Búsqueda de Ciberamenazas

El ataque MitM que realmente tuvo un Hombre en el Medio

Escrito por
25 mayo 2023
Threat Research carcel mitm Ransomware

Han tenido que pasar más de cinco años para que se hiciera justicia en este caso, pero al final la policía y los tribunales lo consiguieron.

La policía del Reino Unido informó esta semana de la peculiar historia de un tal Ashley Liles, el literal Hombre en el Medio al que nos referíamos en el titular.

Hoy en día, solemos ampliar el término de la jerga MitM para que signifique Manipulador en el Medio, no sólo para evitar el término de género “hombre”, sino también porque muchos, si no la mayoría, de los ataques MitM hoy en día los realizan máquinas.

Algunos técnicos incluso han adoptado el nombre de Máquina en el Medio, pero nosotros preferimos “manipulador” porque creemos que describe útilmente cómo funciona este tipo de ataque, y porque (como muestra esta historia) a veces es realmente el hombre, y no una máquina, el que está en el medio.

MitM explicado

Un ataque MitM depende de que alguien o algo pueda interceptar los mensajes que te envían y modificarlos en el camino para engañarte.

El atacante también suele modificar tus respuestas al remitente original, para que no se dé cuenta del engaño y caiga en la trampa contigo.

Como puedes imaginar, la criptografía es una forma de evitar los ataques MitM, ya que la idea es que si los datos se cifran antes de ser enviados, entonces quienquiera o lo que sea que esté en medio no puede darles ningún sentido.

El atacante no solo tendría que desencriptar los mensajes de cada extremo para averiguar lo que significan, sino también volver a encriptar correctamente los mensajes modificados antes de transmitirlos, para evitar ser detectado.

Una historia clásica, y fatal, de MitM se remonta a finales de la década de 1580, cuando los espías de la reina Isabel I de Inglaterra pudieron interceptar y manipular la correspondencia secreta de María, reina de Escocia.

María, que era prima y archirrival política de Isabel, estaba entonces bajo estricto arresto domiciliario; al parecer, sus mensajes secretos entraban y salían de contrabando en barriles de cerveza que se entregaban en el castillo donde estaba detenida.

Para desgracia de María, los espías de la reina Bess no solo pudieron interceptar y leer los mensajes de María, sino también enviar respuestas falsificadas que indujeron a María a poner por escrito detalles suficientes para delatarla, revelando que estaba al corriente y apoyaba activamente un complot para asesinar a Isabel.

María fue condenada a muerte y ejecutada en 1587.

Avance rápido hasta 2018

Esta vez, afortunadamente, no hubo planes de asesinato, e Inglaterra abolió la pena de muerte en 1998.

Pero este delito de interceptación de mensajes del siglo XXI fue tan audaz como sencillo.

Una empresa de Oxford, Inglaterra, justo al norte de Sophos (estamos a 15 km río abajo, en Abingdon-on-Thames, por si te lo estabas preguntando) fue atacada por un ransomware en 2018.

En 2018, ya habíamos entrado en la era contemporánea del ransomware, en la que los delincuentes irrumpen y chantajean a empresas, pidiendo enormes sumas de dinero, en lugar de ir tras decenas de miles de propietarios de ordenadores individuales por 300 $ cada uno.

Fue entonces cuando el autor ahora condenado pasó de ser un administrador de sistemas de la empresa afectada a un ciberdelincuente “hombre en el medio”.

Mientras colaboraba tanto con la empresa como con la policía para hacer frente al ataque, el autor, Ashely Liles, de 28 años, se volvió contra sus colegas:

  • Modificando los correos electrónicos que los delincuentes enviaban a sus jefes, y cambiando las direcciones Bitcoin indicadas para el pago del chantaje. De este modo, Liles esperaba interceptar cualquier pago que pudiera realizarse.
  • Suplantando los mensajes de los delincuentes originales para aumentar la presión para que pagaran. Suponemos que Liles utilizó sus conocimientos internos para crear los peores escenarios posibles, más creíbles que cualquier amenaza que pudieran haber ideado los atacantes originales.

En el informe policial no queda claro cómo pretendía Liles cobrar exactamente.

¿Quizás pretendía simplemente huir con todo el dinero y luego actuar como si el ladrón del cifrado se hubiera dado a la fuga con las criptomonedas?

¿Quizás añadió su propio margen de beneficio a la tarifa e intentó negociar a la baja la demanda de los atacantes, con la esperanza de obtener un pago masivo para sí mismo, al tiempo que conseguía la clave de descifrado, se convertía en un héroe en el proceso de “recuperación” y desviaba así las sospechas?

El fallo del plan

Sucedió que el plan de Liles se arruinó por dos motivos: la empresa no pagó, por lo que no había Bitcoins que interceptar, y su manipulación no autorizada del sistema de correo electrónico de la empresa apareció en los registros del sistema.

La policía detuvo a Liles y registró su equipo informático en busca de pruebas, solo para descubrir que había borrado sus ordenadores, su teléfono y un montón de unidades USB unos días antes.

Sin embargo, la policía recuperó datos de los dispositivos no tan borrados de Liles, vinculándolo directamente con lo que se puede considerar una doble extorsión: intentar estafar a sus jefes y, al mismo tiempo, estafar a los estafadores que ya estaban estafando a sus jefes.

Curiosamente, este caso se prolongó durante cinco años, en los que Liles mantuvo su inocencia hasta que, de repente, decidió declararse culpable en una vista judicial celebrada el 17/5/2023.

(Declararse culpable conlleva una reducción de la condena, aunque, según la normativa vigente, la cuantía del “descuento”, como se conoce de forma bastante extraña pero oficial en Inglaterra, disminuye cuanto más tiempo aguanta el acusado antes de admitir que lo hizo).

¿Qué hacer?

Esta es la segunda amenaza interna sobre la que escribimos este mes, así que repetiremos el consejo que dimos antes:

  • Divide y vencerás. Intenta evitar situaciones en las que los administradores de sistemas individuales tengan acceso ilimitado a todo. Esto hace más difícil a los empleados deshonestos urdir y ejecutar ciberdelitos “internos” sin involucrar a otras personas en sus planes, y arriesgándose así a una exposición temprana.
  • Mantén registros inmutables. En este caso, Liles fue aparentemente incapaz de eliminar las pruebas que demostraban que alguien había manipulado el correo electrónico de otras personas, lo que condujo a su detención. Dificulta todo lo que puedas que alguien, interno o externo, manipule tu ciber historia oficial.
  • Evalúa siempre, nunca supongas. Obtén una confirmación independiente y objetiva de las afirmaciones sobre seguridad. La gran mayoría de los administradores de sistemas son honestos, a diferencia de Ashley Liles, pero pocos aciertan al 100% siempre.
Acerca del autor

Naked Security es el blog oficial de Sophos en inglés en el que se cometan las últimas noticias sobre ciberseguridad.

Leer artículos similares

Dejar un comentario

Your email address will not be published. Required fields are marked *