FraudeDigital // expediente: phishing-aitm clase: guía dual · público + técnico
Capa de Identidad · Ataques Avanzados

Phishing AitM: el secuestro de sesión que salta el 2FA

Para todos: cómo un atacante puede robar tu sesión aunque tengas doble factor. Para profesionales: arquitectura de proxies inversos y defensa con FIDO2/Passkeys.

Miguel Ángel Carriazo 18 junio 2026 4 min de lectura
← Volver al Panel de Control
01 // Para todos Público general

¿Qué es un ataque AitM y por qué es peligroso?

AitM significa Adversary-in-the-Middle (atacante en el medio). Es un tipo de ataque donde el ciberdelincuente se coloca entre tú y el servicio al que intentas acceder (tu banco, tu correo, tu red social).

Lo más peligroso es que puede saltarse el doble factor de autenticación (2FA). Tú introduces tu contraseña, recibes el código en tu móvil, lo introduces... y el atacante lo captura todo en tiempo real y usa tu sesión abierta.

📌 Ejemplo real que te puede pasar mañana:

Recibes un enlace por SMS o correo de "tu banco" para verificar un cargo sospechoso. Al pinchar, ves una pantalla idéntica a la de tu banco. Pones tu usuario, contraseña y el código 2FA que te llega al móvil. El atacante, en ese mismo instante, está usando esas credenciales para entrar a tu cuenta real. No has pinchado en el banco, has pinchado en su copia exacta.

¿Cómo te proteges? 3 reglas sencillas:

  • Nunca pinches enlaces de SMS o correos que te pidan entrar a tu banco o servicios. Ve siempre directamente a la web/app oficial.
  • Usa autenticación con Passkeys o llave física (YubiKey) si tu banco o servicio lo permite. Son resistentes a este tipo de ataques.
  • Mira siempre la URL en la barra de direcciones antes de poner tus datos. Un dominio como banco-seguro.xyz no es tu banco.
✅ Regla de oro: Si te piden hacer algo "urgente" a través de un enlace, no lo hagas. Abre tu navegador, escribe la URL manualmente y verifica desde allí.
02 // Para todos Qué hacer si ya pinchaste

Y si ya caí en un AitM... ¿qué hago?

Si introdujiste tus datos en una página sospechosa, actúa rápido. El atacante puede estar usando tu sesión en este mismo momento.

  1. Cambia tu contraseña inmediatamente en el servicio afectado. Hazlo desde la web oficial, no desde ningún enlace.
  2. Revisa las sesiones activas en el servicio (muchos bancos y plataformas tienen una sección de "dispositivos conectados") y cierra todas las que no reconozcas.
  3. Contacta con el servicio (banco, plataforma) y avisa de lo ocurrido. Ellos pueden bloquear operaciones sospechosas.
  4. Revisa tus movimientos en los próximos días. Cualquier cargo no reconocido, comunícalo inmediatamente.

Y recuerda: el doble factor ya no es suficiente contra estos ataques. Si puedes, activa autenticación con Passkeys o llave física.

⚙️ A PARTIR DE AQUÍ · PARA ADMINISTRADORES Y TÉCNICOS ⚙️
03 // Para técnicos Arquitectura AitM · Proxies

Cómo funciona un ataque Adversary-in-the-Middle

El ataque AitM moderno utiliza proxies inversos automatizados (frameworks como Evilginx o modificaciones de Nginx) que actúan como intermediarios entre el usuario y el servicio legítimo.

El flujo técnico es el siguiente:

🔹 Paso 1: Dominio de señuelo

El atacante registra un dominio similar al original (Typosquatting), por ejemplo login-banco-seguro.top.

🔹 Paso 2: Proxy inverso

El proxy captura la petición del usuario, la envía al servicio real y devuelve la respuesta auténtica. El usuario cree que está en el sitio oficial.

🔹 Paso 3: Interceptación MFA

El servicio legítimo solicita el 2FA. El proxy lo pasa al usuario, quien introduce el código o aprueba la notificación push. El proxy captura la sesión validada.

🔹 Paso 4: Secuestro de la cookie de sesión

El proxy copia la cookie de sesión generada por el servidor legítimo y la inyecta en su propio navegador. El atacante tiene acceso sin necesidad de contraseña ni 2FA.

Clave: El 2FA por SMS o app de autenticación no protege contra este ataque porque el usuario lo aprueba voluntariamente creyendo que está en el sitio oficial.

04 // Para técnicos FIDO2 · WebAuthn · Passkeys

La única defensa efectiva: autenticación resistente al phishing

Para detener el AitM de raíz, los mecanismos de autenticación tradicionales (contraseña + OTP) no son suficientes. La solución es la autenticación resistente al phishing basada en el estándar FIDO2/WebAuthn.

🔹 ¿Por qué FIDO2 funciona contra AitM?

FIDO2 utiliza criptografía asimétrica con desafío-respuesta vinculado al dominio. El navegador del usuario firma el desafío con una clave privada almacenada en el hardware (TPM o llave USB).

🔹 La clave: enlace al dominio (FQDN)

La firma incluye el nombre de dominio completo (login.banco.com). Cuando el usuario está en el dominio del atacante (login-banco-seguro.top), el chip criptográfico detecta la discrepancia y no permite la autenticación. El ataque AitM se bloquea automáticamente.

Resumen técnico: Implementa Passkeys o llaves FIDO2 en tu infraestructura. Es la única defensa probada contra ataques AitM. El estándar está soportado por todos los navegadores modernos y sistemas operativos.

Sobre el autor
Miguel Ángel Carriazo · vCISO

vCISO · Arquitecto de Soluciones de Infraestructura y Ciberseguridad | Gobierno, Riesgo y Cumplimiento (GRC) | Gobierno de IA · ISO 42001 | Fundador de FraudeDigital.es

Compartir artículo