Los ataques de intermediarios (Adversary-in-the-middle attacks) aumentaron un 146% el año pasado, según el Informe de Defensa Digital de Microsoft. ¿Qué es el AiTM y por qué está aumentando?
Los ciberdelincuentes han adaptado sus tácticas para atacar no sólo las contraseñas, sino el propio proceso utilizado para verificar la identidad de alguien en Internet. Se trata de los ataques Adversary-in-the-Middle (AiTM ). Aunque el nombre pueda sonar técnico, el concepto describe cuando un atacante se introduce en la comunicación entre un usuario y un servicio legítimo, interceptando datos y tomando el control de las sesiones sin que la víctima se dé cuenta.
El término man-in-the-middle (MitM ) existe desde hace muchos años en el ámbito de la ciberseguridad. Un ataque MitM sitúa tradicionalmente a un atacante entre dos partes para que pueda escuchar o modificar las comunicaciones. Lo que distingue al AiTM es la interceptación activa de los flujos de autenticación, a menudo en el momento en que los usuarios introducen sus datos de acceso. En lugar de escuchar pasivamente, el atacante participa en el propio proceso de autenticación, lo que le permite capturar las cookies de sesión o los tokens utilizados para mantener el acceso conectado.
En otras palabras, mientras que los ataques MitM estándar pueden interceptar las comunicaciones generales, AiTM se dirige específicamente al momento de la autenticación y al punto exacto en el que se verifica la identidad. Esta distinción hace que los ataques AiTM sean eficaces para eludir mecanismos como la autenticación multifactor (MFA).
Los ataques AiTM están diseñados para que a la víctima le parezcan rutinarios, pero dan a los atacantes el control total del proceso de autenticación. En lugar de robar credenciales de forma aislada, el atacante intermedia activamente en la sesión de inicio de sesión en tiempo real.
El ataque comienza con un mensaje de phishing elaborado para que parezca una solicitud legítima de un servicio o equipo interno de confianza. Los mensajes suelen crear urgencia, instando a los usuarios a verificar su cuenta, resolver un problema de seguridad o acceder a un documento. El enlace no conduce a una página estática falsa, sino a una infraestructura controlada por el atacante que se interpone entre el usuario y el servicio real.
Cuando la víctima hace clic en el enlace, su navegador es dirigido a través de un proxy inverso operado por el atacante. Este proxy carga dinámicamente el contenido del sitio web auténtico, presentando lo que en realidad es la página de inicio de sesión real. Como la página se comporta con normalidad, es poco probable que la víctima note nada inusual.
A medida que el usuario introduce su nombre de usuario y contraseña, el proxy captura las credenciales y las reenvía inmediatamente al servicio legítimo. Si se requiere autenticación multifactor, el proxy simplemente retransmite el desafío y la respuesta. La autenticación se completa con éxito, dando al atacante visibilidad de todo el proceso sin necesidad de derrotar a MFA directamente.
Una vez que la autenticación tiene éxito, el servicio legítimo emite cookies de sesión o tokens para confirmar el acceso. El atacante intercepta estos tokens cuando pasan a través del proxy. Con un token de sesión válido, el atacante puede crear su propia sesión autenticada sin reutilizar la contraseña o MFA, asumiendo efectivamente la identidad del usuario.
Utilizando la sesión robada, los atacantes pueden acceder al correo electrónico, los servicios en la nube y las aplicaciones internas con una fricción mínima. A menudo se mueven rápidamente para establecer la persistencia alterando la configuración de la cuenta, añadiendo métodos de autenticación o concediendo permisos de aplicación. Incluso si el usuario cambia su contraseña, el atacante puede conservar el acceso hasta que se revoque la sesión.
Los ataques AiTM se apoyan en herramientas y marcos de trabajo fácilmente disponibles que facilitan su despliegue a escala. Los atacantes suelen utilizar kits de proxy inverso como Evilginx2, EvilProxy y otros para automatizar la gestión de certificados, la clonación de páginas y la captura de sesiones. Estos kits simplifican el proceso de creación de un proxy de aspecto realista capaz de interceptar flujos de autenticación.
Algunos atacantes también utilizan técnicas a nivel de red, como la manipulación de DNS, la suplantación de ARP o el compromiso de redes Wi-Fi para redirigir el tráfico a través de su infraestructura. Las campañas avanzadas pueden incluso implicar el compromiso de proveedores de servicios o el uso de modelos de phishing como servicio para alojar y gestionar la infraestructura de phishing en nombre de los afiliados.
La fuerza de AiTM reside en su capacidad para eludir las protecciones MFA de las que dependen las organizaciones. Dado que el atacante retransmite las respuestas de autenticación en tiempo real y captura los testigos de sesión, el mero hecho de tener activada la AMF no impide el ataque. Las defensas tradicionales, como los cortafuegos, las políticas de contraseñas estáticas y el filtrado básico del correo electrónico, son igualmente ineficaces contra el AiTM.
La detección también puede ser difícil. Dado que la víctima a menudo inicia sesión correctamente y la MFA se completa correctamente, los registros de seguridad pueden mostrar una autenticación legítima. A menos que haya una supervisión sofisticada de patrones de sesión inusuales, anomalías en los dispositivos o escenarios de viaje imposibles, la intrusión puede pasar desapercibida.
Integrity360 ayuda a las organizaciones a reducir el riesgo de ataques AiTM mediante un enfoque por capas basado en la inteligencia. Los serviciosgestionados de concienciación sobre la seguridad refuerzan la capa humana ayudando a los usuarios a reconocer los señuelos de phishing, las solicitudes de inicio de sesión sospechosas y las tácticas de ingeniería social que suelen iniciar las campañas AiTM. Al mejorar la concienciación y reforzar los comportamientos seguros, las organizaciones pueden reducir significativamente la probabilidad de que un atacante se sitúe con éxito en el flujo de autenticación.
En la capa de identidad, Managed Identity Security proporciona una visibilidad más profunda de cómo se utilizan y abusan las identidades en entornos en la nube y locales. Esto incluye la supervisión de comportamientos de autenticación anómalos, actividad de sesiones de riesgo, uso indebido de tokens y cambios no autorizados en las configuraciones de identidad. Esta información es fundamental para detectar a tiempo los riesgos relacionados con AiTM, antes de que los atacantes establezcan la persistencia o amplíen el acceso.
Cuando los atacantes lo consiguen, la detección y respuesta rápidas son esenciales. Managed Detection and Response (MDR) permite la supervisión continua de la telemetría de identidades, endpoints, nube y red, lo que permite identificar y contener rápidamente la actividad sospechosa asociada a ataques AiTM. Esto reduce el tiempo de permanencia y limita la oportunidad de que los atacantes se muevan lateralmente, exfiltren datos o desplieguen ataques de seguimiento.
Por último, CTEM as a Service ayuda a las organizaciones a comprender y reducir la exposición en toda su superficie de ataque en evolución. Al identificar, priorizar y validar continuamente las exposiciones del mundo real, CTEM ayuda a garantizar que las debilidades de identidad, las configuraciones erróneas y las rutas de acceso de alto riesgo explotadas por los ataques AiTM se aborden de forma proactiva en lugar de reactiva.
Los ataques AiTM no son una tendencia pasajera. Son un reflejo de cómo los atacantes se están adaptando a los controles de seguridad modernos. Con la combinación adecuada de concienciación, protección de la identidad, capacidades de detección y gestión continua de la exposición, las organizaciones pueden reducir significativamente la probabilidad y el impacto de estos ataques. Integrity360 reúne estas capacidades para ayudar a las organizaciones a asegurar las identidades, proteger a los usuarios y adelantarse a un panorama de amenazas cada vez más impulsado por la identidad.
Si necesita ayuda para hacer frente a la amenaza AiTM, póngase en contacto con nuestros expertos.