Login Probar gratis

Ataque man-in-the-middle: cuando alguien intercepta tus comunicaciones

por MataSpam Ciberataques

Imagínate que estás en la terraza de un bar, conectado al WiFi gratis, enviando tranquilamente un email con datos de tu empresa. Lo que no sabes es que entre tú y el router hay alguien escuchando cada byte que transmites. Bienvenido al maravilloso mundo del man in the middle (o MITM, para los amigos), uno de los ciberataques más antiguos, elegantes y devastadores que existen. Un ataque intermediario consiste exactamente en eso: un tercero se cuela en medio de tu comunicación sin que ninguna de las dos partes lo sepa. Ya sea para interceptar comunicaciones, robar credenciales o inyectar malware, el atacante se convierte en un fantasma invisible entre emisor y receptor. Y sí, ese WiFi público gratuito es el paraíso para el MITM WiFi. Como decimos en Cataluña: qui no vulgui pols, que no vagi a l'era — quien no quiera polvo, que no vaya a la era.

Cómo funciona un ataque man in the middle paso a paso

Para entender la gravedad del asunto, vamos a desglosar cómo un atacante ejecuta un ataque man in the middle en la práctica. No hace falta ser un genio del mal; con herramientas gratuitas y un portátil, cualquier script kiddie con mala leche puede montarlo.

El proceso típico de un MITM sigue estas fases:

  1. Interceptación: El atacante se posiciona entre la víctima y el servidor legítimo. Esto puede lograrse mediante ARP spoofing en una red local, montando un punto de acceso WiFi falso (evil twin) o manipulando las DNS.
  2. Descifrado: Si la comunicación va cifrada (HTTPS), el atacante intenta hacer un SSL stripping para degradar la conexión a HTTP plano, o presenta un certificado falso esperando que la víctima ignore las advertencias del navegador.
  3. Captura y manipulación: Una vez en medio, puede leer credenciales, modificar transferencias bancarias, inyectar código malicioso en las descargas o simplemente espiar todo el tráfico.

Herramientas como Ettercap, Bettercap, mitmproxy o Wireshark permiten ejecutar y analizar estos ataques. Son herramientas legítimas de auditoría de seguridad, pero en malas manos son un peligro real. En 2015, el investigador Moxie Marlinspike demostró con sslstrip lo trivial que era interceptar comunicaciones HTTPS degradándolas a HTTP, lo que aceleró la adopción masiva de HSTS (HTTP Strict Transport Security).

Los escenarios más comunes de ataque intermediario

No todos los ataques MITM ocurren en la cafetería de la esquina. Los escenarios son variados y algunos bastante sofisticados. Aquí van los más habituales:

MITM WiFi: el clásico que nunca falla

El MITM WiFi es el pan de cada día. El atacante crea un punto de acceso con un nombre tentador — "WiFi_Gratis_Aeropuerto" o "Starbucks_Free" — y espera a que las víctimas se conecten como polillas a una bombilla. Una vez conectado, todo tu tráfico pasa por su máquina. Según un estudio de Forbes Advisor (2023), el 43% de los usuarios ha sufrido algún compromiso de seguridad al usar WiFi público. Y no, el candadito del WiFi con contraseña del hotel no te protege si el atacante ya está dentro de esa misma red.

Si te interesa este tema, te recomendamos leer nuestro artículo sobre CSRF: el ataque que ejecuta acciones en tu nombre sin que lo sepas, donde profundizamos en aspectos clave relacionados.

ARP Spoofing en redes corporativas

En redes locales, el ARP spoofing permite al atacante asociar su dirección MAC con la IP del gateway, redirigiendo todo el tráfico de la red a través de su equipo. Es como si el cartero de tu oficina fuera en realidad un espía que abre, lee y vuelve a sellar cada carta antes de entregarla. En 2019, un empleado descontento de una fintech europea usó exactamente esta técnica para interceptar comunicaciones internas y robar datos de clientes durante semanas antes de ser detectado.

DNS Spoofing: el desvío silencioso

Con DNS spoofing, el atacante manipula las respuestas DNS para redirigir a la víctima a un servidor falso. Tecleas "tubanco.com" y llegas a una réplica perfecta controlada por el atacante. El CVE-2008-1447, conocido como el Kaminsky Bug, demostró que la infraestructura DNS global era vulnerable a este tipo de ataque intermediario a gran escala, lo que provocó un parcheo de emergencia coordinado sin precedentes.

Ataques a nivel de certificados

En 2011, la autoridad certificadora DigiNotar fue comprometida y se emitieron certificados SSL fraudulentos para dominios como google.com. Esto permitió un man in the middle masivo contra usuarios iraníes de Gmail. DigiNotar acabó en bancarrota. Más recientemente, en 2023, se descubrieron certificados TLS fraudulentos emitidos por CAs menores que fueron usados en campañas dirigidas de espionaje.

Cómo detectar si estás siendo víctima de un MITM

La gracia (o la desgracia) del ataque man in the middle es que está diseñado para ser invisible. Pero hay señales que, si prestas atención, pueden delatarlo:

  • Advertencias de certificado SSL: Si tu navegador te muestra un error de certificado en un sitio que visitas habitualmente, no lo ignores. Ese "Continuar de todos modos" puede ser la peor decisión de tu día.
  • Conexiones más lentas de lo normal: Un intermediario añade latencia. Si tu conexión va sospechosamente lenta, podría haber alguien reenviando tu tráfico.
  • URLs que cambian de HTTPS a HTTP: Si un sitio que siempre carga con candadito de repente aparece sin él, sospecha. Podría ser un SSL stripping en acción.
  • Desconexiones frecuentes: El ARP spoofing puede causar inestabilidad en la red. Desconexiones repetidas sin motivo aparente son una red flag.
  • Entradas ARP duplicadas: En entornos corporativos, herramientas como arpwatch o XArp pueden detectar cambios sospechosos en la tabla ARP.

En Android e iOS puedes usar aplicaciones como Fing para escanear la red local e identificar dispositivos sospechosos. En escritorio, un simple arp -a en la terminal te muestra la tabla ARP actual — si ves dos IPs diferentes asociadas a la misma MAC, tienes un problema gordo.

Protección real contra ataques MITM: guía práctica

Ahora la parte que importa. De nada sirve saber qué es un MITM si no sabes protegerte. Aquí van medidas concretas, sin bla bla bla:

Si te interesa este tema, te recomendamos leer nuestro artículo sobre Ataques de ransomware a hospitales: cuando el cibercrimen pone vidas en peligro, donde profundizamos en aspectos clave relacionados.

Para usuarios

  • Usa siempre una VPN en redes públicas: Servicios como Mullvad, ProtonVPN o WireGuard cifran todo tu tráfico. Aunque alguien esté en medio, solo verá datos cifrados indescifrables. Es la medida número uno contra el MITM WiFi.
  • Verifica los certificados HTTPS: Antes de meter contraseñas, comprueba que la URL empieza por https:// y que el certificado es válido. Instala la extensión HTTPS Everywhere (ahora integrada en muchos navegadores) o activa el modo "Solo HTTPS" en Firefox y Chrome.
  • No ignores las advertencias del navegador: En serio. Esos avisos de "Tu conexión no es privada" existen por algo. El 62% de los usuarios los ignora según un estudio de Google de 2017. No seas parte de esa estadística.
  • Activa la autenticación de dos factores (2FA): Incluso si te roban la contraseña mediante un ataque intermediario, el segundo factor (preferiblemente una llave física FIDO2 como YubiKey) impide el acceso.
  • Desactiva la conexión automática a WiFi: Tu móvil no debería conectarse solo a redes conocidas. Un evil twin con el mismo SSID que tu WiFi de casa hará que tu dispositivo se conecte automáticamente.

Para administradores de sistemas

  • Implementa HSTS: Fuerza las conexiones HTTPS y evita el SSL stripping. Añade tu dominio a la lista de precarga HSTS de los navegadores.
  • Usa certificate pinning: Especialmente en aplicaciones móviles, fija los certificados esperados para evitar que un certificado fraudulento pase desapercibido.
  • Segmenta la red: Usa VLANs para aislar segmentos de red y limitar el alcance de un posible ARP spoofing.
  • Activa Dynamic ARP Inspection (DAI): En switches gestionados (Cisco, Juniper, etc.), DAI valida los paquetes ARP contra la tabla DHCP snooping y descarta los sospechosos.
  • Monitoriza con herramientas como Snort o Suricata: Los IDS/IPS pueden detectar patrones de tráfico típicos de ataques MITM en tiempo real.
  • Implementa DNSSEC: Protege contra DNS spoofing firmando criptográficamente las respuestas DNS.

Casos reales que demuestran el peligro del man in the middle

Para que no pienses que esto solo pasa en películas de hackers con sudadera y monitor verde:

CasoAñoImpacto
DigiNotar2011Certificados falsos para Google, Yahoo, Mozilla. 300.000 usuarios iraníes espiados. La CA cerró.
Superfish (Lenovo)2015Adware preinstalado en portátiles que instalaba su propio certificado raíz, permitiendo MITM en todo el tráfico HTTPS del usuario.
Equifax2017Aunque el ataque principal fue otro, la falta de inspección de certificados internos facilitó movimientos laterales tipo MITM dentro de la red.
BGP Hijacking de criptomonedas2018Atacantes redirigieron tráfico de MyEtherWallet mediante BGP hijacking (un MITM a nivel de internet), robando 152.000$ en Ethereum.
Operación Aurora (atribuida a China)2010Ataques MITM sofisticados contra Google y otras 34 empresas tecnológicas para acceder a cuentas de activistas.

Estos no son casos aislados. Según el Verizon DBIR 2023, los ataques de interceptar comunicaciones y credential theft asociados a técnicas MITM siguen apareciendo en el 15% de las brechas que involucran accesos no autorizados.

Preguntas frecuentes

¿Puedo sufrir un ataque man in the middle si uso datos móviles en lugar de WiFi?

Es mucho más difícil pero no imposible. Las redes 4G/5G cifran el tráfico entre tu dispositivo y la torre, pero existen ataques con IMSI catchers (también llamados Stingrays) que simulan ser una torre de telefonía y pueden ejecutar un MITM a nivel celular. Estos dispositivos son caros y típicamente los usan agencias gubernamentales, así que a menos que seas un disidente político, el riesgo es bajo. Aun así, una VPN añade una capa extra de protección incluso en datos móviles.

¿HTTPS me protege completamente contra ataques MITM?

HTTPS es tu mejor amigo, pero no es infalible. Técnicas como SSL stripping intentan degradar la conexión a HTTP antes de que se establezca el cifrado. Además, si el atacante tiene acceso a un certificado raíz de confianza (como el caso Superfish de Lenovo), puede descifrar tráfico HTTPS. Por eso es crucial combinar HTTPS con HSTS, certificate pinning y verificación manual de certificados en sitios sensibles. Y por favor, actualiza tu navegador: las versiones modernas son mucho mejores detectando certificados sospechosos.

¿Qué herramientas puedo usar para comprobar si mi red es vulnerable a MITM?

Para auditar tu propia red (legalmente, ojo): Bettercap es la navaja suiza para pruebas MITM en redes locales. Wireshark te permite capturar y analizar tráfico en busca de anomalías. arpwatch monitoriza cambios en la tabla ARP. Para escanear redes WiFi, Aircrack-ng y Kismet pueden detectar evil twins. Y si quieres verificar la implementación SSL/TLS de tu servidor, usa testssl.sh o el test gratuito de Qualys SSL Labs en ssllabs.com.

¿Un ataque intermediario puede interceptar mensajes de WhatsApp o Signal?

WhatsApp y Signal usan cifrado de extremo a extremo (E2EE), lo que significa que ni siquiera un ataque man in the middle a nivel de red puede leer el contenido de los mensajes. Sin embargo, un atacante podría ver metadatos (con quién hablas, cuándo, cuánto). Además, si tu dispositivo está comprometido con malware, el cifrado E2EE no sirve de nada porque el atacante lee los mensajes después de descifrados. El cifrado protege el canal, no el dispositivo.

¿Cómo sé si el WiFi de un hotel o aeropuerto es seguro?

Respuesta corta: no lo sabes, y probablemente no lo es. Respuesta larga: asume siempre que cualquier WiFi que no controles es potencialmente hostil. Usa VPN siempre, no accedas a banca online ni introduzcas credenciales sensibles, y verifica con el personal cuál es el nombre exacto de la red para evitar evil twins. Si puedes, usa los datos de tu móvil como hotspot en lugar del WiFi público. Tu factura de datos será más alta, pero tu cuenta bancaria te lo agradecerá.

Conclusión: no dejes que nadie se ponga en medio

El ataque man in the middle lleva décadas entre nosotros y no va a desaparecer. Mientras existan redes compartidas, humanos que ignoran advertencias de certificados y sistemas mal configurados, los atacantes seguirán colándose en medio de nuestras comunicaciones. La buena noticia es que protegerte no requiere un máster en criptografía: VPN en redes públicas, verificar HTTPS, no ignorar avisos del navegador y activar 2FA te ponen por delante del 90% de los usuarios. Si quieres seguir blindando tu vida digital, explora más artículos en nuestro blog — tenemos guías sobre phishing, malware, privacidad y todo lo que necesitas para que los ciberdelincuentes se busquen otra víctima. Y si tu bandeja de entrada parece un vertedero de spam, ya sabes: MataSpam se encarga de eso con IA, para que tú solo recibas correos que merecen tu atención.

man in the middle mitm interceptar comunicaciones ataque intermediario mitm wifi
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Ataques de canal lateral: Spectre, Meltdown y la explotación del hardware
Ciberataques

Ataques de canal lateral: Spectre, Meltdown y la explotación del hardware

Ciberataques a infraestructura crítica: hospitales, eléctricas y transporte en el punto de mira
Ciberataques

Ciberataques a infraestructura crítica: hospitales, eléctricas y transporte en el punto de mira

SIM swapping: cómo roban tu número de teléfono para vaciar tus cuentas
Ciberataques

SIM swapping: cómo roban tu número de teléfono para vaciar tus cuentas

← Volver al blog