bien, como nada es perfecto, uno de esos servidores se dañó y hubo necesidad de pasar todo a uno nuevo. El detalle es que ahí hay un sistema que el desarrollador nos vende una licencia de uso y soporte técnico, este sistema usa SQL Server como almacenar la información.
Pues bien, instalamos SQL Server (me apoyé con un compañero de trabajo ya que somos dos en el departamento de sistemas), se instaló el administrador de la base de datos, cargamos los archivos de respaldo y aparentemente todo bien, me aseguré que en el archivo .ini del sistema viera al servidor, que estuviera el mismo nombre de la base de datos, le di permisos al antivirus y firewall, etc, etc, etc y según yo debería arrancar sin problemas.
Pero no, el sistema daba un error de conexión, no se encontraba el servidor, haciendo un ping desde esa máquina hacia el servidor todo bien, por lo que no era un problema de conexión en la intranet. Ahí estuvimos varias horas probando todo lo que pensábamos que era el problema, pero nada, no hubo forma de echar a andar ese sistema. Lo curioso es que desde el administrador de la base de datos la veíamos sin problemas.
No hubo más remedio que pedir apoyo a la empresa desarrolladora, esta empresa no opera en la ciudad, sino que remotamente se conectó al equipo y procedió a reinstalar SQL Server, ya que ahí estaba el problema. El problema era el nombre de la instancia de SQL Server; si se deja por default esta lleva por nombre "SQLEXPRESS" pero el sistema necesita que la instancia lleve el nombre "MSSQLSERVER" y por eso nunca conectaba. De manera que durante la reinstalación de SQL Server se cambió el nombre de la instancia, se volvió a cargar los archivos de las bases de datos (había que tumbar todo SQL Server previamente) y listo, el sistema ya funcionaba.
Durante todo este tiempo el desarrollador estuvo conectado vía Anydesk al servidor y yo también ya que soy externo a la empresa donde laboro, durante todo ese tiempo estuve viendo que hacían por dos motivos:
- Ver como se instalaba correctamente SQL Server para que la próxima vez sepamos como hacerlo.
- Asegurarme de que el desarrollador no vaya a andar husmeando donde no debe y al final reportar a la empresa que ya todo quedó funcionando.
Así que solo fui un observador pasivo todo ese tiempo, para nada interferir en lo que tenía que instalar, permisos, etc. Solo mirar que hace y aprender de esa operación.
Pues bien, esto es algo similar a un ataque MITM (man in the middle), alguien está escuchando una conversación privada sin autorización (en este caso yo si tenía autorización pues representaba a la empresa jejejeje), pero sin intervenir en ella en lo absoluto, de manera que no se sospecha que alguien más está de entrometido.
Sin embargo, en ocasiones el intruso si puede intervenir saboteando el mensaje original o suplantando identidades, pongamos el ejemplo que encontramos en Wikipedia acerca de este artículo:
- Alice envía un mensaje a Bob, que es interceptado por Mallory:
- Alice "Hola Bob, soy Alice. Dame tu clave."
- Mallory reenvía este mensaje a Bob; Bob no puede decir que no es realmente de Alice:
- Bob responde con su clave de cifrado:
- Mallory intercepta el mensaje de Bob, reemplaza la clave de Bob con la suya, y transmite esto a Alice, afirmando que es la clave de Bob:
- Alicia encripta un mensaje con lo que ella cree que es la clave de Bob, pensando que sólo Bob puede leer:
- Alice "¡Nos vemos en la parada de autobús!" [Cifrada con la clave de Mallory], sin embargo, debido a que en realidad estaba cifrada con la clave de Mallory, Mallory puede descifrarlo, leerlo, modificarlo (si se desea), volver a cifrar con la clave de Bob, y lo remitirá a Bob:
- Alice Mallory "¡Nos vemos en la furgoneta de al lado del río!" [Cifrada con la clave de Bob].
- Bob cree que este mensaje es una comunicación segura de Alice.
- Bob va a la furgoneta y Mallory lo asalta.
Como pueden ver, es un asunto serio tener un espía en nuestras conversaciones o en redes corporativas, ya que información delicada puede caer en malas manos y tener consecuencias desastrosas. Es por ello que debemos tener contraseñas fuertes en nuestras redes para que no cualquiera vaya a entrar, en la empresa desactivamos el escritorio remoto de Windows en los servidores ya que este es muy propenso a ataques externos, tenemos un buen antivirus que bloquea cualquier acceso remoto sospechoso, firewalls activos y en general actualizar todas las Pcs a Windows 10 ya que es recomendable porque los demás Windows ya no tienen soporte técnico, además de todas las Pcs con antivirus de paga para mayor seguridad.
Estas son algunas recomendaciones adicionales tomadas del artículo "Pirateo silencioso: Qué es el ataque MITM, ‘Man in the Middle’" (que invito a darle lectura):
- Acceso a sitios web seguros con certificado. (Aquellos que empiezan por HTTPS, comprobando que el certificado pertenece a la compañía o entidad que corresponde).
- Proteger la red wifi de la empresa. Asegurando como mínimo la red en modo WPA2-AES con contraseñas robustas y no adivinables, así evitaremos que los atacantes puedan colarse en la red local. Si es necesario que los clientes se conecten a una red en nuestra empresa, habilitar una red de invitados con acceso restringido a la red corporativa y servicios de la empresa.
- Tener actualizado el software de nuestros equipos, especialmente el sistema operativo y el navegador.
- Utilizar contraseñas robustas y siempre que sea posible habilitar la autenticación en dos pasos.
- Evitar conectar a redes wifi abiertas (las que podemos encontrar en cafeterías, hoteles, aeropuertos, centros comerciales, vecindarios, etc.), en caso de conexión utilizar una red privada virtual o VPN.
- En caso de conexión a través de redes públicas sin utilizar una VPN (centros comerciales, aeropuertos, etc.), evitar difundir información personal conectándose a redes sociales o banca online, entre otros ejemplos.
- Evita usar redes VPN gratuitas, ya que se desconoce quién está detrás de ellas y el uso que puedan darle a la información.
- Evitar abrir enlaces de correo procedentes de fuentes desconocidas.
- Emplear software de seguridad como antivirus y antimalware en los equipos corporativos y mantenerlo actualizado, realizando escaneos frecuentemente. Además, también es aconsejable proteger la red LAN mediante el uso de hardware especifico de seguridad como Firewalls o mUTM’s con IPS/IDS (prevención y detección de intrusiones), mejorando así tanto la seguridad pasiva como la activa de la red corporativa.
- Mantener el firewall por software activado en aquellos sistemas que lo permitan.
- Proteger la página web corporativa mediante un certificado SSL.
Recomiendo darle un vistazo a un par de artículos que anexo en las lecturas adicionales de este post. Mil gracias por su tiempo y quedan invitados a leer el resto de los artículos de un servidor esperando les sean de utilidad. Si les ha gustado este artículo por favor dejar un tip, lo agradezco de antemano.