Phishing de adversario en el medio (AiTM).

Técnica de phishing que coloca un servidor proxy inverso entre la víctima y la página de inicio de sesión real para retransmitir las credenciales y robar la cookie de sesión posterior a la autenticación, eludiendo la mayoría de los MFA. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

Técnica de phishing que coloca un servidor proxy inverso entre la víctima y la página de inicio de sesión real para retransmitir las credenciales y robar la cookie de sesión posterior a la autenticación, eludiendo la mayoría de los MFA.

El phishing de adversario en el medio (AiTM) es una técnica de robo de credenciales y de sesiones en la que el atacante interpone un servidor proxy inverso entre la víctima y un sitio web legítimo. En lugar de mostrar una página falsa estática, el proxy obtiene la página de inicio de sesión real en tiempo real y retransmite cada solicitud y respuesta, de modo que la víctima ve el sitio auténtico, completa cualquier autenticación multifactor y no nota nada extraño. A medida que el tráfico pasa por el proxy, este captura el usuario, la contraseña y —lo más importante— la cookie de sesión autenticada que el servidor emite tras superar el MFA. El atacante reproduce esa cookie para secuestrar la sesión sin volver a necesitar el segundo factor. Como derrota la mayoría de los MFA basados en códigos de un solo uso y notificaciones push, el AiTM suele distribuirse mediante kits como Evilginx, EvilProxy y Tycoon 2FA, y se mitiga principalmente con MFA resistente al phishing y vinculado al origen, como FIDO2.

Las defensas contra Phishing de adversario en el medio (AiTM) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: Phishing AiTM, Phishing de hombre en el medio, Phishing de evasión de MFA.