Definición: ¿Qué significa Ataque de hombre en el medio (MITM)?
Un ataque man-in-the-middle (MITM) es una forma de espionaje donde la comunicación entre dos usuarios es monitoreada y modificada por una parte no autorizada. Generalmente, el atacante escucha a escondidas interceptando un intercambio de mensajes de clave pública y retransmite el mensaje mientras reemplaza la clave solicitada con la suya propia.
En el proceso, las dos partes originales parecen comunicarse normalmente. El remitente del mensaje no reconoce que el receptor es un atacante desconocido que intenta acceder o modificar el mensaje antes de retransmitirlo al receptor. Así, el atacante controla toda la comunicación.
Este término también se conoce como ataque janus o ataque de bomberos.
Techinfo explica el ataque Man-in-the-Middle (MITM)
MITM lleva el nombre de un juego de pelota en el que dos personas juegan a atrapar mientras una tercera persona en el medio intenta interceptar la pelota. MITM también se conoce como un ataque de bomberos, un término derivado del proceso de emergencia de pasar cubos de agua para apagar un incendio.
El MITM intercepta las comunicaciones entre dos sistemas y se realiza cuando el atacante tiene el control de un enrutador a lo largo de un punto de tráfico normal. En casi todos los casos, el atacante se encuentra en el mismo dominio de transmisión que la víctima. Por ejemplo, en una transacción HTTP, existe una conexión TCP entre el cliente y el servidor. El atacante divide la conexión TCP en dos conexiones: una entre la víctima y el atacante y la otra entre el atacante y el servidor. Al interceptar la conexión TCP, el atacante actúa como un proxy leyendo, alterando e insertando datos en la comunicación interceptada. El intruso puede capturar fácilmente la cookie de sesión que lee el encabezado HTTP.
En una conexión HTTPS, se establecen dos conexiones SSL independientes en cada conexión TCP. Un ataque MITM se aprovecha de la debilidad del protocolo de comunicación de red, convenciendo a la víctima de enrutar el tráfico a través del atacante en lugar del enrutador normal y generalmente se lo conoce como suplantación de identidad ARP.