Los ataques de intermediario (MitM) representan una amenaza importante para la seguridad web. En estos ataques, un actor malintencionado intercepta la comunicación entre un cliente y un servidor, lo que les permite espiar, manipular o robar datos. Este blog explorará cómo funcionan los ataques MitM en el contexto de aplicaciones JavaScript y proporcionará pasos prácticos para proteger su aplicación contra estas amenazas.

¿Qué es un ataque de hombre en el medio?

Un ataque de intermediario ocurre cuando un atacante intercepta y transmite en secreto mensajes entre dos partes que creen que se están comunicando directamente entre sí. Esta interceptación puede dar lugar a un acceso no autorizado a datos confidenciales, como credenciales de inicio de sesión, información financiera y datos personales.

Cómo funcionan los ataques MitM

Los ataques MitM se pueden ejecutar de varias maneras, incluyendo:

1. Suplantación de DNS: La suplantación de DNS implica alterar los registros DNS para redirigir a los usuarios a sitios web maliciosos.

Ejemplo:
Suponga que ha implementado su aplicación Node.js y React en xyz.com. Un pirata informático puede manipular los registros DNS para que cuando los usuarios intenten visitar xyz.com, sean redirigidos a un sitio malicioso que parezca idéntico al suyo.

Pasos para prevenir la suplantación de DNS:

• Utilice DNSSEC (Extensiones de seguridad del sistema de nombres de dominio) para agregar una capa adicional de seguridad.
• Supervise y actualice periódicamente sus registros DNS.
• Utilice proveedores de DNS acreditados que ofrezcan funciones de seguridad contra la suplantación de DNS.

# Example of enabling DNSSEC on your domain using Cloudflare
# Visit your domain's DNS settings on Cloudflare
# Enable DNSSEC with a single click

2. Falsificación de IP
La suplantación de IP implica hacerse pasar por una dirección IP confiable para interceptar el tráfico de la red.

Ejemplo:
Un atacante podría falsificar la dirección IP de su servidor para interceptar el tráfico entre sus clientes y su servidor Node.js.

Pasos para prevenir la suplantación de IP:

• Implemente una lista blanca de IP para permitir que solo las direcciones IP confiables se comuniquen con su servidor.
• Utilice medidas de seguridad a nivel de red, como VPN y firewalls.
• Asegure la validación y el filtrado adecuados de las direcciones IP en su servidor.

// Example of IP whitelisting in Express.js
const express = require('express');
const app = express();

const allowedIPs = ['123.45.67.89']; // Replace with your trusted IPs

app.use((req, res, next) => {
  const clientIP = req.ip;
  if (!allowedIPs.includes(clientIP)) {
    return res.status(403).send('Forbidden');
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

3. Falsificación de HTTPS
HTTPS Spoofing implica la creación de certificados SSL falsos para hacerse pasar por un sitio web seguro.

Ejemplo:
Un atacante podría crear un certificado SSL falso para xyz.com y configurar un servidor malicioso que parezca idéntico a su servidor legítimo.

Pasos para prevenir la suplantación de HTTPS:

• Utilice la transparencia de certificados para monitorear y registrar todos los certificados emitidos para su dominio.
• Implemente la fijación de clave pública HTTP (HPKP) para asociar la clave pública criptográfica de su servidor web con un determinado conjunto de sitios web HTTPS.

// Example of implementing HPKP in Express.js
const helmet = require('helmet');
const app = express();

app.use(helmet.hpkp({
  maxAge: 60 * 60 * 24 * 90, // 90 days
  sha256s: ['yourPublicKeyHash1', 'yourPublicKeyHash2'], // Replace with your public key hashes
  includeSubDomains: true
}));

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

4. Escucha Wi-Fi
La escucha de Wi-Fi implica interceptar datos transmitidos a través de redes Wi-Fi no seguras.

Ejemplo:
Un pirata informático podría configurar un punto de acceso Wi-Fi malicioso e interceptar los datos transmitidos entre los usuarios y su servidor cuando se conectan a él.

Pasos para evitar las escuchas Wi-Fi:

• Anima a los usuarios a conectarse solo a redes Wi-Fi seguras.
• Implementar cifrado de extremo a extremo (E2EE) para proteger los datos transmitidos entre el cliente y el servidor.
• Utilice VPN para cifrar el tráfico entre los clientes y su servidor.

// Example of enforcing HTTPS in Express.js
const express = require('express');
const app = express();

app.use((req, res, next) => {
  if (req.headers['x-forwarded-proto'] !== 'https') {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

Prevención de ataques MitM en aplicaciones JavaScript

1. Utilice HTTPS en todas partes
Asegúrese de que todas las comunicaciones entre el cliente y el servidor estén cifradas mediante HTTPS. Utilice herramientas como Let's Encrypt para obtener certificados SSL/TLS gratuitos.

// Enforce HTTPS in Express.js
const express = require('express');
const app = express();

app.use((req, res, next) => {
  if (req.headers['x-forwarded-proto'] !== 'https') {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

2. Validar certificados SSL/TLS
Utilice una validación sólida para los certificados SSL/TLS y evite los certificados autofirmados en producción.

3. Implementar la política de seguridad de contenido (CSP)
Utilice encabezados CSP para restringir las fuentes desde las cuales su aplicación puede cargar recursos, lo que reduce el riesgo de inyección de scripts maliciosos.

// Setting CSP headers in Express.js
const helmet = require('helmet');
app.use(helmet.contentSecurityPolicy({
  directives: {
    defaultSrc: ["'self'"],
    scriptSrc: ["'self'", 'trusted.com'],
    styleSrc: ["'self'", 'trusted.com']
  }
}));

4. Utilice cookies seguras
Asegúrese de que las cookies estén marcadas como seguras y HttpOnly para evitar que se acceda a ellas mediante scripts del lado del cliente.

// Setting secure cookies in Express.js
app.use(require('cookie-parser')());
app.use((req, res, next) => {
  res.cookie('session', 'token', { secure: true, httpOnly: true });
  next();
});

5. Implementar HSTS (Seguridad de transporte estricta HTTP)
Utilice HSTS para obligar a los navegadores a comunicarse solo con su servidor a través de HTTPS.

// Setting HSTS headers in Express.js
const helmet = require('helmet');
app.use(helmet.hsts({
  maxAge: 31536000, // 1 year
  includeSubDomains: true,
  preload: true
}));

Los ataques Man-in-the-Middle pueden tener consecuencias devastadoras para las aplicaciones web, provocando robo de datos y ataques de inyección. Al comprender cómo funcionan estos ataques e implementar medidas de seguridad sólidas, puede proteger sus aplicaciones JavaScript y garantizar la seguridad de los datos de sus usuarios. Utilice siempre HTTPS, valide certificados SSL/TLS, implemente CSP, proteja las cookies y aplique HSTS para mitigar los riesgos de ataques MitM.