Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints. Cinco añLíder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity || Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud || Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity || Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Identity Security
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      Analyses forensiques, IRR et préparation aux incidents.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es un ataque AitM (Adversary-in-the-Middle)?
Cybersecurity 101/Inteligencia sobre amenazas/Adversario en el medio (AitM)

¿Qué es un ataque AitM (Adversary-in-the-Middle)?

Los ataques Adversary-in-the-Middle (AiTM) manipulan las comunicaciones con fines maliciosos. Comprenda sus tácticas y cómo defenderse de ellos.

CS-101_Threat_Intel.svg
Tabla de contenidos

Entradas relacionadas

  • ¿Qué es la detección y respuesta ante amenazas (TDR)?
  • ¿Qué son los ataques de fuerza bruta?
  • ¿Qué es la ciberresiliencia? Ventajas y retos
  • ¿Qué es el malware polimórfico? Ejemplos y retos
Actualizado: July 16, 2025

Los ataques Adversary-in-the-Middle (AITM) son una forma sofisticada de ataques MITM que implican suplantar a ambas partes. Esta guía explora cómo funcionan los ataques AITM, sus riesgos y las estrategias para su detección y prevención.

Descubra la importancia de una autenticación y un cifrado sólidos. Comprender los ataques AITM es esencial para que las organizaciones mejoren sus defensas de ciberseguridad.

Breve descripción general de los ataques de adversario en el medio (AitM)

Los ataques AitM se caracterizan por su participación activa, que va más allá de la escucha pasiva para manipular activamente los datos y las comunicaciones. Esto los convierte en una potente amenaza en el panorama de la ciberseguridad.

El concepto de los ataques AitM tiene su origen en la evolución histórica de los ataques MitM, que surgieron originalmente como un medio para interceptar las comunicaciones entre dos partes. Los primeros ataques MitM a menudo implicaban el espionaje de canales de comunicación no cifrados, como redes Wi-Fi no seguras o tráfico de correo electrónico no cifrado. Estos ataques buscaban comprometer la confidencialidad de los datos sin necesariamente alterar el contenido que se transmitía.

Hoy en día, los ataques AitM han evolucionado hasta convertirse en altamente sofisticados y maliciosos. Pueden manifestarse de diversas formas, entre ellas:

  • Recopilación de credenciales – Los atacantes AitM pueden interceptar credenciales de inicio de sesión, como nombres de usuario y contraseñas, para obtener acceso no autorizado a cuentas y sistemas confidenciales.
  • Manipulación de datos – Estos atacantes pueden modificar el contenido de los paquetes de datos en tránsito, lo que podría alterar la información o inyectar código malicioso en flujos de datos legítimos.
  • Espionaje – Aunque los ataques AitM suelen implicar una manipulación activa, también pueden espiar de forma pasiva comunicaciones confidenciales con fines de espionaje o robo de datos.
  • Phishing & Spoofing – Los ataques AitM pueden implicar suplantar la identidad de entidades legítimas para engañar a las víctimas y que revelen información confidencial o participen en transacciones fraudulentas.
  • Malware Entrega – En algunos casos, los atacantes AitM pueden utilizar su posición para distribuir actualizaciones de software malicioso o cargas útiles con el fin de comprometer los sistemas objetivo.

La importancia de los ataques AitM radica en su potencial para causar daños graves. Pueden socavar la integridad de los datos, comprometer la privacidad, facilitar el robo de identidad y permitir el fraude financiero. En sectores críticos como las finanzas, la sanidad y la administración pública, los ataques AitM pueden provocar brechas devastadoras con consecuencias de gran alcance.

Comprender cómo funciona el Adversary-in-the-Middle (AitM)

En un ataque AitM, el actor malicioso se posiciona estratégicamente entre el remitente y el destinatario de los datos o la comunicación. Esta posición permite al atacante interceptar, manipular o redirigir el tráfico que pasa entre las dos partes. Esto se puede lograr a través de diversos medios, como comprometer dispositivos de red, explotar vulnerabilidades o infiltrarse en una red por otros medios.

Una vez en una posición estratégica, el atacante intercepta el tráfico de datos que pasa entre la víctima y su destino previsto. Esta interceptación puede producirse en varias capas de comunicación, incluida la capa de red (por ejemplo, enrutando el tráfico a través de un servidor proxy malicioso), la capa de transporte (por ejemplo, interceptando conexiones TCP/IP) o incluso la capa de aplicación (por ejemplo, manipulando solicitudes y respuestas HTTP).

Manipulación activa

Lo que distingue a los ataques AitM es su manipulación activa de los datos interceptados. El atacante puede modificar el contenido de los paquetes, inyectar cargas maliciosas o alterar los datos en tránsito. Esta manipulación puede adoptar varias formas:

  • Modificación del contenido – Los atacantes pueden cambiar el contenido de los mensajes, archivos o paquetes de datos para insertar contenido malicioso, como malware o información fraudulenta.
  • Exfiltración de datos – Los atacantes AitM pueden extraer información confidencial del tráfico interceptado, como credenciales de inicio de sesión, datos financieros o documentos confidenciales.
  • Inyección de carga útil – Se pueden inyectar cargas maliciosas, como malware o ransomware, en flujos de datos legítimos, lo que permite la ejecución remota de código o un mayor compromiso de los sistemas.

Secuestro de sesión

Los atacantes AitM pueden secuestrar sesiones de comunicación establecidas entre la víctima y el punto final legítimo. Esto a menudo implica tomar el control de los tokens de sesión o cookies, suplantando eficazmente a la víctima para obtener acceso no autorizado a sistemas o cuentas protegidos.

Phishing y suplantación de identidad

Los atacantes AitM pueden utilizar su posición para suplantar a entidades de confianza, como sitios web, servidores de correo electrónico o portales de inicio de sesión. Esto les permite engañar a las víctimas para que divulguen información confidencial o participen en actividades fraudulentas, como iniciar transacciones no autorizadas.

Elusión del cifrado

En los casos en que la comunicación está cifrada (por ejemplo, utilizando HTTPS para el tráfico web), los atacantes AitM suelen emplear técnicas para eludir el cifrado. Esto puede implicar sustituir los certificados de seguridad legítimos por los suyos propios, realizar un ataque man-in-the-browser o explotar vulnerabilidades de cifrado.

Exfiltración y persistencia

Una vez que el atacante ha logrado sus objetivos, puede exfiltrar los datos robados o mantener la persistencia dentro de la red comprometida. Esta persistencia les permite continuar monitoreando, manipulando o exfiltrando datos durante un período prolongado.

Obtenga más información sobre amenazas

Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.

Más información

Exploración de los casos de uso de los ataques Adversary-in-the-Middle (AitM)

Los ataques Adversary in the Middle (AitM) se han manifestado en varios casos de uso reales en diversos sectores, lo que subraya su importancia como una potente amenaza para la ciberseguridad. Estos sofisticados ataques pueden provocar violaciones de datos, comprometer la privacidad, causar pérdidas económicas y perjudicar gravemente a personas y organizaciones.

  • Fraude financiero – Los ataques AitM se han utilizado para atacar a bancos y entidades financieras en línea. Los actores maliciosos interceptan las transacciones bancarias, manipulan los datos de las cuentas de los destinatarios y desvían los fondos a cuentas fraudulentas. Esto puede provocar pérdidas económicas importantes tanto para particulares como para empresas.
  • Manipulación del comercio electrónico – Los atacantes pueden aprovechar las técnicas AitM para modificar las transacciones de comercio electrónico, alterando la información de pago del destinatario para redirigir los fondos a sus cuentas. Este tipo de manipulación puede ser difícil de detectar, lo que provoca pérdidas monetarias para los minoristas en línea y sus clientes.
  • Robo de datos y espionaje – Los ataques AitM se utilizan con frecuencia para el espionaje industrial y el robo de datos. Los ciberdelincuentes interceptan comunicaciones sensibles dentro de las organizaciones y extraen documentos confidenciales, secretos comerciales o propiedad intelectual. Estos datos robados pueden venderse en la web oscura o utilizarse para obtener una ventaja competitiva.
  • Invasión de la privacidad – Los ataques AitM pueden comprometer la privacidad de las personas al interceptar y supervisar sus actividades en Internet. Los atacantes pueden recopilar información personal confidencial, supervisar comportamientos en línea e incluso interceptar mensajes privados, comprometiendo la confidencialidad de los usuarios.

Cómo se protegen las empresas contra los ataques Adversary-in-the-Middle (AitM)

Para defenderse de los ataques AitM, las organizaciones y los individuos deben emplear técnicas de cifrado robustas, utilizar canales de comunicación seguros e implementar la autenticación multifactorial (MFA). La vigilancia para detectar actividades inusuales en la red, la supervisión de accesos no autorizados y el mantenerse informado sobre los vectores de amenazas en constante evolución son componentes esenciales de una estrategia de defensa eficaz contra los ataques AitM en el panorama actual de la ciberseguridad.

La defensa contra los ataques AitM requiere un enfoque multifacético:

  • Cifrado y protocolos seguros – La implementación de un cifrado sólido para los datos en tránsito y la adopción de protocolos de comunicación seguros como HTTPS y VPN pueden proteger contra el espionaje y la interceptación de datos.
  • Autoridades de certificación – Las empresas utilizan autoridades de certificación (CA) de confianza para emitir certificados digitales, lo que reduce el riesgo de que los atacantes sustituyan certificados maliciosos.
  • Segmentación de la red – La separación de los segmentos de red puede limitar el movimiento lateral de un atacante, lo que dificulta el establecimiento de una posición AitM dentro de una red.
  • Formación en concienciación sobre seguridad – Formar periódicamente a los empleados para que reconozcan los intentos de phishing, los sitios web maliciosos y las comunicaciones sospechosas puede prevenir los ataques AitM iniciados a través de la ingeniería social.
  • Autenticación multifactorial (MFA) – La MFA añade una capa adicional de seguridad, ya que requiere múltiples formas de autenticación, lo que reduce el riesgo de acceso no autorizado incluso si las credenciales se ven comprometidas.
  • Sistemas de detección de intrusiones (IDS) – Los IDS y los sistemas de prevención de intrusiones (IPS) pueden ayudar a identificar y bloquear los ataques AitM mediante la supervisión del tráfico de red y los patrones de comportamiento.
  • Actualizaciones periódicas de software – Mantener los sistemas y el software actualizados con los últimos parches de seguridad patches puede mitigar las vulnerabilidades que los atacantes podrían aprovechar.
  • Supervisión de la seguridad – Implemente una supervisión continua de la seguridad para detectar y responder a actividades inusuales en la red o comportamientos sospechosos que indiquen ataques AitM.

Mejore su inteligencia sobre amenazas

Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.

Más información

Conclusión

A medida que los atacantes siguen evolucionando sus tácticas, las medidas de seguridad proactivas y una estrategia de defensa integral son fundamentales para mitigar los riesgos que plantean los ataques AitM y proteger los datos confidenciales y los activos digitales. Comprender sus implicaciones en el mundo real, implementar medidas de seguridad sólidas y mantenerse alerta son pasos esenciales para que las personas y las organizaciones se defiendan de estos ataques cada vez más sofisticados.

"

Preguntas frecuentes sobre el ataque Aitm

Un ataque AitM se produce cuando un atacante se coloca entre dos partes que se comunican para interceptar y manipular datos. Utilizan servidores proxy para situarse entre los usuarios y los sitios web legítimos, capturando credenciales y tokens de sesión en tiempo real. Esta técnica permite a los atacantes eludir la MFA robando cookies de sesión activas.

AitM significa Adversary-in-the-Middle (adversario en medio). Este es el término oficial utilizado en el marco MITRE ATT&CK para los ataques en los que los actores maliciosos interceptan las comunicaciones entre dos partes. El término hace hincapié en la intención activa y maliciosa del atacante, en comparación con el espionaje pasivo.

MITM se refiere a todos los vectores de ataque similares a la interceptación, mientras que AitM se centra específicamente en operaciones complejas de phishing e ingeniería social. Los ataques AitM son más sofisticados e implican la manipulación activa de la infraestructura de red. Los ataques MITM suelen ser oportunistas, pero los ataques AitM son selectivos y están diseñados para eludir la autenticación segura.

Los atacantes utilizan proxies web inversos para crear réplicas convincentes de sitios web legítimos. Emplean la manipulación de DNS, la suplantación de ARP y el secuestro de sesiones para interceptar las comunicaciones. Los correos electrónicos de phishing con enlaces maliciosos redirigen a las víctimas a sitios AitM que capturan tokens de autenticación. También utilizan el despojo de SSL y la manipulación de certificados.

Microsoft informó de ataques AitM dirigidos a usuarios de Office 365, en los que los atacantes utilizaban kits de phishing Evilginx2. El grupo APT Blackwood utilizó AitM para atacar actualizaciones de software de aplicaciones como Tencent QQ. Desde 2021, se han llevado a cabo campañas a gran escala contra más de 10 000 organizaciones. Las organizaciones de servicios financieros y sanitarios son blanco frecuente de estos ataques.

Supervise los patrones de inicio de sesión sospechosos y los comportamientos de autenticación inusuales desde ubicaciones inesperadas. Implemente sistemas avanzados de detección de amenazas que analicen el tráfico de red en busca de indicadores de proxy. Utilice políticas de acceso condicional para detectar escenarios de desplazamiento imposibles e inconsistencias en los dispositivos. Implante tokens canario con la marca de la empresa para detectar sitios de phishing.

Utilice métodos de autenticación resistentes al phishing, como tokens de hardware WebAuthn. Implemente políticas de acceso condicional que evalúen la confianza y la ubicación de los dispositivos. Implemente la gestión de cookies de sesión con vidas útiles más cortas y eduque a los usuarios sobre el reconocimiento del phishing.

Utilice la segmentación de la red y la supervisión continua para detectar patrones de autenticación anómalos

Descubre más sobre Inteligencia sobre amenazas

¿Qué es el adware? Consejos para su detección y prevenciónInteligencia sobre amenazas

¿Qué es el adware? Consejos para su detección y prevención

Esta guía detallada explica qué es el adware, incluyendo su definición, vías de infección, métodos de detección y consejos de prevención. Aprenda a eliminar el adware, proteger sus dispositivos y proteger a su empresa de las amenazas del adware.

Seguir leyendo
¿Qué son los indicadores de compromiso (IoC)?Inteligencia sobre amenazas

¿Qué son los indicadores de compromiso (IoC)?

Los indicadores de compromiso (IOC) ayudan a identificar las brechas de seguridad. Descubra cómo utilizar los IOC para detectar y responder eficazmente a las amenazas.

Seguir leyendo
¿Qué es un exploit en ciberseguridad?Inteligencia sobre amenazas

¿Qué es un exploit en ciberseguridad?

Es fundamental comprender los exploits y defenderse de ellos. Explore los diferentes tipos de exploits y las medidas prácticas que puede tomar para proteger sus sistemas de posibles amenazas.

Seguir leyendo
¿Qué es la ingeniería de detección?Inteligencia sobre amenazas

¿Qué es la ingeniería de detección?

Esta guía explica la ingeniería de detección, cubriendo su definición, propósito, componentes clave, mejores prácticas, relevancia en la nube y su papel en la mejora de la visibilidad y la protección de las amenazas en tiempo real.

Seguir leyendo
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Español
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2025 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso