ofensiva
man in the middle
MitM
ARP poisoning

Qué es un ataque Man in the Middle (MitM): tipos, ejemplos y defensa

Qué es un ataque MitM, los seis vectores reales (ARP poisoning, DNS spoofing, evil twin, SSL strip, session hijacking, BGP hijack) y cómo protegerse.

Secra10 de mayo de 202613 min de lectura

Un ataque Man in the Middle (MitM) intercepta el tráfico entre dos partes sin que ninguna lo detecte. El atacante se posiciona en medio de la comunicación, lee o modifica el contenido y lo reenvía para que la sesión parezca normal. La traducción literal es "hombre en el medio" y en algunos textos se ha sustituido por "Adversary in the Middle" (AitM) para reflejar mejor el contexto profesional. Sigue siendo una de las primeras categorías de ataque que se enseña en cualquier curso de redes y, a la vez, una de las que más a menudo aparece detrás de incidentes graves cuando se combina con técnicas modernas como bypass de MFA con proxies tipo evilginx.

Esta guía explica qué es exactamente un MitM, los seis vectores que aparecen en el mundo real (ARP poisoning, DNS spoofing, evil twin Wi-Fi, SSL stripping, session hijacking, BGP hijacking), casos documentados y cómo defenderse con HSTS, certificate pinning, MFA resistente al phishing y segmentación de red. Está orientada a equipos defensivos, equipos rojos y administradores que quieren entender qué se sigue colando hoy.

Qué es un ataque Man in the Middle

Un MitM es una intercepción activa de la comunicación entre dos extremos legítimos. El atacante debe conseguir tres cosas:

  1. Posicionarse en el camino, físico o lógico, entre las dos partes.
  2. Capturar el tráfico que pasa.
  3. Mantener la comunicación viva para que las víctimas no detecten anomalía.

Lo que aporta al atacante:

  • Lectura de credenciales y datos sensibles que viajan en claro o que el atacante pueda descifrar.
  • Modificación de transacciones (cambiar destino de transferencia bancaria, alterar contenido de un correo).
  • Captura de sesiones y reuso para entrar como usuario legítimo.
  • Inyección de payload (downgrade a HTTP, malware en respuestas).
  • Bypass de MFA con proxies modernos que reenvían retos en tiempo real.

Lo que limita al atacante en 2026:

  • TLS 1.2/1.3 generalizado y políticas HSTS reducen la captura en claro.
  • Certificados pinning en aplicaciones móviles bloquean a un MitM con certificado emitido por una CA legítima.
  • DNSSEC y DoH/DoT complican el envenenamiento de resoluciones.
  • Detección moderna en Wi-Fi corporativos y EDR atrapa muchos vectores comunes.

Pero ninguna de estas defensas es universal. Donde no se aplican, el MitM sigue siendo un vector real.

Seis vectores MitM en el mundo real

1. ARP Spoofing / ARP Poisoning

El atacante en la misma LAN envía paquetes ARP falsos asociando su MAC a la IP del gateway. Los hosts víctima envían tráfico al atacante creyendo que es la puerta de enlace. El atacante reenvía el tráfico al gateway real para que la conexión funcione, mientras captura todo lo que pasa.

Vector clásico contra Wi-Fi corporativos planos sin segmentación adecuada o redes industriales antiguas. Herramientas: Ettercap, bettercap, arpspoof.

Defensa: VLANs y segmentación adecuada, ARP inspection en switches gestionados, port security, EDR con módulo de red.

2. DNS Spoofing

El atacante manipula la resolución DNS de la víctima para que mibanco.com devuelva una IP controlada. Es la base del pharming: mismo nombre, IP distinta, sitio falso.

Cuatro variantes: modificación local del fichero hosts por un troyano, compromiso del router doméstico, envenenamiento de servidor DNS upstream, redirección a nivel de operadora o registrador.

Defensa: DNSSEC en zonas propias y resolvers validadores, DoH/DoT en clientes, monitorización de cambios DNS, certificate pinning para detectar la diferencia.

3. Evil Twin Wi-Fi

El atacante levanta un punto de acceso Wi-Fi con SSID idéntico al legítimo (STARBUCKS_FREE, AEROPUERTO_GUEST) y señal más fuerte. Los dispositivos de las víctimas se conectan automáticamente y todo el tráfico pasa por el punto controlado.

Combinado con scripts como WiFi Pumpkin o airbase-ng, puede entregar páginas captive portal falsas y robar credenciales de email, redes sociales o VPN corporativa.

Vector dominante en aeropuertos, eventos, espacios coworking y zonas comerciales. La defensa principal en empresa es VPN always-on que evita confiar en cualquier red intermedia, certificate pinning en apps corporativas y formación a empleados con perfil de viajero.

4. SSL Stripping

Técnica documentada por Moxie Marlinspike (2009). El atacante intercepta peticiones HTTP iniciales que el navegador hace antes de la redirección a HTTPS. Cuando el servidor responde con 301 Moved Permanently a https://, el atacante reescribe la respuesta para que la víctima siga en HTTP. Captura todo en claro.

Mitigación principal: HSTS (HTTP Strict Transport Security) con preload, que dice al navegador "este dominio solo se accede por HTTPS, ahora y siempre". Si el dominio está en la lista preload de los navegadores modernos, ni siquiera la primera conexión pasa por HTTP.

Caveat moderno: muchos sitios aún no incluyen HSTS preload. SSL stripping sigue siendo viable contra ellos.

5. Session Hijacking

El atacante captura el cookie de sesión del usuario (típicamente vía MitM en red, XSS o robo desde el dispositivo) y lo presenta al servidor como propio. Si el cookie es válido, accede como el usuario sin necesidad de credenciales.

Casos modernos: bypass de MFA con kits de phishing tipo evilginx2, modlishka o EvilProxy. El atacante levanta un proxy que sirve una réplica del sitio legítimo. La víctima introduce credenciales y código MFA en el proxy; este los reenvía al sitio real, captura el cookie de sesión emitido y se queda con él. La víctima nota un login extraño tarde o nunca.

Defensa principal: MFA resistente a phishing (FIDO2/WebAuthn) que liga la firma a la URL real y bloquea proxies; cookies con flags Secure, HttpOnly, SameSite=Strict; rotación de tokens; corta vida útil.

Más detalle de la familia de tokens en la guía de JWT y seguridad.

6. BGP Hijacking

A nivel de internet, un AS atacante anuncia prefijos IP que no le pertenecen. Los enrutadores BGP de tránsito aceptan el anuncio y empiezan a enviar tráfico al AS atacante. Variante MitM cuando, además de desviar el tráfico, lo reenvía al destino original para mantener la sesión viva.

Casos documentados: secuestro de prefijos de Visa, Cloudflare, varias rutas DNS root. Vector poco aplicable a empresa media (escala internet), sí relevante a operadoras y a empresas con conectividad propia.

Defensa: RPKI con ROAs firmados, monitorización de anuncios BGP del propio prefijo (servicios como BGPmon, MANRS).

Casos reales documentados

Operación Aurora (2009-2010, atribuida a actores chinos contra Google y otras compañías). Combinó MitM en infraestructura comprometida con explotación de vulnerabilidades del navegador para infiltrarse en redes corporativas.

Lenovo Superfish (2014-2015). Un adware preinstalado en portátiles Lenovo instalaba certificado raíz propio y permitía MitM transparente de TLS para inyectar publicidad. Casualidad o no, abrió un agujero MitM masivo en máquinas vendidas durante meses. Lenovo emitió herramientas de eliminación tras la presión pública.

Hacking Team / FinFisher (2015). Las filtraciones del proveedor italiano de spyware mostraron capacidades MitM contra apps móviles mediante certificados emitidos por CAs comprometidas a actores estatales.

Ataques EvilProxy y phishing AitM (2022-2026). Plataformas SaaS que ofrecen MitM moderno como servicio. Han elevado el coste defensivo: el MFA TOTP y SMS clásicos ya no protegen contra estos kits. La adopción de FIDO2/WebAuthn en cuentas privilegiadas pasa de "buena práctica" a "imprescindible".

Ataque Volt Typhoon (2023, atribuido a actores chinos). Comprometieron routers SOHO en Estados Unidos y los usaron como infraestructura intermedia en operaciones contra infraestructura crítica. Los routers servían como puntos MitM y de redirección persistente.

Cómo se detecta

Los siete frentes que cubren un equipo defensivo moderno.

Monitorización de red corporativa. NDR (Network Detection and Response) con detección de patrones ARP anómalos, picos de gateway changes, tráfico hacia IPs no esperadas. SIEM con reglas Sigma públicas para evil twin y ARP poisoning.

Telemetría DNS centralizada. Detección de resoluciones a IPs no esperadas para dominios corporativos, dominios homógrafos. Detalle en qué es un SIEM.

Certificate Transparency monitoring. Servicios que alertan cuando aparece un certificado para un dominio corporativo emitido por una CA inesperada. Pista de un MitM con certificado válido en preparación.

EDR con módulo de red. Detecta cambios en gateway, certificados raíz nuevos, configuraciones DNS anómalas en endpoints. Detalle en qué es un EDR.

Detección de proxies AitM. Plataformas como Microsoft Defender for Cloud Apps, Okta ThreatInsight identifican logins desde infraestructura de evilginx conocida.

Anomalías de geolocalización y device fingerprint. Logins que vienen del ASN de un proxy AitM aunque las credenciales sean correctas: señal de session hijack reciente.

Inspección física. En entornos sensibles, revisión periódica de Wi-Fi corporativo, escaneo de SSIDs duplicados, eliminación de redes invitado mal segmentadas.

Cómo protegerse

Las medidas que cierran realmente la puerta, ordenadas por impacto.

  • MFA resistente a phishing (FIDO2/WebAuthn). Bloquea kits AitM tipo evilginx porque la firma se liga a la URL real. Es la defensa moderna más importante. SMS y TOTP ya no bastan para cuentas privilegiadas.
  • HSTS con preload en todos los dominios corporativos. Cierra SSL stripping casi por completo.
  • Certificate pinning en aplicaciones móviles. Bloquea MitM con certificados emitidos legítimamente desde CAs comprometidas.
  • VPN always-on en endpoints corporativos. Reduce el riesgo de evil twin y redes intermedias hostiles.
  • Segmentación de red y Wi-Fi separados invitado-corporativo con autenticación 802.1X. Reduce ARP poisoning.
  • DNSSEC + DoH/DoT para resolución validada en cliente.
  • Cookies con flags adecuados: Secure, HttpOnly, SameSite=Strict por defecto.
  • Tokens y sesiones de vida corta. Rotación, refresh tokens, invalidación tras eventos sospechosos.
  • Política de routers SOHO: firmware actualizado, credenciales únicas, sin administración remota expuesta.
  • Monitorización del propio dominio en Certificate Transparency, registradores y BGP.
  • Concienciación. Empleados con perfil viajero formados sobre evil twin, phishing AitM y reconocimiento del candado de navegador.

Ninguna medida cierra el problema sola. La defensa es por capas y, en 2026, FIDO2 + HSTS + certificate pinning resuelven el grueso de los escenarios realistas.

MitM en pentesting Red Team

En un ejercicio Red Team profesional, MitM aparece típicamente en estas fases:

  • Reconocimiento de Wi-Fi corporativo en oficinas accesibles físicamente: SSIDs invitado mal segmentados, redes legacy con WPA2-PSK conocida.
  • Posicionamiento en LAN tras acceso inicial vía phishing o vulnerabilidad: ARP poisoning para capturar tráfico interno, NTLM relay (técnica MitM clásica) contra servicios mal configurados.
  • Phishing AitM contra portales corporativos M365 o Workspace, recogiendo cookies de sesión que luego se reusan para acceso persistente.
  • Validación de defensa. El operador prueba si la organización detecta proxies AitM, evil twin o ARP poisoning como parte del entregable.

Detalle metodológico en la guía de Red Team para empresas y en pentesting de infraestructura.

Encaje con compliance

MitM mal mitigado es incumplimiento defendible ante auditoría en marcos vigentes:

  • NIS2 (artículo 21). Medidas de gestión de riesgos, incluyendo seguridad en redes y comunicaciones. Sin HSTS, certificate pinning y MFA fuerte el incumplimiento es defendible.
  • DORA (artículo 9). Resiliencia ICT en servicios financieros. Las entidades financieras son blanco preferente de phishing AitM contra clientes y empleados.
  • ISO 27001:2022 (controles 8.20 redes seguras, 8.21 servicios de red, 8.5 autenticación segura). Documentación y configuración auditable.
  • ENS Real Decreto 311/2022. Medidas op.exp.10 (información en tránsito) y op.acc (control de acceso).
  • PCI DSS v4.0 (req. 4 transmisión cifrada, req. 8 autenticación fuerte).
  • RGPD. Una intercepción exitosa con exfiltración de datos personales es brecha notificable.

Preguntas frecuentes

¿Es seguro usar Wi-Fi público con HTTPS?

Razonablemente sí para sitios con HSTS preload y certificados válidos correctamente verificados por el navegador. Sigue habiendo riesgo en sitios sin HSTS, en aplicaciones que no validan certificados correctamente y en escenarios de evil twin combinado con captive portal. Para perfil corporativo o crítico, VPN always-on es la respuesta.

¿Una VPN evita todos los ataques MitM?

No todos. Evita ARP poisoning, evil twin y SSL strip dentro de la red local porque el tráfico va cifrado dentro del túnel hasta el endpoint VPN. No evita ataques posteriores al endpoint VPN ni proxies AitM contra portales web (la VPN no protege contra phishing).

¿Cómo detecto que estoy bajo MitM en mi navegador?

Pistas rápidas: aviso del navegador sobre certificado, ausencia de candado, dominio con caracteres extraños, redirección inesperada a HTTP. Pistas avanzadas: certificate transparency mismatches, HSTS no respetado. Para usuarios técnicos, Wireshark sobre la conexión propia muestra anomalías. Para usuarios corporativos, el EDR debe alertar.

¿El MFA por SMS protege contra MitM?

Solo parcialmente y en escenarios viejos. Frente a kits modernos (evilginx, EvilProxy, Modlishka) el MFA SMS y TOTP cae igual que la contraseña, porque el proxy reenvía el código al sitio real y captura la cookie de sesión emitida. La defensa real es FIDO2/WebAuthn o claves físicas tipo YubiKey.

¿Qué relación hay entre MitM y pharming?

Pharming es una variante de MitM enfocada en la resolución de nombres: en lugar de interceptar el tráfico en transit, manipula a qué IP se conecta la víctima. Una vez la víctima llega al sitio falso, lo que sigue es captura clásica de credenciales. Los dos términos solapan; en empresa moderna se trata como mismo problema con vectores distintos.

¿Sigue siendo viable el ataque MitM en 2026?

Sí, especialmente con kits AitM contra portales con MFA débil, evil twin en redes Wi-Fi, ARP poisoning en LANs corporativas mal segmentadas y manipulación a nivel de router SOHO. Lo que ha cambiado es la sofisticación de los kits comerciales: AitM-as-a-service ha bajado la barrera técnica y aumenta la frecuencia.

¿Un equipo Red Team debería incluir MitM en alcance?

Sí, especialmente phishing AitM y validación de evil twin. Si la organización confía solo en MFA TOTP/SMS, un MitM controlado revela el riesgo real antes que un ataque en producción. Detalles operativos en la guía de TIBER-EU y TLPT.

Recursos relacionados

Auditoría MitM en Secra

En Secra evaluamos exposición a MitM en tres frentes habituales: revisión de configuración HSTS, certificate pinning y políticas de cookies en aplicaciones web y móviles del cliente; auditoría de redes Wi-Fi corporativas (segmentación, autenticación, detección de evil twin); ejercicios controlados de phishing AitM contra portales SSO para validar si MFA y SOC del cliente detectan el patrón. Si tu organización opera Wi-Fi corporativo abierto, depende todavía de MFA SMS o TOTP en cuentas privilegiadas, o nunca ha auditado la pila TLS de sus aplicaciones críticas, escríbenos a través de contacto o consulta nuestro servicio de auditoría web y móvil.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

ofensiva

Ataques Kerberos en Active Directory: Kerberoasting, Golden Ticket y delegaciones

Cómo funciona Kerberos en Active Directory y guía técnica de Kerberoasting, AS-REP Roasting, Golden Ticket, delegaciones y DCSync, con detección y mitigación.

2026-05-1015 min
ofensiva

DorkGPT: cómo la IA generativa está acelerando OSINT y Google Dorking

Qué es DorkGPT, cómo los LLM aceleran Google Dorking para OSINT y Red Team, riesgos legales, limitaciones reales y defensa frente al reconocimiento por IA.

2026-05-1011 min
ofensiva

Qué es Maltego: OSINT, threat intelligence e investigación gráfica

Qué es Maltego, cómo funcionan entidades y transforms, versiones CE/Pro/Enterprise, casos de uso OSINT y Red Team, alternativas y aspectos legales.

2026-05-1015 min