Los ataques que ponen al usuario en el centro de la diana han crecido en astucia y alcance, y pocos generan tanta confusión como los que suenan casi igual: MitM, MitB, BitB y el menos conocido pero muy peligroso Browser-in-the-Middle. Entender qué hace distinto a cada uno es clave para no picar y para desplegar defensas eficaces.
En las siguientes líneas desgranamos, con ejemplos reales, cómo operan estos fraudes, en qué se diferencian y qué tácticas funcionan de verdad para cortarles el paso. Verás desde engaños visuales tipo ventanas emergentes falsas hasta técnicas de envenenamiento de red, robo de tokens de sesión y suplantaciones tan convincentes que, si vas con prisas, te pueden costar tus credenciales o tu dinero.
¿Qué es un Browser-in-the-Middle y en qué se diferencia de MitM, MitB y BitB?
Browser-in-the-Middle (BitM o BiTM) describe un escenario en el que la víctima cree usar su propio navegador, pero en realidad está interactuando con un navegador remoto controlado por el atacante. Es como si te sentaran delante del equipo del delincuente: todo lo que escribes y ves puede copiarse, alterarse o redirigirse sin que lo notes.
En un Man-in-the-Middle (MitM) clásico, el adversario se sitúa en la ruta de la comunicación entre tu dispositivo y el servicio legítimo. No tiene por qué estar literalmente en medio de los saltos de red, basta con colarse en el camino para espiar, manipular o redirigir los paquetes. Si no hay cifrado de extremo a extremo (HTTPS/TLS), detectar la intrusión es extremadamente difícil.
El Man-in-the-Browser (MitB) es un viejo conocido del fraude bancario: un troyano infecta tu equipo y se incrusta en el navegador. Desde ahí, intercepta lo que ves y lo que envías, incluso en sesiones HTTPS, porque actúa antes del cifrado y después del descifrado del navegador. Puede inyectar formularios, cambiar transferencias y registrar teclas sin levantar sospechas.
El Browser-in-the-Browser (BitB), por su parte, es un truco visual: se genera dentro de una página una ventana que imita a la perfección un diálogo del navegador (por ejemplo, un inicio de sesión de OAuth). La barra de direcciones y los botones son un decorado, no una ventana real: todo está dibujado o compuesto con HTML, CSS, imágenes e iframes para convencerte de que introduces tus credenciales en un sitio de confianza.
MitM clásico: cómo te interceptan en la red
Para un MitM en toda regla, el atacante necesita interponerse en el flujo de datos y, si puede, romper o eludir el cifrado. Hay múltiples puertas de entrada que explotan debilidades de red o de configuración:
Puertas de entrada habituales
– Wi‑Fi malicioso o gemelo malvado: crear o manipular un punto de acceso para que todo tu tráfico pase por el atacante. En redes públicas o con contraseñas filtradas, esto es pan comido. Conectarte a redes que no controlas dispara el riesgo.
– ARP spoofing/envenenamiento de caché ARP: mediante respuestas ARP falsas, se asocia la IP de la puerta de enlace a la MAC del atacante, de modo que tus paquetes salen por su equipo. Herramientas como Ettercap o Cain & Abel automatizan el proceso y permiten sniffing y manipulación. En LANs compartidas es especialmente efectivo.
– DHCP spoofing: levantar un servidor DHCP falso en la red para servir al cliente parámetros envenenados (DNS, gateway, rutas). Así, todo el tráfico saliente se desvía por donde quiere el atacante. En hoteles, coworkings y Wi‑Fi públicas es un vector clásico.
– DNS spoofing/cache poisoning: corromper respuestas DNS (en resolutores antiguos o mal configurados) para resolver dominios legítimos a IPs controladas por el atacante. Sin DNSSEC y con cachés poco robustas, la redirección silenciosa es viable.
– BGP hijacking: a escala de Internet, el secuestro de rutas BGP anuncia caminos falsos para atraer tráfico por sistemas del atacante. No es trivial, pero ha ocurrido; cuando pasa, afecta a regiones enteras.
Superar o burlar HTTPS
Aunque TLS protege confidencialidad e integridad, un MitM puede forzar una degradación (SSL stripping), inyectar contenido en tramos no cifrados o engañarte para aceptar un certificado falso. Si el usuario confía en un certificado inválido, el atacante establece dos sesiones TLS separadas y traduce el tráfico entre ambas, leyendo y alterando lo que quiera.
Man-in-the-Browser (MitB): el fraude desde tu propio navegador
En MitB, primero se infecta el equipo, normalmente con un troyano que se engancha al navegador o configura un proxy. Desde ese momento, el atacante ve y modifica lo que ves y envías: añade campos, cambia importes y destinatarios, oculta movimientos y captura cookies de sesión.
Entre las capacidades habituales destacan la inyección de JavaScript, keylogging, captura de pantallas periódicas y hasta intentos de romper HTTPS en segmentos concretos. Frameworks como MITMf o integraciones con BeEF amplían las posibilidades de manipulación. Wireshark ayuda a monitorizar el tráfico cuando se investiga, pero la víctima rara vez ve algo raro.
Ejemplos reales de troyanos MitB
– Clampi: uno de los primeros troyanos bancarios orientados a Windows, dedicado a recolectar credenciales y datos financieros. Se hizo notar por su persistencia y por su enfoque en banca online.
– SpyEye: además de registrar teclas, insertaba campos nuevos o modificaba formularios, mostraba saldos falsos y ocultaba operaciones. Se vendía en foros clandestinos y apuntaba a Chrome, IE, Firefox y Opera.
– Carberp: famoso por suplantar páginas de Facebook con avisos de bloqueo falso, pidiendo datos personales y un pago para ‘verificar’ la identidad. Podía descargar otros malware y conectarse a centros de control para órdenes en vivo.
– Zeus/ZeuS/Zbot: probablemente el más conocido, difundido por ingeniería social y descargas drive‑by. Su objetivo era la banca y grandes organizaciones, con captura de formularios y robo de credenciales a gran escala. Infectó desde organismos públicos hasta grandes tecnológicas.
Browser-in-the-Browser (BitB): el arte del engaño visual
El llamado BitB de mr.d0x popularizó la idea: con imágenes que imitan la barra de direcciones y los controles de ventana, más un iframe con contenido real, se presenta una ‘ventana’ de inicio de sesión dentro de la propia web. La sensación de legitimidad es muy alta, sobre todo si esperas ver un popup de OAuth.
¿Cómo se detecta? Prueba a arrastrarla fuera del navegador: si está confinada dentro de la pestaña, es falsa; tampoco podrás editar la ‘barra de direcciones’ pintada. En sistemas con distinta apariencia (por ejemplo, una falsa ventana macOS dentro de Linux), los detalles visuales delatan el montaje.
Este truco ha estado presente en campañas contra jugadores de Steam/CS:GO: sitios de torneos o intercambios mostraban logins de Steam falsos e incluso suplantaban las ventanas de Steam Guard para pedir códigos 2FA. También se han visto falsos chatboxes con el mismo patrón: al intentar moverlos, se descubre que son HTML incrustado.
Otra variación es la ‘barra de inicio’ falsa: te hacen desplazar un supuesto popup hasta esconder la URL y entonces sustituyen el área superior por una cabecera falsa creíble. La meta es siempre la misma: robar credenciales con una ilusión bien cuidada.
Browser-in-the-Middle (BitM/BiTM): el navegador remoto transparente
En BitM, la jugada es más profunda: una campaña de phishing te lleva a la web del atacante, que te conecta a un navegador remoto transparente. Tú crees que usas tu navegador de siempre, pero todo sucede a través de la infraestructura del delincuente.
El flujo habitual tiene tres fases: primero, el señuelo (correo, mensaje o enlace que autentica una app web del atacante); segundo, la conexión al navegador transparente con JavaScript que monitoriza la interacción y puede desplegar keyloggers; tercero, el uso normal de tus servicios online, mientras el atacante captura tokens de sesión y datos sin levantar sospechas.
Robo de tokens y bypass de MFA
Los tokens de sesión (cookies de sesión, tokens OAuth, etc.) son el botín. Si se roban tras completar la autenticación multifactor, la MFA deja de importar para esa sesión activa. Con tokens válidos, el acceso es inmediato y sigiloso. Firmas de respuesta señalan que el exfiltrado puede ocurrir en segundos, justo antes de que el cifrado de transporte empaquete los datos.
Este enfoque complica sobremanera distinguir un sitio falso de uno real porque el contenido legítimo puede servirse dentro del navegador controlado por el atacante. La rapidez de ataque y la poca necesidad de configuración lo hacen muy atractivo para adversarios avanzados y equipos de Red Team en pruebas de intrusión.
Casos y vectores adicionales que favorecen a los intermediarios
Dispositivos móviles y de IoT suelen usar protocolos inseguros o configuraciones pobres; si una app habla por HTTP o Telnet, un MitM leerá y alterará tráfico a voluntad, por eso es importante conocer señales claras de spyware y cómo protegerte. Verificar el cifrado en apps móviles no es trivial y muchas fallan en controles básicos.
En redes corporativas, el envenenamiento ARP y servidores DHCP falsos siguen siendo recurrentes cuando los switches no aplican inspección de ARP ni hay segmentación adecuada. Una vez en tu dominio de broadcast, un atacante puede arrastrar a varias máquinas con ataques automatizados.
Por qué es tan difícil detectarlos
En MitB, la URL es la correcta y el certificado también; el navegador del usuario ya está manipulado. No verás advertencias de ‘sitio malicioso’ ni cambios obvios, salvo detalles sutiles: campos nuevos o ausentes, cierres de sesión inesperados, alertas de inicio de sesión desde dispositivos desconocidos.
Para el servidor, los accesos llegan con credenciales válidas y flujos normales. La sesión es auténtica y la MFA se completó correctamente; no hay señales obvias de fuerza bruta ni de origen anómalo si el atacante proxifica el tráfico.
SSL/TLS protege el transporte, pero si la manipulación ocurre en el propio navegador o antes de cifrar, el túnel hace su trabajo transportando datos ya alterados. La capa de aplicación es el terreno de juego de MitB y BitM.
Medidas que sí marcan la diferencia en el Browser-in-the-Middle
Higiene del usuario y buenas prácticas
– Desconfía de popups de inicio de sesión dentro de una web. Intenta moverlos, ampliar y observar el comportamiento. Si no se separa de la ventana principal, mala señal.
– Examina con calma el aspecto visual: tipografías, iconos, sombras, botones del sistema. Los montajes se notan en los detalles si no vas con prisa. Respira, mira y decide.
– Usa redes de confianza. En públicas, evita operaciones sensibles y descargas. Las Wi‑Fi abiertas son terreno abonado para DHCP/ARP/DNS spoofing.
– Mantén el equipo al día: sistema, navegador, plugins y apps. Parchear reduce la superficie de ataque de los troyanos MitB y fallos de TLS.
– Antivirus/EDR activos y bien configurados. Muchas soluciones detectan ARP cache poisoning o binarios de troyanos. Escanea periódicamente y vigila las alertas de red.
– Emplea una VPN fiable cuando no controles la red. Cifra el tráfico hasta el terminal VPN y mitiga riesgos de interceptación local. No es infalible ante MitB, pero reduce MitM.
– Prefiere HTTPS en todo y valida los avisos de certificados. Jamás aceptes certificados dudosos por salir del paso.
– Activa MFA, pero acompáñala de revisiones de actividad y cierres de sesión manuales tras operaciones críticas. La MFA no te salva si te roban el token, pero complica ataques oportunistas.
– Usa autenticación fuera de banda cuando sea posible: SMS/llamada o app que repita los datos de la transacción para confirmarla. Verifica el importe y el destinatario antes de aprobar. Ojo: algunos troyanos también interceptan SMS.
– Formación antifraude: correos sospechosos, adjuntos y enlaces con previsualización. Pasa el ratón por encima de los enlaces y revisa el dominio de origen real.
Controles técnicos para empresas
– Segmentación de red y VLANs para reducir el alcance de ARP/DHCP spoofing. Menos hosts en el mismo dominio de colisión, menos daño potencial.
– Firewalls con reglas estrictas este-oeste y listas de control de acceso. Bloquea interacciones innecesarias entre segmentos.
– Activa inspección/validación ARP en switches y routers si está disponible; limita respuestas DHCP a servidores autorizados. Muchas plataformas ya lo soportan.
– Refuerza DNS: usa resolutores modernos, valida DNSSEC y monitoriza cache poisoning. Evita versiones antiguas vulnerables en servidores DNS internos.
– Endpoints endurecidos: bloqueo de extensiones no firmadas, listas de permisos de proxies, políticas de navegador gestionadas, y EDR con reglas para inyección en proceso. Minimiza el riesgo de persistencia.
– Refuerzo de tokens: tokens rotativos de corta vida y atados a contexto (IP, dispositivo, geolocalización). Reduce la ventana útil de un token robado.
– Aislamiento de navegador para sitios de riesgo (contenedores o servicios remotos). Una pestaña aislada limita el impacto de la ejecución de scripts maliciosos.
– Simulacros periódicos de Red Team centrados en amenazas del navegador y de sesión. Probar y medir revela huecos reales que las auditorías estáticas no ven.
– Teletrabajo con VPN corporativa robusta y posture checks. Soluciones comerciales de acceso remoto ayudan a blindar la conexión. Complementa con políticas Zero Trust.
Herramientas y utilidades que ayudan
– Para correo y adjuntos: filtros avanzados tipo Mimecast que detectan campañas que distribuyen troyanos MitB. La primera barrera es el buzón.
– Endpoints: suites que alertan ante nuevas extensiones/BHOs en el navegador (p. ej., BullGuard) y que bloquean instalaciones silenciosas. Que nada se instale sin tu visto bueno.
– Protección de sesión y antifraude: IBM Trusteer Rapport, Entrust TransactionGuard/IdentityGuard o soluciones equivalentes que endurecen transacciones y verificación fuera de banda. Añaden señales imposibles de falsificar fácilmente.
– Protección de interfaz/antimanipulación: plataformas de securización de la UI (como CodeSealers) que intentan impedir hookings e inyecciones. Una capa extra frente a trucos del navegador.
Cómo actúan en la práctica: dos recorridos típicos
Recorrido MitM puro: el atacante controla un AP Wi‑Fi ‘gratis’, capturas el portal cautivo y aceptas. Todo tu tráfico pasa por ahí. Si navegas a un sitio sin HTTPS o aceptas un certificado falso, pueden leerlo, modificarlo y reenviarlo. En paralelo, puede inyectar recursos en las páginas y llevarte a sitios de phishing.
Recorrido MitB bancario: te infectas con un troyano al abrir un correo o descargar un software ‘útil’. Entras en tu banco, rellenas una transferencia, y el malware altera el destinatario antes de enviar la petición. Te muestra una confirmación perfecta y oculta el cargo en el historial temporalmente. Hasta días después no detectas el desvío.
Pistas que deberían ponerte en guardia ante el Browser-in-the-Middle
– Ventanas que no se comportan como ventanas reales (no se pueden sacar de la pestaña, barra de direcciones ‘dibujada’). BitB al canto.
– Elementos que aparecen o desaparecen en formularios habituales, especialmente en pagos y logins. Un campo inesperado es una bandera roja.
– Avisos de inicio de sesión desde ubicaciones o dispositivos desconocidos, o cierres de sesión espontáneos tras introducir 2FA. Vigila tu correo y notificaciones.
– El antivirus alerta de envenenamiento ARP o cambios en proxy/hosts. No ignores estos eventos, suelen indicar un ataque en curso en la red.
Qué no hacer (y qué hacer en su lugar)
– No pulses ‘Continuar de todos modos’ ante un aviso de certificado, salvo que tengas una razón técnica muy clara. Es la puerta grande a un MitM. En su lugar, verifica el dominio y vuelve a cargar en otra red.
– No instales extensiones o actualizaciones desde popups de sitios que no conoces. Descarga siempre desde la web oficial y revisa firmas y permisos.
– No uses redes abiertas para compras, banca o cambios de contraseña. Si no hay más remedio, tira de VPN y revisa doble todo lo que apruebes.
– No te fíes de ‘gancho’ irresistibles (sorteos, chollos imposibles). La ingeniería social es el arranque de casi todo. Verifica remitentes, cabeceras de correo y el dominio real tras los enlaces.
Apuntes para responsables de seguridad
Además de lo anterior, implanta registros detallados de sesión y transacción, detección de anomalías por dispositivo/huella y revocación de tokens ante señales de riesgo. El atado de sesión a contexto (IP, ASN, llave hardware) complica el uso de tokens robados.
Revisa políticas de cookies (SameSite, HttpOnly, Secure), endurece cabeceras (CSP, HSTS) y aplica verificación robusta en flujos OAuth/OpenID, incluyendo PKCE y caducidades agresivas. Los tokens rotativos con intercambio seguro reducen el valor de capturas en caliente.
Y no olvides lo humano: campañas de concienciación periódicas, simulaciones de phishing con escenarios BitB/BitM y playbooks claros de respuesta para revocar sesiones, bloquear destinos y asistir a usuarios. La primera respuesta es tan importante como la prevención.
La familia de ataques de intermediario comparte una idea sencilla: ponerse en tu camino o en tu propia ventana para robar lo que más vale, tus sesiones y tus credenciales. Cambian los trucos, desde ventanas fingidas hasta rutas envenenadas o navegadores remotos, pero se desactivan si reduces prisas, fortaleces tokens y sesiones, cierras las puertas de la red y te acostumbras a comprobar lo que parece obvio; parar, pensar y luego conectarte te ahorra más sustos de los que imaginas. Comparte esta información y más personas conocerán sobre el Browser-in-the-Middle.
Continúar leyendo...