SlideShare una empresa de Scribd logo

Ataquemaninthemiddle 120626135616-phpapp01

Hai Nguyen
Hai Nguyen
1 de 3
Descargar para leer sin conexión
Ataque Man-in-the-middle 1 Ataque Man-in-the-middle En criptografía, un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación. La necesidad de una transferencia adicional por un canal seguro Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro. En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro. Posibles subataques El ataque MitM puede incluir algunos de los siguientes subataques: • Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos. • Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado. • Ataques de sustitución. • Ataques de repetición. • Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío de periódico de mensajes de status autenticados. MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación. Un ejemplo de criptografía de clave pública Supóngase que Alice desea comunicarse con Bob, y Mallory quiere interceptar esa conversación, o quizá hacer llegar un mensaje falso a Bob. Para inciar la comunicación, Alice debe solicitar a Bob su clave pública. Si Bob envía su clave a Alice, pero Mallory es capaz de interceptarla, ésta podría desplegar un ataque MitM. Mallory podría enviar a Alice su propia clave pública (de Mallory, en lugar de la de Bob). Alice, creyendo que la clave pública recibida es de Bob, cifraría su mensaje con la clave de Mallory y enviaría el criptograma a Bob. Mallory interceptaría de nuevo, descifraría el mensaje con su clave privada, guardaría una copia; volvería a cifrar el mensaje con la clave de Bob (tras una alteración, si así lo deseara) y lo re-enviaría a Bob. Cuando éste lo recibiera, creería que proviene de Alice. Este ejemplo ilustra la necesidad de Alice y Bob de contar con alguna garantía de que están usando efectivamente las claves públicas correctas. En otro caso, sus comunicaciones se verían expuestas a ataques de este tipo usando la tecnología de clave pública. Afortunadamente, existe una variedad de técnicas que ayudan a defenderse de los ataques MitM.
Ataque Man-in-the-middle 2 Defensas contra el ataque La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en: • Claves públicas • Autenticación mutua fuerte • Claves secretas (secretos con alta entropía) • Passwords (secretos con baja entropía) • Otros criterios, como el reconocimiento de voz u otras características biométricas La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo). Enlaces externos • Address Resolution Protocol Spoofing and Man-in-the-Middle Attacks [1] • Ataques MITM [2] • ARP Cache Poisoning [3] • MitM Team [4] • Ataque man in the middle [5] Referencias [1] http://www.sans.org/reading_room/whitepapers/threats/474.php [2] http://brsi.blogspot.com/2006/08/ataques-mitm.html [3] http://www.grc.com/nat/arp.htm [4] http://www.mitm.cl [5] http://alfonsocruz.blogspot.com/2009/05/ataque-man-in-middle.html
Fuentes y contribuyentes del artículo 3 Fuentes y contribuyentes del artículo Ataque Man-in-the-middle  Fuente: http://es.wikipedia.org/w/index.php?oldid=27679537  Contribuyentes: Acprisip, Alexav8, Death Master, Eloy, Garpanta, Ignacioerrico, Juan Antonio Cordero, Patriote, Pieter, Soporte88, 7 ediciones anónimas Licencia Creative Commons Attribution-Share Alike 3.0 Unported http://creativecommons.org/licenses/by-sa/3.0/

Recomendados

Ataque man in_the_middle
Ataque man in_the_middleAtaque man in_the_middle
Ataque man in_the_middle
G Hoyos A
 
ATAQUE MAN IN THE MIDDLE
ATAQUE MAN IN THE MIDDLEATAQUE MAN IN THE MIDDLE
ATAQUE MAN IN THE MIDDLE
Alberto Zurita
 
Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middle
Tensor
 
Man in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónMan in The Middle, Ataque y Detección
Man in The Middle, Ataque y Detección
Alejandro Galvez
 
Criptografía y esteganografía
Criptografía y esteganografíaCriptografía y esteganografía
Criptografía y esteganografía
Jhonatan Arias
 
Criptografí1
Criptografí1Criptografí1
Criptografí1
stephanie2021
 
Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middle
Tensor
 
Criptografía
CriptografíaCriptografía
Criptografía
CECyTEM
 

Recomendados

Ataque man in_the_middle
Ataque man in_the_middleAtaque man in_the_middle
Ataque man in_the_middle
G Hoyos A
 
ATAQUE MAN IN THE MIDDLE
ATAQUE MAN IN THE MIDDLEATAQUE MAN IN THE MIDDLE
ATAQUE MAN IN THE MIDDLE
Alberto Zurita
 
Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middle
Tensor
 
Man in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónMan in The Middle, Ataque y Detección
Man in The Middle, Ataque y Detección
Alejandro Galvez
 
Criptografía y esteganografía
Criptografía y esteganografíaCriptografía y esteganografía
Criptografía y esteganografía
Jhonatan Arias
 
Criptografí1
Criptografí1Criptografí1
Criptografí1
stephanie2021
 
Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middle
Tensor
 
Criptografía
CriptografíaCriptografía
Criptografía
CECyTEM
 
Man in the middle
Man in the middleMan in the middle
Man in the middle
Héctor Romeero López
 
Clave secreta y pública
Clave secreta y públicaClave secreta y pública
Clave secreta y pública
luciasancheztico
 
Criptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libreCriptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libre
plinio.puello
 
Criptografia
Criptografia Criptografia
Criptografia
Alex Miguel
 
Técnicas de Cifrado y Descifrado
Técnicas de Cifrado y DescifradoTécnicas de Cifrado y Descifrado
Técnicas de Cifrado y Descifrado
Hacking Bolivia
 
Criptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaCriptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diaria
econtinua
 
Cuervo 13
Cuervo 13Cuervo 13
Cuervo 13
zockmer sb
 
Tecnicas de criptografia
Tecnicas de criptografiaTecnicas de criptografia
Tecnicas de criptografia
Tensor
 
TeráN MáRquez Jenny 1 C ; Criptografia
TeráN MáRquez Jenny 1 C ; CriptografiaTeráN MáRquez Jenny 1 C ; Criptografia
TeráN MáRquez Jenny 1 C ; Criptografia
JENNY
 
Criptografia los papis x d
Criptografia los papis x dCriptografia los papis x d
Criptografia los papis x d
werita2pac
 
Criptografia y Esteganografia
Criptografia y EsteganografiaCriptografia y Esteganografia
Criptografia y Esteganografia
camila-gomez12
 
Criptogrfia
CriptogrfiaCriptogrfia
Criptogrfia
supernovaceil
 
Criptología
CriptologíaCriptología
Criptología
Vanessa Castillo
 
G:\Criptografia
G:\CriptografiaG:\Criptografia
G:\Criptografia
enriquemorenoramos
 
Trabajo final criptografía
Trabajo final criptografíaTrabajo final criptografía
Trabajo final criptografía
Leidy Johana Garcia Ortiz
 
Criptografia
CriptografiaCriptografia
Criptografia
guestf4c748
 
Criptogtafia
CriptogtafiaCriptogtafia
Criptogtafia
Aiko Himeko
 
Noticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
Noticia 3 !7490.Protección Extra para Comunicaciones InalámbricasNoticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
Noticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
Teo Engel
 
03 introseginfo
03 introseginfo03 introseginfo
03 introseginfo
Roberto Moreno Doñoro
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
César Augusto Céspedes Cornejo
 
Nakomsa home
Nakomsa homeNakomsa home
Nakomsa home
Nakomsa Komfort Ambiental
 
HIT Content Marketing Tip 6-18-15
HIT Content Marketing Tip 6-18-15HIT Content Marketing Tip 6-18-15
HIT Content Marketing Tip 6-18-15
Karen Repoli
 

Más contenido relacionado

La actualidad más candente

Criptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libreCriptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libre
plinio.puello
 
TeráN MáRquez Jenny 1 C ; Criptografia
TeráN MáRquez Jenny 1 C ; CriptografiaTeráN MáRquez Jenny 1 C ; Criptografia
TeráN MáRquez Jenny 1 C ; Criptografia
JENNY
 
Noticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
Noticia 3 !7490.Protección Extra para Comunicaciones InalámbricasNoticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
Noticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
Teo Engel
 

La actualidad más candente (20)

Man in the middle
Man in the middleMan in the middle
Man in the middle
 
Clave secreta y pública
Clave secreta y públicaClave secreta y pública
Clave secreta y pública
 
Criptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libreCriptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libre
 
Criptografia
Criptografia Criptografia
Criptografia
 
Técnicas de Cifrado y Descifrado
Técnicas de Cifrado y DescifradoTécnicas de Cifrado y Descifrado
Técnicas de Cifrado y Descifrado
 
Criptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaCriptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diaria
 
Cuervo 13
Cuervo 13Cuervo 13
Cuervo 13
 
Tecnicas de criptografia
Tecnicas de criptografiaTecnicas de criptografia
Tecnicas de criptografia
 
TeráN MáRquez Jenny 1 C ; Criptografia
TeráN MáRquez Jenny 1 C ; CriptografiaTeráN MáRquez Jenny 1 C ; Criptografia
TeráN MáRquez Jenny 1 C ; Criptografia
 
Criptografia los papis x d
Criptografia los papis x dCriptografia los papis x d
Criptografia los papis x d
 
Criptografia y Esteganografia
Criptografia y EsteganografiaCriptografia y Esteganografia
Criptografia y Esteganografia
 
Criptogrfia
CriptogrfiaCriptogrfia
Criptogrfia
 
Criptología
CriptologíaCriptología
Criptología
 
G:\Criptografia
G:\CriptografiaG:\Criptografia
G:\Criptografia
 
Trabajo final criptografía
Trabajo final criptografíaTrabajo final criptografía
Trabajo final criptografía
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Criptogtafia
CriptogtafiaCriptogtafia
Criptogtafia
 
Noticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
Noticia 3 !7490.Protección Extra para Comunicaciones InalámbricasNoticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
Noticia 3 !7490.Protección Extra para Comunicaciones Inalámbricas
 
03 introseginfo
03 introseginfo03 introseginfo
03 introseginfo
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 

Destacado

הסדנא הרוחנית של ערכים 2 2
הסדנא הרוחנית של ערכים 2 2הסדנא הרוחנית של ערכים 2 2
הסדנא הרוחנית של ערכים 2 2
weiss2001
 
the mystery man cartoon
the mystery man cartoonthe mystery man cartoon
the mystery man cartoon
swag101
 
CIS 2015-API's & Identity: Enabling the Business to Become the Cloud- Carlos ...
CIS 2015-API's & Identity: Enabling the Business to Become the Cloud- Carlos ...CIS 2015-API's & Identity: Enabling the Business to Become the Cloud- Carlos ...
CIS 2015-API's & Identity: Enabling the Business to Become the Cloud- Carlos ...
CloudIDSummit
 
Bh us-03-ornaghi-valleri
Bh us-03-ornaghi-valleriBh us-03-ornaghi-valleri
Bh us-03-ornaghi-valleri
Hai Nguyen
 
Comeval seguridad alivio
Comeval seguridad alivioComeval seguridad alivio
Comeval seguridad alivio
casv9
 

Destacado (20)

Nakomsa home
Nakomsa homeNakomsa home
Nakomsa home
 
HIT Content Marketing Tip 6-18-15
HIT Content Marketing Tip 6-18-15HIT Content Marketing Tip 6-18-15
HIT Content Marketing Tip 6-18-15
 
Kapitlu4 risposti
Kapitlu4 rispostiKapitlu4 risposti
Kapitlu4 risposti
 
Resume
ResumeResume
Resume
 
הסדנא הרוחנית של ערכים 2 2
הסדנא הרוחנית של ערכים 2 2הסדנא הרוחנית של ערכים 2 2
הסדנא הרוחנית של ערכים 2 2
 
the mystery man cartoon
the mystery man cartoonthe mystery man cartoon
the mystery man cartoon
 
Cosmos recruitment
Cosmos recruitmentCosmos recruitment
Cosmos recruitment
 
Clap game this is my friend
Clap game this is my friendClap game this is my friend
Clap game this is my friend
 
CIS 2015-API's & Identity: Enabling the Business to Become the Cloud- Carlos ...
CIS 2015-API's & Identity: Enabling the Business to Become the Cloud- Carlos ...CIS 2015-API's & Identity: Enabling the Business to Become the Cloud- Carlos ...
CIS 2015-API's & Identity: Enabling the Business to Become the Cloud- Carlos ...
 
Kapitlu 10 revizjoni
Kapitlu 10 revizjoniKapitlu 10 revizjoni
Kapitlu 10 revizjoni
 
Bh us-03-ornaghi-valleri
Bh us-03-ornaghi-valleriBh us-03-ornaghi-valleri
Bh us-03-ornaghi-valleri
 
Kapitlu5 test and answers
Kapitlu5 test and answersKapitlu5 test and answers
Kapitlu5 test and answers
 
Grk fina@l
Grk fina@lGrk fina@l
Grk fina@l
 
Folleto pasión por las artes marzo abril 2016
Folleto pasión por las artes marzo abril 2016Folleto pasión por las artes marzo abril 2016
Folleto pasión por las artes marzo abril 2016
 
A mit m
A mit mA mit m
A mit m
 
Zsun
ZsunZsun
Zsun
 
Wic2010b
Wic2010bWic2010b
Wic2010b
 
Comeval seguridad alivio
Comeval seguridad alivioComeval seguridad alivio
Comeval seguridad alivio
 
Kapitlu8 revizjoni
Kapitlu8 revizjoniKapitlu8 revizjoni
Kapitlu8 revizjoni
 
Como contratar uma equipe campea
Como contratar uma equipe campeaComo contratar uma equipe campea
Como contratar uma equipe campea
 

Similar a Ataquemaninthemiddle 120626135616-phpapp01

Sesión 09 Sitios Web y Falsificación, ataques internos y SWeb 15-04.pdf
Sesión 09 Sitios Web y Falsificación, ataques internos y SWeb 15-04.pdfSesión 09 Sitios Web y Falsificación, ataques internos y SWeb 15-04.pdf
Sesión 09 Sitios Web y Falsificación, ataques internos y SWeb 15-04.pdf
Noe Castillo
 
Leccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de gradoLeccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de grado
claoeusse
 

Similar a Ataquemaninthemiddle 120626135616-phpapp01 (20)

Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middle
 
Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middle
 
Definición de seguridad privada
Definición de seguridad privadaDefinición de seguridad privada
Definición de seguridad privada
 
Sesión 09 Sitios Web y Falsificación, ataques internos y SWeb 15-04.pdf
Sesión 09 Sitios Web y Falsificación, ataques internos y SWeb 15-04.pdfSesión 09 Sitios Web y Falsificación, ataques internos y SWeb 15-04.pdf
Sesión 09 Sitios Web y Falsificación, ataques internos y SWeb 15-04.pdf
 
Leccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de gradoLeccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de grado
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Sesión 09 09-04.pdf
Sesión 09 09-04.pdfSesión 09 09-04.pdf
Sesión 09 09-04.pdf
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Seguridad de redes y seguridad de informacion, Erik Simbaña
Seguridad de redes y seguridad de informacion, Erik SimbañaSeguridad de redes y seguridad de informacion, Erik Simbaña
Seguridad de redes y seguridad de informacion, Erik Simbaña
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
 
Seguridad en Sistemas Distribuidos
Seguridad en Sistemas DistribuidosSeguridad en Sistemas Distribuidos
Seguridad en Sistemas Distribuidos
 
Modelos de ataques
Modelos de ataquesModelos de ataques
Modelos de ataques
 
Ataques informáticos
Ataques informáticosAtaques informáticos
Ataques informáticos
 
01 ataques informaticos
01 ataques informaticos01 ataques informaticos
01 ataques informaticos
 
Actividad 6
Actividad 6Actividad 6
Actividad 6
 
Revista de informatica
Revista de informaticaRevista de informatica
Revista de informatica
 
La criptografia
La criptografiaLa criptografia
La criptografia
 
Criptografia
Criptografia Criptografia
Criptografia
 
Seguridad en internet.ppt
Seguridad en internet.pptSeguridad en internet.ppt
Seguridad en internet.ppt
 

Más de Hai Nguyen

Sp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideSp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guide
Hai Nguyen
 
Session 7 e_raja_kailar
Session 7 e_raja_kailarSession 7 e_raja_kailar
Session 7 e_raja_kailar
Hai Nguyen
 
Securing corporate assets_with_2_fa
Securing corporate assets_with_2_faSecuring corporate assets_with_2_fa
Securing corporate assets_with_2_fa
Hai Nguyen
 
Scc soft token datasheet
Scc soft token datasheetScc soft token datasheet
Scc soft token datasheet
Hai Nguyen
 
Rsa two factorauthentication
Rsa two factorauthenticationRsa two factorauthentication
Rsa two factorauthentication
Hai Nguyen
 
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Hai Nguyen
 
Pg 2 fa_tech_brief
Pg 2 fa_tech_briefPg 2 fa_tech_brief
Pg 2 fa_tech_brief
Hai Nguyen
 
Ouch 201211 en
Ouch 201211 enOuch 201211 en
Ouch 201211 en
Hai Nguyen
 
N ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authenticationN ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authentication
Hai Nguyen
 
Multiple credentials-in-the-enterprise
Multiple credentials-in-the-enterpriseMultiple credentials-in-the-enterprise
Multiple credentials-in-the-enterprise
Hai Nguyen
 
Mobile authentication
Mobile authenticationMobile authentication
Mobile authentication
Hai Nguyen
 
Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462
Hai Nguyen
 
Identity cues two factor data sheet
Identity cues two factor data sheetIdentity cues two factor data sheet
Identity cues two factor data sheet
Hai Nguyen
 
Hotpin datasheet
Hotpin datasheetHotpin datasheet
Hotpin datasheet
Hai Nguyen
 
Ds netsuite-two-factor-authentication
Ds netsuite-two-factor-authenticationDs netsuite-two-factor-authentication
Ds netsuite-two-factor-authentication
Hai Nguyen
 
Datasheet two factor-authenticationx
Datasheet two factor-authenticationxDatasheet two factor-authenticationx
Datasheet two factor-authenticationx
Hai Nguyen
 
Cryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for bankingCryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for banking
Hai Nguyen
 

Más de Hai Nguyen (20)

Sp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideSp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guide
 
Sms based otp
Sms based otpSms based otp
Sms based otp
 
Session 7 e_raja_kailar
Session 7 e_raja_kailarSession 7 e_raja_kailar
Session 7 e_raja_kailar
 
Securing corporate assets_with_2_fa
Securing corporate assets_with_2_faSecuring corporate assets_with_2_fa
Securing corporate assets_with_2_fa
 
Scc soft token datasheet
Scc soft token datasheetScc soft token datasheet
Scc soft token datasheet
 
Rsa two factorauthentication
Rsa two factorauthenticationRsa two factorauthentication
Rsa two factorauthentication
 
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
 
Pg 2 fa_tech_brief
Pg 2 fa_tech_briefPg 2 fa_tech_brief
Pg 2 fa_tech_brief
 
Ouch 201211 en
Ouch 201211 enOuch 201211 en
Ouch 201211 en
 
N ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authenticationN ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authentication
 
Multiple credentials-in-the-enterprise
Multiple credentials-in-the-enterpriseMultiple credentials-in-the-enterprise
Multiple credentials-in-the-enterprise
 
Mobile authentication
Mobile authenticationMobile authentication
Mobile authentication
 
Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462
 
Identity cues two factor data sheet
Identity cues two factor data sheetIdentity cues two factor data sheet
Identity cues two factor data sheet
 
Hotpin datasheet
Hotpin datasheetHotpin datasheet
Hotpin datasheet
 
Gambling
GamblingGambling
Gambling
 
Ds netsuite-two-factor-authentication
Ds netsuite-two-factor-authenticationDs netsuite-two-factor-authentication
Ds netsuite-two-factor-authentication
 
Datasheet two factor-authenticationx
Datasheet two factor-authenticationxDatasheet two factor-authenticationx
Datasheet two factor-authenticationx
 
Csd6059
Csd6059Csd6059
Csd6059
 
Cryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for bankingCryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for banking
 

Ataquemaninthemiddle 120626135616-phpapp01

  • 1. Ataque Man-in-the-middle 1 Ataque Man-in-the-middle En criptografía, un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación. La necesidad de una transferencia adicional por un canal seguro Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro. En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro. Posibles subataques El ataque MitM puede incluir algunos de los siguientes subataques: • Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos. • Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado. • Ataques de sustitución. • Ataques de repetición. • Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío de periódico de mensajes de status autenticados. MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación. Un ejemplo de criptografía de clave pública Supóngase que Alice desea comunicarse con Bob, y Mallory quiere interceptar esa conversación, o quizá hacer llegar un mensaje falso a Bob. Para inciar la comunicación, Alice debe solicitar a Bob su clave pública. Si Bob envía su clave a Alice, pero Mallory es capaz de interceptarla, ésta podría desplegar un ataque MitM. Mallory podría enviar a Alice su propia clave pública (de Mallory, en lugar de la de Bob). Alice, creyendo que la clave pública recibida es de Bob, cifraría su mensaje con la clave de Mallory y enviaría el criptograma a Bob. Mallory interceptaría de nuevo, descifraría el mensaje con su clave privada, guardaría una copia; volvería a cifrar el mensaje con la clave de Bob (tras una alteración, si así lo deseara) y lo re-enviaría a Bob. Cuando éste lo recibiera, creería que proviene de Alice. Este ejemplo ilustra la necesidad de Alice y Bob de contar con alguna garantía de que están usando efectivamente las claves públicas correctas. En otro caso, sus comunicaciones se verían expuestas a ataques de este tipo usando la tecnología de clave pública. Afortunadamente, existe una variedad de técnicas que ayudan a defenderse de los ataques MitM.
  • 2. Ataque Man-in-the-middle 2 Defensas contra el ataque La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en: • Claves públicas • Autenticación mutua fuerte • Claves secretas (secretos con alta entropía) • Passwords (secretos con baja entropía) • Otros criterios, como el reconocimiento de voz u otras características biométricas La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo). Enlaces externos • Address Resolution Protocol Spoofing and Man-in-the-Middle Attacks [1] • Ataques MITM [2] • ARP Cache Poisoning [3] • MitM Team [4] • Ataque man in the middle [5] Referencias [1] http://www.sans.org/reading_room/whitepapers/threats/474.php [2] http://brsi.blogspot.com/2006/08/ataques-mitm.html [3] http://www.grc.com/nat/arp.htm [4] http://www.mitm.cl [5] http://alfonsocruz.blogspot.com/2009/05/ataque-man-in-middle.html
  • 3. Fuentes y contribuyentes del artículo 3 Fuentes y contribuyentes del artículo Ataque Man-in-the-middle  Fuente: http://es.wikipedia.org/w/index.php?oldid=27679537  Contribuyentes: Acprisip, Alexav8, Death Master, Eloy, Garpanta, Ignacioerrico, Juan Antonio Cordero, Patriote, Pieter, Soporte88, 7 ediciones anónimas Licencia Creative Commons Attribution-Share Alike 3.0 Unported http://creativecommons.org/licenses/by-sa/3.0/