Saltar al contenido

Próxima Edición del Bootcamp
4 de mayo de 2026

Seguridad Ofensiva

Ataque Man-in-the-Middle

Un ciberataque donde un atacante intercepta secretamente y potencialmente altera las comunicaciones entre dos partes que creen estar comunicándose directamente, permitiendo espionaje, robo de datos y secuestro de sesiones.

Autor
Unihackers Team
Tiempo de lectura
5 min de lectura
Última actualización

Por Qué Importa

Los ataques Man-in-the-Middle (MITM) representan una amenaza fundamental para las comunicaciones seguras. Cuando los atacantes se posicionan entre las partes comunicantes, pueden espiar datos sensibles, robar credenciales, modificar transacciones e inyectar contenido malicioso—todo mientras las víctimas permanecen inconscientes.

El impacto de los ataques MITM ha impulsado la adopción masiva del cifrado. La transición de HTTP a HTTPS, el despliegue de certificate transparency y el desarrollo de protocolos de mensajería segura responden a las amenazas MITM. Sin embargo, persisten vulnerabilidades en sistemas heredados, servidores mal configurados y la disposición de usuarios a ignorar advertencias de seguridad.

Los ataques MITM siguen siendo relevantes en múltiples contextos: redes Wi-Fi públicas, entornos corporativos con infraestructura comprometida, vigilancia estatal y ataques dirigidos contra individuos específicos. Las técnicas escalan desde herramientas de red simples hasta capacidades sofisticadas a nivel estatal.

Para los profesionales de seguridad, entender los ataques MITM informa tanto el trabajo ofensivo como defensivo. Los pentesters demuestran estas vulnerabilidades a las organizaciones; los ingenieros de red implementan protecciones; y los arquitectos de seguridad diseñan sistemas que resisten la interceptación.

Cómo Funcionan los Ataques MITM

En un ataque MITM, el atacante se inserta en la ruta de comunicación:

Fases del Ataque

  1. Interceptación: El atacante gana posición entre la víctima y el destino
  2. Descifrado: Si el tráfico está cifrado, el atacante rompe o evade el cifrado
  3. Espionaje/Modificación: El atacante lee, copia o altera los datos
  4. Reenvío: El tráfico continúa al destino previsto para evitar detección

Técnicas MITM

Ataques a Nivel de Red

ARP Spoofing/Poisoning

Explota el Protocolo de Resolución de Direcciones (ARP) para asociar la dirección MAC del atacante con la dirección IP de la víctima, redirigiendo el tráfico a través del atacante.

arp-spoof.sh
Bash

# Usando arpspoof (parte de dsniff) - solo para pruebas autorizadas
# Esto envenena las cachés ARP para interceptar tráfico

# Reenviar tráfico entre víctima y gateway
echo 1 > /proc/sys/net/ipv4/ip_forward

# Falsificar respuestas ARP
arpspoof -i eth0 -t 192.168.1.100 192.168.1.1  # Decir a víctima que somos gateway
arpspoof -i eth0 -t 192.168.1.1 192.168.1.100  # Decir a gateway que somos víctima

DNS Spoofing

Devuelve respuestas DNS falsas, redirigiendo víctimas a servidores controlados por el atacante.

DHCP Spoofing

Un servidor DHCP malicioso proporciona direcciones del atacante como gateway predeterminado o servidor DNS.

BGP Hijacking

Manipula el enrutamiento de internet para redirigir tráfico a través de redes controladas por el atacante. Usado en ataques de estados-nación.

Ataques Inalámbricos

Evil Twin (Gemelo Malvado)

Crea un punto de acceso falso imitando una red legítima. Las víctimas se conectan sin saberlo, enrutando todo el tráfico a través del atacante.

evil-twin-setup.txt
Text

Componentes del Ataque Evil Twin:
1. Adaptador inalámbrico en modo monitor
2. Hostapd creando punto de acceso falso
3. Servidor DHCP asignando IPs
4. Servidor DNS para posible spoofing
5. Herramientas de interceptación (mitmproxy, bettercap)

Ataques KARMA/MANA

Responden a cualquier solicitud de sondeo WiFi, engañando a dispositivos para conectarse a redes del atacante.

Ataques SSL/TLS

SSL Stripping

Degrada conexiones HTTPS a HTTP, interceptando tráfico no cifrado.

ssl-strip.txt
Text

Flujo de SSL Stripping:

1. Víctima solicita http://banco.com
2. Servidor redirige a https://banco.com
3. Atacante intercepta la redirección
4. Atacante establece HTTPS con el servidor
5. Atacante sirve HTTP a la víctima
6. Víctima ve http://banco.com (sin HTTPS)
7. Atacante retransmite tráfico, leyendo todo

Suplantación de Certificados

El atacante presenta certificados fraudulentos. Requiere:

  • Que la víctima ignore advertencias de certificado
  • Una Autoridad Certificadora comprometida
  • Certificado raíz instalado por el atacante

Bypass de HSTS

Explotando brechas en la implementación de HTTP Strict Transport Security.

Ataques a Nivel de Aplicación

Secuestro de Sesión

Robar tokens de sesión para suplantar usuarios autenticados.

Interceptación de Email

MITM en protocolos de email no cifrados (IMAP, SMTP sin TLS).

Interceptación de API

Interceptar comunicaciones de apps móviles o dispositivos IoT con servidores backend.

Indicadores de Detección

Señales de Red

  • Cambios inesperados en tabla ARP
  • Advertencias de certificados en navegadores
  • Anomalías en resolución DNS
  • Latencia de red inusual
  • Dispositivos desconocidos en la red

Señales de Aplicación

  • HTTP en lugar del esperado HTTPS
  • Cambios en emisor de certificado
  • Solicitudes de autenticación inesperadas
  • Desconexiones de sesión
detect-arp-spoof.sh
Bash

# Verificar direcciones MAC duplicadas (señal de ARP spoofing)
arp -a | sort | uniq -d

# Monitorear tabla ARP por cambios
watch -n 1 'arp -a'

# Usar arpwatch para monitoreo automatizado
arpwatch -i eth0

Prevención y Mitigación

Cifrado

  • TLS/HTTPS en todas partes: Cifrar todo el tráfico web
  • HSTS: Forzar HTTPS y prevenir ataques de degradación
  • Certificate pinning: Validar certificados específicos en apps
  • Cifrado de extremo a extremo: Proteger contra compromiso de infraestructura

Autenticación

  • Mutual TLS: Ambas partes verifican certificados
  • Certificate transparency: Detectar certificados no autorizados
  • DNSSEC: Prevenir DNS spoofing
  • Autenticación fuerte: MFA reduce el impacto del robo de credenciales

Seguridad de Red

mitm-prevention.txt
Text

Protecciones a Nivel de Red:
- Dynamic ARP Inspection (DAI)
- DHCP snooping
- Seguridad de puertos en switches
- Autenticación de red 802.1X
- Segmentación de red
- VPN para redes no confiables

Concienciación del Usuario

  • No ignorar advertencias de certificados
  • Verificar HTTPS en sitios sensibles
  • Evitar actividades sensibles en Wi-Fi público
  • Usar VPN en redes no confiables
  • Verificar solicitudes inusuales por canales separados

Conexión Profesional

Las técnicas de ataque y defensa MITM abarcan seguridad de red, seguridad de aplicaciones y pruebas de penetración. Entender estos ataques es esencial para cualquiera que trabaje con infraestructura de red o comunicaciones seguras.

Roles de Seguridad de Red (Mercado EE.UU.)

RoleEntry LevelMid LevelSenior
Analista de Seguridad de Red65.000 US$90.000 US$120.000 US$
Pentester80.000 US$110.000 US$145.000 US$
Arquitecto de Seguridad115.000 US$145.000 US$185.000 US$

Source: CyberSeek

En el Bootcamp

Cómo Enseñamos Ataque Man-in-the-Middle

En nuestro Programa de Ciberseguridad, no solo aprenderás sobre Ataque Man-in-the-Middle en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 10: Pentesting y Hacking Ético

Temas relacionados que dominarás:MetasploitNmapBurp SuiteEscalada de Privilegios
Ver Cómo Enseñamos Esto

360+ horas de formación experta • 94% tasa de empleo