Cuidado con el 'Man in the middle': el método con el que han estafado más de dos millones de euros a empresas y autónomos

En este caso, la investigación para dar con esta red de ciberdelincuentes se ha prolongado durante dos años tras «múltiples y complejas» indagaciones, según apunta la Policía Nacional.

¿Tan difícil resulta detectar este tipo de estafa? ¿En qué consiste? El Instituto Nacional de Ciberseguridad califica a 'Man in the middle' (Hombre en el medio) como un ataque «muy peligroso y difícil de detectar». Como su mismo nombre indica, consiste en interceptar la comunicación entre dos o más interlocutores. Para ello, alguien anónimo llamado 'X' se sitúa entre ambos e intercepta los mensajes de A hacia B, de modo que puede acceder al contenido de la información, modificarlo y dejar que el mensaje continúe su camino.

En las estafas a empresas o autónomos, los ciberdelincuentes suelen interceptar las comunicaciones electrónicas entre proveedores y clientes con la finalidad de acceder a la documentación que estos intercambian.

Los ataques 'Man in the middle' se pueden dar en tres escenarios diferentes, como apunta el Instituto Nacional de Ciberseguridad (Incibe): puntos de acceso wifi abiertos o con baja seguridad; redes locales (LAN), o un software de navegación anticuado.

Los atacantes aprovechan la escasa seguridad de los puntos de acceso wifi públicos o imitan el nombre de una red cercana (SSID) para crear confusión y que algunas personas se conecten por error a ella. El Incibe recuerda que muchos dispositivos están configurados por defecto para conectarse de manera automática y sin preguntar a las redes abiertas más cercanas.

En cuanto a las redes locales (Local Area Network LAN) de las empresas, el atacante debe tener acceso a la red local corporativa, desde donde puede lanzar un ataque haciendo creer que se trata de un dispositivo legítimo de la misma y forzando a que todo el tráfico generado pase a través del dispositivo controlado por el ciberdelincuente. Este acceso se puede llevar a cabo de forma física, con un ordenador, o mediante un 'malware' que infecte los servidores de la empresa.

Por último, los atacantes también aprovechan las vulnerabilidades de los navegadores que se encuentran obsoletos o no actualizados.

El Incibe advierte de que es muy difícil detectar cuándo se está sufriendo un ataque 'Man In The Middle', por lo tanto, la prevención es una de las pocas herramientas con las que se cuenta. Este organismo recomieda poner en práctica algunas acciones específicas:

- Acceso a sitios web seguros con certificado. (Aquellos que empiezan por HTTPS, comprobando que el certificado pertenece a la compañía o entidad que corresponde).

- Proteger la red wifi de la empresa. Asegurando como mínimo la red en modo WPA2-AES con contraseñas robustas y difíciles de adivinar para evitar que los atacantes puedan colarse en la red local.

- Si es necesario que los clientes se conecten a una red de la empresa, mejor habilitar una red de invitados con acceso restringido a la red corporativa y servicios de la empresa.

- Tener actualizado el software de nuestros equipos, especialmente el sistema operativo y el navegador.

- Utilizar contraseñas robustas y siempre que sea posible habilitar la autenticación en dos pasos.

- Evitar conectar a redes wifi abiertas (las que se pueden encontrar en cafeterías, hoteles, aeropuertos, centros comerciales, vecindarios...), y en caso de conexión utilizar una red privada virtual o VPN.

- Si se usan redes públicas sin una VPN (centros comerciales, aeropuertos...), no se debe difundir información personal conectándose a redes sociales o banca online, entre otros ejemplos.

- Evitar redes VPN gratuitas, ya que se desconoce quién está detrás de ellas y el uso que puedan darle a la información.

- Evitar abrir enlaces de correo procedentes de fuentes desconocidas.

- Emplear software de seguridad como antivirus y antimalware en los equipos corporativos y mantenerlo actualizado, realizando escaneos frecuentemente. Además, también es aconsejable proteger la red LAN mediante el uso de hardware especifico de seguridad como Firewalls o mUTM's con IPS/IDS (prevención y detección de intrusiones), mejorando así tanto la seguridad pasiva como la activa de la red corporativa.

- Mantener el firewall por software activado en aquellos sistemas que lo permitan.

- Proteger la página web corporativa mediante un certificado SSL.

- Realizar limpieza de los equipos si se ha sufrido una infección reciente o existe sospecha de ello a causa de comportamientos extraños, ventanas emergentes, o publicidad.