Los ataques cibernéticos MITM (Man-in-Middle) son un término genérico para una amenaza cibernética que involucra a un criminal que se posiciona en la conversación entre una aplicación y un usuario. El objetivo es imitar a una de las partes participantes o simplemente escuchar para obtener información. Los ladrones de MITM pueden acceder a información pertinente como los números de tarjetas de crédito, las credenciales de inicio de sesión y los detalles en una cuenta. Los actores de amenaza de MITM generalmente se dirigen a cualquier sitio web que requiera un inicio de sesión, como sitios web de comercio electrónico, instituciones financieras o compañías SaaS. Una vez que se accede a los datos, los delincuentes pueden usarlos para lograr cambios de contraseña, robo de identidad y transferencias de fondos no aprobadas. MITM también se puede utilizar como punto de acceso preliminar para infiltrarse para un apto (amenaza persistente avanzada). La primera etapa de MITM es la «intercepción» y esto se logra acceder al tráfico de usuarios a través de la red del atacante antes de que la comunicación llegue al destino final. La forma más sencilla que usan es lo que se llama un «ataque pasivo» usando puntos de acceso wifi maliciosos que son para uso público. Los puntos de acceso generalmente no están protegidos con contraseña y una vez que un usuario lo accede, el ciberdelino permanece en línea para obtener la visibilidad completa del intercambio de datos del usuario. Otros métodos implican suplantación de IP donde el criminal se ha disfrazado de una aplicación al cambiar los encabezados de paquetes de dirección IP que envía al usuario a un sitio web falso. También se usa ARP Spoofing que vincula la dirección MAC del atacante con la dirección IP de un usuario real en una LAN (red de área local) mediante el uso de mensajes ARP falsos que envían los datos del usuario a la dirección IP del host del criminal. La suplantación de DNS (también conocida como intoxicación por caché DNS) también se usa comúnmente, lo que implica ingresar al servidor DNS y cambiar el registro de dirección del sitio web. Cuando un usuario intenta acceder, se envía al sitio del atacante. El descifrado es la siguiente etapa de estos ataques. Esto ocurre después de la intercepción de la comunicación. Algo a tener en cuenta es que cualquier tráfico SSL que sea de dos vías se puede descifrar sin notificar a la aplicación o al usuario. Hay algunas formas de lograr el descifrado: la falsificación de HTTPS enviará un certificado falso al navegador de destino cuando se realice la primera solicitud para acceder al sitio seguro. Esto tendrá una huella digital de la aplicación comprometida que verifica el navegador que utiliza una lista de sitios en los que se les confía. El actor de amenaza puede acceder a todos los datos que se ingresan antes de pasar a la aplicación. Otro método utilizado se llama SSL Beast que se dirige a una vulnerabilidad en un TLS versión 1.0 en SSL. En este caso, la computadora del objetivo recibe un JavaScript malicioso que captura cookies enviadas por muchas aplicaciones web. Luego puede descifrar tokens de autenticación y cookies. El secuestro de SSL ocurre cuando un ciberdelino pasa las claves de autenticación falsas a la aplicación y al usuario en el apretón de manos TCP inicial. Esto crea una conexión segura falsa. Esto difiere de la eliminación de SSL que degrada los HTTP (seguro) a una conexión HTTP no segura estándar. El actor de amenaza puede enviar una versión sin cifrar el sitio de la aplicación que mantiene su propia sesión segura.