Blocand
Recupera tu dinero

Man-in-the-middle: cómo accede a nuestros dispositivos y el rastro invisible que detectamos en Blocand

  • # Blog
man-in-the-middle

Tabla de contenidos

Imagina que entras en tu banca online, realizas una transferencia de 1.000 euros a un proveedor y, segundos después, recibes un mensaje de confirmación con los datos correctos. Todo parece normal. Sin embargo, días después, tu proveedor te llama diciendo que no ha recibido nada. Al revisar el extracto real del banco, descubres que el dinero ha volado a una cuenta desconocida. ¿Qué ha pasado? Has sido víctima de un ataque Man-in-the-middle (MitM), específicamente en su variante más letal: el Man-in-the-Browser (MitB).

En este artículo, vamos a desgranar técnicamente el concepto de man-in-the-middle como accede a nuestros dispositivos y cómo en Blocand trabajamos como investigadores forenses para localizar ese punto de entrada exacto, algo fundamental para demostrar el dolo o la falta de diligencia en una reclamación judicial.

La evolución del ataque de man-in-the-middle: del cable al navegador

Antiguamente, un ataque Man-in-the-middle requería que el hacker estuviera físicamente «en medio» de la comunicación (por ejemplo, interceptando el Wi-Fi de una cafetería). Hoy, la amenaza es mucho más sofisticada. El atacante ya no espera en la red; se instala directamente en tu equipo.

Cuando hablamos de Man-in-the-Browser (MitB), nos referimos a un malware (normalmente un troyano bancario) que se infiltra en el proceso de tu navegador. Lo peligroso es que, al estar dentro del equipo, el cifrado HTTPS (el famoso candado verde) no sirve de nada. El malware lee los datos «en texto plano» antes de que el navegador los cifre para enviarlos.

¿Cómo se produce la infección? Los vectores de entrada

Para entender cómo man-in-the-middle accede a nuestros dispositivos, debemos analizar los tres vectores principales que detectamos en nuestras investigaciones:

1. Phishing de nueva generación y archivos LNK

Ya no solo se trata de correos con faltas de ortografía. Los ataques actuales utilizan archivos de acceso directo maliciosos (LNK). Un caso reciente es el troyano Coyote, que llega camuflado como una factura o un documento urgente. Al abrirlo, ejecuta comandos ocultos de PowerShell con el parámetro -w hid (modo oculto) para descargar la carga útil sin que el usuario vea ninguna ventana abierta.

2. El caballo de Troya moderno: extensiones de navegador falsas

Este es, posiblemente, el vector más crítico hoy en día. Muchas extensiones que prometen bloquear publicidad, gestionar PDFs o incluso integrar funciones de inteligencia artificial son en realidad malware. Campañas como ShadyPanda han llegado a afectar a más de 4 millones de usuarios, operando de forma legítima durante años para ganar confianza antes de activar su código malicioso mediante una actualización silenciosa.

3. Malvertising y envenenamiento de SEO

Los atacantes compran anuncios en Google para que, al buscar «descargar VPN gratis» o «banca online», su sitio web malicioso aparezca en primera posición. Una vez que el usuario descarga el software, el equipo queda infectado de forma persistente.

El «truco técnico”: API Hooking y manipulación del DOM

Una vez que el malware está dentro, ¿cómo logra cambiar una transferencia sin que te des cuenta? Aquí entra la ingeniería de precisión de man-in-the-middle.

  • API Hooking: El malware localiza librerías críticas del sistema como WinINet.dll o NSS (en Firefox). Mediante una técnica llamada Inline Hooking, el atacante sobrescribe los primeros bytes de las funciones de envío de datos con una instrucción de salto (JMP) hacia su propio código malicioso. Así, cuando tú das a «Enviar», el malware intercepta la petición, cambia la cuenta de destino por la suya y luego deja que la petición siga su curso.
  • Manipulación del DOM (Document Object Model): Las extensiones maliciosas tienen acceso total a lo que ves en pantalla. Pueden leer los campos del formulario de transferencia, modificarlos en el último milisegundo y, lo más increíble, aplicar el Cloaking de recibos. Esto significa que, cuando el banco devuelve la confirmación con la cuenta del hacker, la extensión escanea el código HTML de la página en tiempo real y vuelve a escribir los datos originales del usuario. Tú ves en pantalla que la transferencia fue a tu proveedor, pero el servidor del banco procesó la cuenta del criminal.

La labor de Blocand: detectando el dolo y el punto de entrada

Cuando una empresa o un particular sufre este fraude, el banco suele defenderse alegando que el cliente «autorizó la operación» con su clave o SMS (2FA). Aquí es donde la intervención de Blocand es decisiva.

Como peritos e investigadores, nuestro trabajo consiste en realizar una intervención forense del endpoint para demostrar que el consentimiento del usuario estaba viciado por un agente externo.

¿Qué buscamos exactamente?

  1. Persistencia «Fileless» en WMI: Buscamos suscripciones a eventos de Windows que reactivan el malware tras cada reinicio, una técnica que no deja archivos en el disco y que los antivirus tradicionales suelen pasar por alto.
  2. Modificaciones en el Registro de Windows: Analizamos claves como HKCU\Software\Microsoft\Windows\CurrentVersion\Run o secuestros de objetos COM para identificar cuándo se cargó el troyano por primera vez.
  3. Análisis de Extensiones: Auditamos el historial de instalaciones del navegador para encontrar extensiones con permisos excesivos de chrome.declarativeNetRequest que hayan sido usadas para eliminar las cabeceras de seguridad (CSP) del sitio web del banco.

Al localizar el momento exacto y la técnica de infección, proporcionamos la prueba técnica necesaria para demostrar el modus operandi. Esto permite a los abogados argumentar que el sistema de seguridad del banco no fue capaz de detectar una anomalía técnica evidente o que existió un «dolo» por parte de los atacantes que el usuario no podía evitar con una diligencia normal.

Conclusión y prevención

El ataque man-in-the-middle es hoy en día una batalla que se libra en la memoria RAM y en los procesos del navegador. La mejor defensa es la higiene digital extrema:

  • Desconfiar de archivos .lnk o scripts de PowerShell recibidos por correo.
  • Limitar las extensiones del navegador al mínimo absoluto y verificar sus desarrolladores.
  • Utilizar métodos de autenticación Out-of-Band (OOB) físicos, como llaves de seguridad FIDO2 (Yubikeys), que son inmunes a la interceptación del navegador.

Si crees que has sido víctima, recuerda: no toques nada. Cada minuto cuenta y el rastro digital es volátil. En Blocand, nos encargamos de encontrar la «bala» digital que permita recuperar tu dinero y demostrar la verdad ante los tribunales.

Contáctanos ahora y comenzaremos a rastrear tu caso

Analizar mi caso GRATIS

También te puede interesar...

exchange crypto español
  • Blog

Mejor exchange crypto español para empresas: agilidad y KYB en tiempo récord

perito judicial informático
  • Blog

Perito judicial informático: ¿por qué tu «rastreo» casero puede arruinar tu caso?

chat falso
  • Blog

Chats falsos: el escenario donde empieza el robo

Scroll al inicio