Pentesting WiFi: Hacking ético de redes domésticas

Seguramente todos nos hemos preguntado alguna vez si la seguridad de nuestra red Wi-Fi doméstica puede ser vulnerada hasta tal punto que permita a algún vecino conectarse a ella y utilizarla sin autorización. En realidad, esta cuestión se debería poder contestar tanto desde la perspectiva de la facilidad de hackeo del punto de acceso inalámbrico al que nos conectamos (el router Wi-Fi que nos ha instalado la compañía con la que hemos contratado el servicio de acceso a Internet), como desde el punto de vista de los equipos conectados a dicha red, en el caso de que la seguridad del punto de acceso resultara comprometida.

A este tipo de ejercicio, en el marco de lo que sería un hacking ético, se le denomina Pentesting Wi-Fi y consiste en analizar las vulnerabilidades que presentan los dispositivos (tanto el router Wi-Fi como el resto de dispositivos conectados a la WLAN) y el estudio de la posibilidad de llevar a cabo su explotación.

En la metodología que se sigue en un pentesting Wi-Fi, una vez que el atacante ha conseguido hackear la contraseña del punto de acceso inalámbrico y conectarse a la red Wi-Fi, el siguiente paso es hacer el fingerprinting de todos los dispositivos conectados a ella para identificar su sistema operativo, su versión, los puertos que están abiertos y los servicios que se están ejecutando. Con toda esta información, el atacante identifica después las vulnerabilidades detectadas y lleva a cabo su explotación.

Por otra parte, el atacante, una vez conectado, puede utilizar las herramientas instaladas en su equipo para hacer un análisis del tráfico de la red e intentar obtener las credenciales de acceso de los usuarios (usuario y contraseña) a sitios sensibles o hacer ataques de tipo Man In the Middle mediante técnicas de envenenamiento de caché ARP (ARP poisoning), entre otras.

Mucha gente piensa que lo peor que puede ocurrir cuando alguien hackea la contraseña de su red Wi-Fi es que utilice su conexión a Internet, afectando sus comunicaciones, pero, en realidad, el problema de seguridad se puede extender a otros ámbitos (acceder a una NAS, p.e) y tener un impacto mayor del esperado.

Metodología

La realización de este tipo de ejercicios se estructura en tres fases.

Fase 0: Preparación

En esta fase se prepara, por ejemplo, un portátil con Kali Linux instalado, al que conectamos un adaptador USB AWUS036NH de Alfa Network (todo un clásico en el hacking de redes Wi-Fi). Este dispositivo es una tarjeta Wi-Fi USB que se puede configurar en modo monitor en la banda de los 2.4 GHz, lo cual resulta necesario para hacer el escaneo de redes y el cracking Wi-Fi con las herramientas que vamos a presentar a continuación.

Fase 1: Escaneo de redes Wi-Fi

En esta fase se obtiene el inventario detallado de todos los puntos de acceso Wi-Fi detectados centrándonos especialmente en los que tienen WPS. Estos son más fáciles de crackear puesto que existen numerosas herramientas y técnicas de hacking que explotan las vulnerabilidades cuando tal función está incorporada en los puntos de acceso inalámbrico.

El escaneo de redes Wi-Fi, en la actualidad, se puede realizar con una gran variedad de herramientas, desde la clásica suite de utilidades de línea de comandos aircrack-ng hasta las más modernas, como Airgeddon, Gerix, Wi-Fite, Linset, etc. que se ejecutan desde una terminal y ofrecen, o bien una interfaz de texto basada en menús, o bien una interfaz gráfica desde la que se puede tanto escanear como atacar una red Wi-Fi.

Las herramientas como Airgeddon permiten poner la interfaz de red inalámbrica con la que se va a hacer el escaneo en modo monitor (o modo promiscuo), lo cual es necesario para escanear redes. Una vez activado este modo, se lleva a cabo el escaneo propiamente dicho, seleccionando la red Wi-Fi objetivo contra la que se han de realizar distintos tipos de ataques. Por tanto, en la misma herramienta se ofrecen utilidades tanto para escanear redes Wi-Fi como para crackear la contraseña.

¿Cómo se usaría la suite de herramientas aircrack-ng para esta fase de escaneo?

1. Ponemos la interfaz que vamos a utilizar para el escaneo de redes Wi-Fi en modo monitor utilizando la herramienta airmon-ng.

Obtenemos la lista de interfaces Wi-Fi disponibles mediante el comando iwconfig y luego, con airmon-ng, colocamos la interfaz inalámbrica con la que se va a hacer el escaneo en modo monitor: por ejemplo, airmon-ng start wlan1, suponiendo que wlan1 es la interfaz Wi-Fi que nos proporciona el adaptador USB de Alfa Network. Este comando habilitaría una nueva interfaz Wi-Fi llamada wlan1mon.

Otra cosa que se suele hacer antes de escanear redes es cambiar la dirección MAC de la interfaz de red que estamos utilizando en modo monitor con macchanger, mediante, por ejemplo, el siguiente comando: macchanger -r wlan1mon. Como hemos comentado, wlan1mon sería, en el ejemplo, la interfaz habilitada en modo monitor después de ejecutar el comando airmon-ng anterior.

NOTA: Antes de hacer un macchangerprimero se debe realizar un ifconfig wlan1mon dow y, después del cambio de MAC, un ifconfig wlan1mon up. Luego, con iwconfig comprobamos que la interfaz wlan1mon está disponible.

2. Seguidamente ejecutamos el comando airodump-ng wlan1mon para obtener información de las redes Wi-Fi detectadas en el radio de alcance del adaptador Alfa Network.

IMPORTANTE: Para este ejercicio tendremos que centrarnos en la red Wi-Fi de nuestra propiedad porque el acceso a otras redes sin el consentimiento por escrito del propietario es un delito.

Con el comando airodump-ng -c 1 -w <nombre_red_Wi-Fi>.airodump --bssid <bssid_de_la red_Wi-Fi> wlan1mon se puede obtener información detallada de la red Wi-Fi conocido su BSSID.

3. Por otra parte, con wash podemos identificar puntos de acceso Wi-Fi con WPS activado.

Como hemos comentado, esta función puede llegar a ser un vector de ataque para romper la seguridad de la red Wi-Fi.

Ejecutando un comando como wash -i wlan1mon -c 1 -2 -s , donde c es el parámetro que indica el canal y -2 banda de frecuencia en los 2.4 GHz, se puede comprobar si el punto de acceso Wi-Fi tiene el WPS bloqueado o no (Lck=no).

Fase 2: Explotación / crackeo de la red Wi-Fi

La configuración de seguridad que nos podemos encontrar a día de hoy en un router Wi-Fi suele ser WPA/WPA2, con o sin WPS; no consideramos WEP porque es una configuración totalmente insegura que prácticamente ya no se utiliza.

Para llevar a cabo un ataque contra un punto de acceso con esta seguridad activada, se utilizan herramientas como:

Con las mencionadas herramientas se pueden ejecutar alguno de los siguientes ataques para crackear la contraseña:

a. Ataque Pixi-Dust

El ataque Pixie-Dust puede crackear una red Wi-Fi en cuestión de segundos, incluso si se está utilizando seguridad WPA/WPA2 con encriptación fuerte y, sobre todo, cuando el punto de acceso tiene activado el WPS (Wi-Fi Protected Setup) y no bloqueado (Lck=No).

NOTA: Es recomendable utilizar Airgeddon o Linset para lanzar este tipo de ataque. Estas herramientas permiten activar el modo monitor en la interfaz Wi-Fi con la que se está haciendo el escaneo, analizar la configuración de seguridad de la red Wi-Fi objetivo y después lanzar el ataque para crackear la contraseña.

Este ataque también se puede realizar con bully desde la línea de comandos de una terminal, ejecutando un comando similar al siguiente:

bully wlan1mon -b <BSSID> -e <SSID> -c -p <pin> --force

El PIN viene preconfigurado en el router Wi-Fi por lo que si no se ha cambiado, se puede encontrar fácilmente en Internet a partir del modelo en cuestión. Airgeddon permite también obtener este dato.

b. Ataque basado en base de datos de PINs conocidos

Consiste en probar el ataque con distintos PINs que se obtienen de una base de datos de las que hay disponibles en Internet.

c. Ataques por fuerza bruta contra el handshake WPA

Es otra técnica que permite crackear la contraseña. Consiste en obtener el handshake WPA/WPA2 que se lleva a cabo entre las estaciones (clientes Wi-Fi) y el BSSID (punto de acceso) para intercambiar la clave compartida de cifrado de la red Wi-Fi durante la fase de autenticación, y luego intentar romperlo off-line mediante un diccionario de contraseñas.

El handshake se puede obtener por ejemplo con airodump-ng y luego crackearlo para obtener la clave Wi-Fi con aircrack-ng. Mientras se ejecuta airodump-ng se suele ejecutar también aireplay-ng (desde otra terminal, por ejemplo) para acelerar el proceso de obtención del handshake.

También se puede utilizar cowpatty para un crackeo de fuerza bruta del handshake WPA basada en diccionario

Fase 3: Análisis de vulnerabilidades y explotación de los dispositivos conectados a la red Wi-Fi

Una vez que se ha conseguido la contraseña de la red Wi-Fi el atacante se puede conectar a la red y pasar a la fase de explotación de los dispositivos conectados a la red.

Como indicamos en la introducción, antes de la explotación propiamente dicha, primero se hace un fingerprinting con herramientas como Nmap / Zenmap, Sparta, Metasploit / Armitage y, después, un análisis de vulnerabilidades que finaliza con la explotación efectiva del dispositivo (o dispositivos) que han resultado ser vulnerables.

En el análisis de vulnerabilidades se utilizan herramientas como:

y en la explotación:

NOTA: Como se observa, algunas de las herramientas como Nmap o Metasploit se pueden utilizar en distintas fases del hacking ético.

Ojalá esta introducción a la metodología de Hacking Ético aplicada al ámbito de las redes Wi-Fi y a las herramientas que se utilizan en este tipo de actividad, os haya resultado interesante y podáis sacarle partido haciendo una prueba en vuestra red doméstica.

¡A lo mejor os lleváis alguna sorpresa!

Julio Prada

Informático de la era del Commodore, del Sinclair ZX Spectrum y del Amstrad, actualmente desempeño en Datio el rol de Manager de Ingeniería para contribuir con el alineamiento de los objetivos tácticos y estratégicos de la plataforma de procesamiento y analítica de datos que estamos implantando en BBVA sobre la base del producto de Stratio.

More Posts

Follow Me:
LinkedIn

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *