Hay ataques de los que todo el mundo ha oído hablar, como los ataques de denegación de servicio distribuido (DDoS); otros que solo suelen conocer los profesionales, como los ataques man-in-the-middle (MitM), y luego están los más raros y exóticos, como los ataques man-on-the-side (MotS). En esta publicación, hablaremos sobre este último en profundidad y debatiremos cómo se diferencian de los ataques man-in-the-middle.
¡¿Un ataque cómo?!
Entonces, ¿cómo funciona un ataque man-on-the-side? Básicamente, un cliente envía una solicitud a un servidor a través de un canal de transferencia de datos comprometido. Los ciberdelincuentes no tienen controlado este canal, pero sí pueden “escucharlo”. En la mayoría de los casos, un ataque de este tipo requiere el acceso al hardware del proveedor de Internet, algo muy raro, por ello son ataques muy poco comunes. Pero, una vez ejecutado, pueden monitorizar las solicitudes del cliente y generar sus propias respuestas maliciosas.
Los ataques man-in-the-middle funcionan de forma similar: los atacantes también aprovechan el proceso de transferencia de datos entre el cliente y el servidor. La principal diferencia entre estos dos tipos de ataques es que en el man-on-the-side la solicitud del cliente llega al destinatario (el servidor). Por tanto, el objetivo de los atacantes es responder lo más rápido posible a la solicitud del cliente.
En cuanto al man-in-the-middle, los atacantes tienen un mayor nivel de control sobre el canal de transferencia de datos. Interceptan la solicitud y pueden modificar o eliminar los datos enviados por otros usuarios en la misma la red. Por tanto, no tienen por qué ser más rápidos que la respuesta del servidor.
Sin embargo, el man-in-the-middle es un ataque mucho más invasivo que el man-on-the-side, lo que significa que es más fácil de detectar. Ya describimos con más detalle cómo funciona un ataque man-in-the-middle poniendo como ejemplo el clásico cuento de Caperucita Roja en esta publicación.
OK, pero ¿cómo funciona un ataque man-on-the-side?
Un ataque man-on-the-side exitoso permite enviar respuestas falsas a varios tipos de solicitudes al ordenador de la víctima de esta forma:
- Reemplazando un archivo que el usuario desea descargar. Por ejemplo, en el 2022 el grupo de APT LuoYu entregó el malware WinDealer a los dispositivos de sus víctimas, la mayoría diplomáticos, científicos o empresarios de China. Se envió una solicitud al servidor para actualizar el software legítimo, pero los atacantes lograron enviar su propia versión del parche que, como era de esperar, incluía el malware.
- Ejecutando un script malicioso en el dispositivo. De acuerdo con Electronic Frontier Foundation, así es cómo el gobierno chino intentó censurar a GitHub, la conocida comunidad de código abierto, en el 2015. Los atacantes usaron un man-on-the-side para entregar JavaScript malicioso a los navegadores de los usuarios. Como resultado, estos navegadores cargaban una y otra vez las páginas de GitHub. Este ataque DDoS duró más de cinco días y obstaculizó significativamente el servicio.
- Redireccionando a la víctima al sitio web.
Como dato curioso, se sospecha que las agencias de inteligencia de varios países también usan este tipo de ataque.
Cómo protegerte
Como ya hemos dicho, los ataques man-on-the-side son bastante inusuales, dado que necesitan el acceso al hardware del proveedor para poder llevarse a cabo. Por tanto, los viajes de negocios, las conferencias de trabajo o cualquier otra ocasión en la que tus empleados puedan conectarse a redes wifi sin protección son situaciones de alto riesgo. Para mantenerte a salvo, te recomendamos trabajar siempre a través de una VPN y usar una solución de seguridad sólida en todos los dispositivos corporativos de los empleados.