Man in the middle

En criptografía, un ataque man-in-the-middle o JANUS (MitM o intermediario, en español) es un ataque en el que se adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.




La Guardia Civil ha desarticulado una organización criminal que presuntamente estafó a empresas e instituciones de varios países europeos más de 300.000 euros a través de Internet, utilizando el método del 'phishing' --suplantando identidades por correo electrónico--, en el marco de la denominada operación 'Trasfer', la más importante llevada a cabo en Andalucía contra el cibercrimen.
Así lo ha señalado en rueda de prensa en Granada el delegado del Gobierno en Andalucía, Antonio Sanz, quien ha indicado que en el marco de este operativo, que comenzó a gestarse en el mes de marzo, han sido detenidas doce personas en Granada, Alicante y Mallorca por los presuntos delitos de estafa, blanqueo de capital y organización criminal.
Entre los detenidos se encuentran los cabecillas de esta red criminal, dos hombres de nacionalidad nigeriana y la mujer de uno de ellos, que habla cinco idiomas, lo que le sirvió para facilitar la estafa a escala internacional. El resto de los detenidos son las 'mulas' (receptores del dinero estafado) y el coordinador de los mismos, todos ellos de nacionalidad española.
En España han sido presuntamente estafados el Ayuntamiento de Ferreira en Granada --unos 30.000 euros--, y una empresa eléctrica de Lugo a las que se suman empresas e instituciones alemanas, austriacas, brasileñas, bosnias y suizas.
'MODUS OPERANDI'
El 'modus operandi' utilizado por los cabecillas de esta red es el denominado 'man in the middle'. Lograban acceder al correo electrónico del gerente o administrador de una empresa y estudiaban las bandejas de entrada y salida de su correo electrónico. Observaban con quién se comunicaba de forma regular y sobre todo prestaban especial atención a las comunicaciones con su entidad bancaria y a las operaciones de compraventa de la empresa, obteniendo de una manera u otra el número de cuenta bancaria.
Una vez obtenido el número de cuenta bancaria de la empresa o de la institución, los detenidos suplantaban la identidad del gerente, se ponían en contacto con su entidad bancaria y le ordenaban una o varias transferencias a la cuenta de una de las "mulas" con la excusa de realizar un pago relacionado con la actividad de la empresa.
También solían hacerlo al revés. Cuando habían identificado a los clientes de la empresa se ponían en contacto con ellos y les indicaban mediante correo electrónico una nueva cuenta bancaria en la que realizar los pagos. Evidentemente esta nueva cuenta era de una de las "mulas" de la organización.
Cuando las "mulas" recibían el ingreso, se quedaban con su comisión y el resto del dinero se lo entregaban en mano al coordinador, que a su vez era el encargado de entregárselo a los cabecillas.
MEDIDAS DE SEGURIDAD PARA EVITAR SER DESCUBIERTOS
Los detenidos, ocho de ellos en Granada, y el resto entre Alicante y Mallorca, eran muy precavidos y, para evitar dejar rastro de sus actividades ilícitas, o bien utilizaban redes públicas para acceder a internet, zonas wifi o locutorios; o bien utilizaban la red wifi de algún vecino.
La Guardia Civil durante la investigación ha encontrado en poder de los detenidos documentación con anotaciones detalladas sobre cómo atacar una red wifi doméstica, así como el nombre de varias redes wifi que presuntamente habían usurpado y sus correspondientes contraseñas.
Los detenidos también tomaban medidas de seguridad para contactar entre ellos. Utilizaban teléfonos de seguridad, concertaban entrevistas en lugares a los que denominaban utilizando nombres en clave y entre ellos utilizaban apodos o nombres falsos.
Esta operación comenzó a gestarse el pasado mes de marzo, después de que la Unidad Orgánica de Policía Judicial de la Guardia Civil de Granada recibiera la denuncia de un ciudadano porque le habían ingresado dinero en su cuenta bancaria procedente de una empresa extranjera que desconocía, una posible "mula" a la que la organización querría captar, según ha explicado el general de División de la IV Zona de la Guardia Civil, Laurentino Ceña.
Al investigar el origen de este dinero fue cuando la Guardia Civil detectó que pudiera tratase de una estafa cibernética en la que habían utilizado el método del 'phishing', o alguna variante similar.
Normalmente este tipo de estafas suelen acabar con la identificación de la persona utilizada como "mula". Sin embargo la Guardia Civil ha conseguido llegar hasta la cúpula de la organización y desarticular todo el entramado, lo que ha sido destacado por Sanz, quien ha dado la enhorabuena por ello a la Guardia Civil.
La fase de explotación de esta operación se inició el pasado día 12 de junio. Se realizaron cuatro registros domiciliarios y la Guardia Civil intervino dos vehículos, siete ordenadores, cinco tabletas, 36 teléfonos móviles, dos cámaras de fotos, dos cámaras de vídeo, cuatro tarjetas Alpha que utilizaban para captar las redes wifi ajenas y poder acceder a ellas, numerosos pendrives, cuatro routers y 20 tarjetas telefónicas.
La Guardia Civil ha podido bloquear a los detenidos 51.000 euros de los 300.000 que presuntamente han estafado.
"NO EXISTE LA IMPUNIDAD EN INTERNET"
El fiscal del Servicio de Criminalidad Informática de Granada, Francisco Hernández Guerrero, ha advertido de que casos como éste evidencian que "no existe la impunidad en internet": "Será difícil, pero tenemos la paciencia, los medios y los conocimientos para vencer todos los obstáculos", ha mantenido el representante del Ministerio Público, que ha resaltado que nunca antes se había llegado a una escala tan alta en organización de este tipo.
Según ha explicado, a la red se le atribuye lo que se denomina un delito multietapa de estafa con soporte 'phising', que implica la comisión de una serie de delitos en base a un "plan preconcebido". En este caso, se produjo un acceso a redes wifi de manera irregular, el apoderamiento de datos personales (mediante el sistema 'man in the middle'), la estafa mediante transferencias y finalmente blanqueo de capitales.
Por todo, Sanz ha agradecido "el gran esfuerzo" que realizan las Fuerzas y Cuerpos de Seguridad del Estado para combatir los cirberdelitos que, según ha recordado, "suponen ya la tercera forma delictiva y criminal más importante a nivel mundial".
Según los datos que ha facilitado, este esfuerzo "está dando sus frutos" y permitió que, en el año 2014, se esclarecieran un total de 4.343 casos de ciberdelito en Andalucía. Además, se detuvo o imputó a 1.188 personas.

A continuación algunas recomendaciones de VeriSign para evitar ataques “man-in-the-middle”

Usuarios finales:

– Los ataques man-in-the-middle que se encuentran en la actualidad se pueden combatir a través de los Certificados EV SSL y prestando atención cuando falta el brillo o color verde. Los Certificados EV SSL confirman en forma definitiva la identidad de la organización que posee el sitio web. Los criminales informáticos no tienen acceso a los Certificados EV SSL de los sitios que falsifican y, por lo tanto, no pueden imitar el color verde que muestra que un sitio web autenticado es seguro.
– Descargue la última versión de los navegadores web de alta seguridad, como Internet Explorer 7 o versión superior, FireFox 3 o versión superior, Google Chrome, Safari u Opera.
– Aproveche los dispositivos de autenticación como los tokens y otras formas de autenticación con dos factores para cuentas confidenciales.
– Trate los correos electrónicos que reciba de remitentes desconocidos con un alto grado de escepticismo y no haga clic en enlaces para obtener acceso a sitios seguros (escriba la dirección del sitio en el navegador).

Empresas:

– Coloque el Certificado SSL EV en su página de inicio y en cualquier otra página donde se realice una transacción segura.
– No ofrezca logins en páginas que todavía no están en una sesión SSL.
– Ofrezca autenticación con dos factores a los clientes como una forma opcional de agregar otro nivel de seguridad cuando se obtiene acceso a las cuentas.
– No incluya enlaces en los correos electrónicos que envíe a clientes y pídales que descarguen la última versión de sus navegadores de su preferencia.

Llevar a cabo este tipo de ataque no es algo demasiado complejo pero se requieren algunos conocimientos previos y tener en cuenta algunas variables a la hora de intentarlo.