¿Protege la encriptación los datos contra los ataques del hombre en el medio?

por | publicado en: tutoriales | 0

Más de 2,5 quintillones de bytes de datos se crean y suben a Internet cada día según el informe Data Never Sleeps 6.0 de Domo. Muchos de esos datos son confidenciales: información personal, transferencias bancarias, documentos, credenciales. Es importante transmitir de forma segura esos datos entre los puntos finales de la red.

El TCP/IP es el protocolo de transferencia de datos más extendido debido a su alta compatibilidad. Sin embargo, las vulnerabilidades del TCP/IP son bien conocidas por los hackers. El protocolo TCP utiliza canales abiertos para la transferencia de datos, y un atacante puede abusar de esto para acceder, escuchar y modificar el tráfico.

Hay muchos tipos de ataques -que varían en sus pautas, objetivos y disposiciones- que los ciberdelincuentes pueden utilizar para interceptar datos en tránsito. Aquí, nos gustaría discutir cómo proteger una red contra un ataque de un hombre en el medio (MITM).

En este artículo, simulamos tal ataque a una red desprotegida. Utilizamos un ordenador con dos tarjetas de interfaz de red para interceptar el tráfico y utilizamos Wireshark para analizar ese tráfico. También discutimos si la encriptación es un método efectivo para proteger los datos de los ataques del MITM.

¿Qué es un ataque del MITM?

El MITM es un tipo de ataque en el que un hacker redirige secretamente el tráfico y cambia los parámetros de conexión entre los puntos finales que no saben que están comprometidos. Este tipo de ataque es difícil de detectar porque no afecta directamente a una red.

Ya hemos discutido lo que es un ataque de hombre en medio en otro artículo. Ahora veamos el escenario típico de un ataque del MITM:

  • Hay una red con varias máquinas que intercambian datos.
  • Un atacante quiere interceptar datos o incluso cambiar los datos enviados por una de esas máquinas a través de la red.

El atacante actúa como intermediario entre la máquina objetivo y la red, interceptando el tráfico entre ellas.

Hay muchas formas de ataques del MITM. Una de las más extendidas es el spoofing ARP, que se basa en una vulnerabilidad del Protocolo de Resolución de Direcciones (ARP): este protocolo no confirma la autenticidad de las solicitudes y respuestas ARP. El ARP spoofing es común porque las interfaces de las redes informáticas permiten el ARP gratuito.

Servicios conexos

Ingeniería para proyectos de ciberseguridad

Ahora vamos a simular un ataque pasivo del MITM para ver si podemos interceptar el tráfico y obtener datos de un objetivo.

Configurando un ataque MITM

Para nuestro ejemplo de ataque al MITM, crearemos una simple red con dos computadoras que intercambien datos y coloquen un dispositivo MITM entre ellas. Usaremos una computadora con dos tarjetas de interfaz de red como el dispositivo MITM. Nuestra red se ve así:

Así es como podemos convertir un ordenador estándar de Windows en un dispositivo MITM:

  1. Coloque el dispositivo MITM entre el dispositivo cuyos datos quiere interceptar y el resto de la red. En nuestro ejemplo, conectaremos la primera computadora a uno de los puertos Ethernet del dispositivo MITM y enchufaremos la segunda computadora al segundo puerto Ethernet de ese mismo dispositivo.
  2. Puentea estas conexiones Ethernet en el dispositivo MITM. Puede hacerlo con las herramientas predeterminadas de Windows. Sólo tiene que ir a Configuración – Ethernet – Centro de redes y recursos compartidos – Cambiar las opciones del adaptador.

Creación de un dispositivo MITM – paso 1.

Creación de un dispositivo MITM – paso 2.

  1. Elija las interfaces de red con las conexiones que desea puentear, haga clic en ellas con el botón derecho y elija Conexiones de puente.

Creación de un dispositivo MITM – paso 3.

Una vez creado el puente, nuestro ataque del hombre en el medio está listo para funcionar. El ordenador objetivo se conectará a la red sin alertar sobre la interceptación, el escaneo o el cambio de tráfico.

Ahora podemos interceptar el tráfico de nuestro objetivo. Veamos si podemos restaurar los datos enviados desde él.

Analizando el tráfico de la red con Wireshark

Hay muchas herramientas para analizar el tráfico:

  • Wireshark
  • tcpdump
  • Kismet
  • Cain & Abel
  • Y más

En nuestro caso, usaremos Wireshark. Es uno de los analizadores de protocolo más populares y tiene una robusta funcionalidad de diagnóstico de red. Wireshark funciona con varios tipos de protocolos de red, ya que está equipado con un poderoso sistema de filtros y una interfaz fácil de usar. Además, Wireshark intercepta el flujo de vídeo e imágenes, trabaja con SIP, RTCP, SRTP y otros protocolos de voz, y ahorra tráfico de voz.

En su modo de monitorización, Wireshark permite volcar todo el tráfico en un archivo y analizarlo o descifrarlo aplicando diferentes filtros.

Para empezar a trabajar con Wireshark, tenemos que elegir la interfaz cuyo tráfico queremos interceptar.

Elijamos la interfaz conectada al primer ordenador y analicemos los datos entrantes. Después de ejecutar un sniffer, podemos introducir la dirección IP del ordenador objetivo y el tipo de paquete TCP:

ip.host==10.100.5.149 && tcp

Ahora podemos escuchar el tráfico que viene del primer ordenador.

Para simular un ataque del MITM, generamos un archivo secreto en el primer ordenador. Ahora enviemos este archivo no encriptado a la segunda computadora por el canal no protegido.

Hemos recibido con éxito este archivo en el segundo ordenador, y ahora podemos echar un vistazo a sus datos.

Al mismo tiempo, nuestro dispositivo MITM interceptó el tráfico entre nuestros ordenadores objetivo y lo copió.

Ahora podemos comprobar los datos del paquete TCP interceptado y compararlos con los datos del segundo ordenador.

Como pueden ver, en nuestro escenario, los datos desprotegidos terminaron en manos del atacante. Ahora averigüemos si la encriptación puede ayudar a mitigar esta amenaza.

Protección de datos con encriptación

La forma más popular de prevenir un ataque de hombre en medio es encriptar la comunicación. Así es como funciona: Cuando un servidor transfiere datos, se identifica al cliente proporcionando un certificado digital. Después de eso, se establece un canal de comunicación encriptado entre el cliente y el servidor.

Hay dos formas populares de encriptar los datos cliente-servidor:

  1. La encriptación simétrica es un sistema que utiliza una clave de encriptación para cifrar y descifrar mensajes. La clave se convierte en un secreto compartido entre las partes que se comunican.La principal ventaja de este método de protección es la alta velocidad del cifrado. El inconveniente es la necesidad de un canal seguro para distribuir la clave entre todos los participantes de la comunicación. Si los hackers interceptan la clave, pueden descifrar fácilmente los datos transmitidos.La encriptación simétrica es una forma antigua y ampliamente utilizada para cifrar datos. Por ejemplo, el gobierno de los EE.UU. está obligado a utilizar el Estándar de Cifrado Avanzado (AES) para cifrar las comunicaciones. AES es un algoritmo de encriptación simétrico de bloque a bloque.
  2. La encriptación asimétrica utiliza claves de encriptación públicas y privadas para asegurar los datos transferidos. La clave pública es conocida por todos; se transmite a través de un canal de comunicación abierto y se utiliza para cifrar los datos. La clave privada sólo la conoce el destinatario del mensaje y se utiliza para descifrar esos datos.Este tipo de encriptación permite el intercambio de claves a través de un canal abierto. Sólo una clave privada tiene que ser almacenada de forma segura por su propietario. Por un lado, la encriptación asimétrica es más fiable que la simétrica. Por otro lado, el proceso de cifrado incluye más cálculos y lleva más tiempo. Este método es apropiado en los casos en que un grupo de personas necesita cifrar y descifrar datos y la velocidad de este proceso es de poca importancia.El cifrado asimétrico se utiliza para cifrar los datos de los sitios web con soporte HTTPS, los sistemas bancarios, los mensajeros y otros servicios. Incluso la popular tecnología de cadenas de bloqueo que alimenta las criptodivisas utiliza una firma electrónica basada en la encriptación asimétrica para verificar las transacciones.
  3. La encriptación híbrida es una combinación de métodos simétricos y asimétricos. Con este tipo de cifrado, los datos se cifran con un cifrado simétrico utilizando una sola clave. Esa clave se cifra con una encriptación asimétrica y se envía con los datos.De esta manera, se puede tener tanto la velocidad de cifrado del método simétrico como la fiabilidad del método asimétrico. Sin embargo, este tipo de encriptación aún no es perfecto. Por ejemplo, es susceptible a un ataque de adaptación de texto elegido.Los protocolos TLS y PGP se basan en una encriptación híbrida.

Lee también:

5 consejos de expertos sobre la gestión de secretos: Soluciones, herramientas, lo que se debe y no se debe hacer

En una comunicación cifrada, un protocolo criptográfico a nivel de transporte asegura un intercambio de datos cliente-servidor protegido. Hay dos versiones de este protocolo:

  • Secure Sockets Layer (SSL) – el más antiguo
  • Seguridad de la Capa de Transporte (TLS) – el más nuevo

El SSL se considera menos seguro que el nuevo TLS. Ambos protocolos utilizan una encriptación asimétrica para autenticar las partes de la comunicación y una encriptación simétrica para asegurar el intercambio de datos confidenciales. Además, estos protocolos criptográficos aseguran la integridad de los mensajes con códigos de autenticación de mensajes. Estas medidas de protección permiten al TLS/SSL hacer imposible la escucha o el acceso al tráfico sin claves de cifrado.

Ahora hemos cubierto los métodos básicos de encriptación. Vamos a encriptar un dato con el protocolo TLS y ver si ofrece una protección fiable contra un ataque del MITM.

Cuando recreamos el ataque descrito en la parte anterior del artículo, nuestro dispositivo MITM todavía es capaz de interceptar los paquetes TCP transmitidos entre nuestros dos ordenadores objetivo. Pero ahora los datos interceptados están encriptados con el protocolo TLS:

Como puedes ver, un paquete de datos encriptado parece una mezcla caótica de símbolos. Si los atacantes interceptan tales paquetes, tendrán pocas o ninguna posibilidad de descifrar los datos encriptados. Incluso si el ataque tiene éxito, los datos interceptados no son de utilidad para el atacante y por lo tanto no pueden ser comprometidos.

Lee también:

Los 7 principales métodos de cifrado de datos en aplicaciones Android

Conclusión

Los ataques MITM son uno de los tipos de ataques de hackers más extendidos y efectivos. Y aunque es imposible proteger completamente su red contra ellos, puede asegurarse de que sus datos permanezcan protegidos.

La comunicación cifrada es una parte esencial de cualquier proyecto de seguridad cibernética. Es la forma más fiable de asegurar que los datos transferidos a través de su red estén protegidos incluso si los atacantes pueden interceptarlos.

En Apriorit, nos tomamos en serio la ingeniería y las pruebas de los sistemas de seguridad cibernética. Si necesita garantizar la seguridad de los datos, incluso contra los ataques del MITM, contacte con nuestro equipo de desarrollo y empiece a discutir su proyecto!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *