Estaba navegando por Internet a las 3 de la mañana y recibí una advertencia que parece indicar un ataque MITM. ¿Esto significa que el atacante pudo detectar pasivamente mi actividad en tiempo real para lanzar el ataque?
Creo que sí, tiene que ser en tiempo real.
Según entiendo el ataque, envenena la caché de las entradas de arp en su sistema operativo utilizando las respuestas de arp, y debido a los estándares del protocolo ARP, actualiza la caché del sistema operativo de manera inmediata incluso si las entradas no están caducadas.
Una vez finalizado el ataque, el sistema operativo actualiza la memoria caché ARP después de varias solicitudes "inútiles" utilizando la memoria caché envenenada.
Lea otras preguntas en las etiquetas man-in-the-middle arp-spoofing