El tráfico puede ser interceptado y modificado en cualquier lugar a lo largo de su ruta hacia el punto final o puede ser engañado para que envíe datos a un atacante que puede reenviarlo para un ataque MITM.
Todos son vulnerables a menos que verifiquen la identidad del punto final y validen la integridad de los datos. En otras palabras, usa TLS.
Cualquiera de los ISP de su red actual está en condiciones de modificar su tráfico. Espero que conozca bien a sus proveedores de 3G, aeropuertos y cafeterías.
Todos los proxies a los que te conectas pueden hacerte MITM. Los lugares de trabajo, las VPN "privadas" y los gobiernos de algunos países hacen esto.
Cualquier persona en su red o en cualquier lugar en sentido ascendente puede envenenar los cachés ARP para redirigir el tráfico a través de ellos.
Las redes fraudulentas pueden intentar secuestrar el tráfico con anuncios maliciosos de BGP. Los proveedores que no se protegen pueden terminar enrutando el tráfico a través de una persona en el centro.
Cualquier persona puede envenenar el DNS en su resolutor o cualquiera de los resolutores que su resolutor pueda usar o en servidores DNS inseguros y autoritarios para que el nombre de dominio que ingrese se resuelva en una dirección IP maliciosa. El tráfico se envía (correctamente) al atacante.
Cualquier persona que pueda comprometer su computadora puede MITM de varias maneras dependiendo del sistema operativo. Por ejemplo, modificando el archivo de hosts para que los nombres de dominio se resuelvan en una IP maliciosa o comprometiendo el firmware.
Es un ataque frecuente en la comunicación por internet; o en cualquier información retransmitida. Las posibilidades son infinitas. Verificar los puntos finales. Cifrar datos.