Claudia Rios Naranjo

Universidad Central “Marta Abreu” de Las Villas
Facultad de Ingeniería Eléctrica
Departamento de Telecomunicaciones y Electrónica
TRABAJO DE DIPLOMA
Herramientas de pentesting para auditar la
seguridad de redes Wi-Fi
Autor: Claudia María Ríos Naranjo
Tutor: MSc. Yakdiel Rodríguez-Gallo Guerra
Cotutor: MSc. Rubersy Ramos García
Santa Clara
2015
“Año 57 de la Revolución”
Universidad Central “Marta Abreu” de Las Villas
Facultad de Ingeniería Eléctrica
Departamento de Telecomunicaciones y Electrónica
TRABAJO DE DIPLOMA
Herramientas de pentesting para auditar la
seguridad de redes Wi-Fi
Autor: Claudia María Ríos Naranjo

E-mail: crnaranjo@uclv.edu.cu
Tutor: MSc. Yakdiel Rodríguez-Gallo Guerra

E-mail: yrodriguez-gallo@uclv.edu.cu
Cotutor: MSc. Rubersy Ramos García
E-mail: rubersy. ramos@etecsa.cu
Santa Clara
2015
“Año 57 de la Revolución”
Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central
“Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad
de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea
utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial
como total y que además no podrá ser presentado en eventos, ni publicados sin autorización
de la Universidad.
Firma del Autor
Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de
la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un
trabajo de esta envergadura referido a la temática señalada.
Firma del Tutor Firma del Jefe de Departamento

donde se defiende el trabajo
Firma del Responsable de

Información Científico-Técnica
i
PENSAMIENTO
“Toda hazaña implica esmero y sacrificio, pero eso mismo hace

los triunfos más agradables”.
J.Segovia
ii
DEDICATORIA
A mis padres, que han estado conmigo en todos los momentos

importantes de mi vida y me han brindado
su amor y apoyo incondicional.
A mi hermana Yanet, que a pesar de no demostrarlo, sé que me
quiere y desea que todo me salga bien.
A mis tíos Ignacio, Cary y Jesús, que se preocupan mucho por
mí.
A mi primo Ignacito, que siempre me ayuda y me dice
que no estudie mucho.
A todas mis amigas y amigos, que siempre
los llevo en mi corazón.
iii
AGRADECIMIENTOS
A mis padres, que ha estado conmigo en los momentos difíciles de mi vida y por el
esfuerzo que han hecho para que logre mis sueños.
A mi tutor Yakdiel, por ayudarme incondicionalmente en
la realización de este proyecto.
A mi Cotutor Rubersy por haber colaborado enormemente
en la realización de este proyecto.
A todos los profesores, que han contribuido en mi formación como futura

profesional, en especial a los de esta facultad, a quienes admiro mucho.
A mi amigas Jessica, Lizdayana, Laura y Liliam, que siempre han sido
muy especiales y han estado conmigo estos 5 años.
A mi amiga Yamilé que me he ayudado incondicionalmente
y ha logrado que me sienta parte de su familia
A mis compañeros de estudio, que han compartido conmigo todos

estos años de sacrificio, tristezas y alegrías.
A todas las personas que me han apoyado y han contribuido a hacer realidad este
hermoso sueño.
A ustedes, gracias.
iv
TAREA TÉCNICA
Para lograr la confección del presente trabajo y alcanzar los resultados esperados, fue
necesario desarrollar las tareas técnicas siguientes:
 Realización de una revisión bibliográfica para la identificación de herramientas de

pentesting que se utilizan en la realización de auditorías de seguridad de redes Wi-
Fi.
 Descripción de las herramientas de pentesting que se utilizan en la realización de
auditorías de seguridad de redes Wi-Fi.
 Implementación de las herramientas de pentesting en escenarios de ataques para
comprobar su efectividad.
 Proposición de mecanismos y medidas para mitigar las vulnerabilidades detectadas

utilizando las herramientas de pentesting.
 Elaboración del informe final del Trabajo de Diploma.
Firma del Autor Firma del Tutor

v
RESUMEN
Las herramientas de pentesting permiten la realización de auditorías de seguridad a redes

Wi-Fi. De esta manera, se detectan y explotan vulnerabilidades, confirmando su existencia
y el impacto real que podrían tener en determinada organización, en caso de que fueran
atacadas con éxito. El desarrollo de pentests permite potenciar la integridad, confiabilidad y
disponibilidad de las redes Wi-Fi. La presente investigación se dedica al desarrollo de
pentests utilizando herramientas de pentesting. Para ello, se caracterizaron las redes Wi-Fi y
se mencionaron las vulnerabilidades presentes en las mismas, identificándose y
describiéndose herramientas de pentesting asociadas a la explotación de dichas
vulnerabilidades. Además, se definió el concepto de pentest y las etapas a seguir para su
realización. Como resultado de la investigación se implementaron varios escenarios de
ataques, donde se comprueba la efectividad de las herramientas empleadas, y se proponen
un conjunto de mecanismos y medidas para mitigar las vulnerabilidades detectadas,
llegándose a la conclusión de que Kali Linux es una distribución versátil para la realización
de pentests.
vi
TABLA DE CONTENIDOS
PENSAMIENTO .....................................................................................................................i
DEDICATORIA .................................................................................................................... ii
AGRADECIMIENTOS ........................................................................................................ iii
TAREA TÉCNICA .............................................................. ¡Error! Marcador no definido.
RESUMEN ............................................................................................................................. v
INTRODUCCIÓN .................................................................................................................. 1
CAPÍTULO 1. PRINCIPIOS BÁSICOS DE LA SEGURIDAD EN REDES WI-FI........ 5
1.1 Principales características de las redes Wi-Fi .......................................................... 5
1.1.1 Estándar IEEE 802.11 y sus enmiendas............................................................ 6
1.1.2 Arquitecturas de redes inalámbricas Wi-Fi ...................................................... 8
1.2 Seguridad en las redes Wi-Fi ................................................................................. 10
1.2.1 Ataques asociados a vulnerabilidades propias del medio radioeléctrico ........ 10
1.2.2 Ataques asociados a vulnerabilidades en los mecanismos de seguridad de

redes Wi-Fi ................................................................................................................... 13
1.2.2.1 WEP .............................................................................................................. 13
1.2.2.2 WPA.............................................................................................................. 16
1.2.2.3 WPA2............................................................................................................ 18
1.2.2.4 WPS .............................................................................................................. 19
1.2.3 Ataques asociados a vulnerabilidades en los Portales Cautivos ..................... 20

vii
1.3 Características de los pentests ................................................................................ 21
1.3.1 Tipos de pentesting .............................................................................................. 22
1.3.2 Etapas de un pentesting........................................................................................ 22
1.4 Conclusiones parciales ........................................................................................... 23
CAPÍTULO 2. PRESTACIONES DE LAS HERRAMIENTAS DE PENTESTING QUE

SE UTILIZAN PARA AUDITAR LA SEGURIDAD DE REDES WI-FI .......................... 25
2.1 Características de la distribución Kali Linux ......................................................... 26
2.2 Herramientas para el descubrimiento y monitoreo de redes Wi-Fi ........................ 26
2.2.1 Airodump-ng ................................................................................................... 27
2.2.2 NetStumbler 0.4.0 ........................................................................................... 27
2.2.3 Vistumbler v10.5 ............................................................................................ 27
2.2.4 Kismet 2013-03-R1b....................................................................................... 28
2.2.5 NetSurveyor 2.0.9686.0 .................................................................................. 28
2.2.6 Whireshark 1.12.4 ........................................................................................... 28
2.2.7 Tcpdump 4.6.2 / 1.6.2 ..................................................................................... 29
2.2.8 InSSIDer 4.2.0.12 ........................................................................................... 29
2.2.9 Airfart 0.2.1..................................................................................................... 29
2.2.10 Airtraf 1.0........................................................................................................ 29
2.2.11 Wellenreiter 1.9 .............................................................................................. 30
2.2.12 CommView for Wi-Fi 7.1 ............................................................................... 30
2.2.13 SWScanner Simple Wireless Scanner 0.2.3 ................................................... 30
2.2.14 Intercepter-ng .................................................................................................. 30
2.3 Herramientas para explotar vulnerabilidades en redes Wi-Fi ................................ 31
2.3.1 Herramientas para explotar las vulnerabilidades de autenticación ................. 31
2.3.1.1 Aireplay-ng ................................................................................................... 31

viii
2.3.1.2 MacChanger 1.7.0-5.1 .................................................................................. 31
2.3.1.3 Asleap ........................................................................................................... 31
2.3.2 Herramientas para explotar las vulnerabilidades de cifrado ........................... 32
2.3.2.1 AirSnort 0.2.7e .............................................................................................. 32
2.3.2.2 Wepbuster 1.0 beta 0.7 ................................................................................. 32
2.3.2.3 WepAttack 0.1.3 ........................................................................................... 32
2.3.2.4 WepLab 0.1.5 ................................................................................................ 32
2.3.2.5 Wesside-ng.................................................................................................... 33
2.3.2.6 Easside-ng ..................................................................................................... 33
2.3.2.7 Cain & Abel v4.9.56 ..................................................................................... 33
2.3.2.8 Aircrack-ng ................................................................................................... 33
2.3.2.9 Airolib-ng...................................................................................................... 34
2.3.2.10 CowPatty 4.6 ............................................................................................... 34
2.3.2.11 Pyrit 0.4.1 .................................................................................................... 34
2.3.2.12 John the Ripper 1.8.0 .................................................................................. 34
2.3.2.13 Fern Wi-Fi Cracker 2.0 ............................................................................... 34
2.3.2.14 Reaver 1.4 ................................................................................................... 35
2.3.3 Herramientas para realizar ataques a la infraestructura y ataques avanzados

Hombre en el medio (“Man in the middle”) ................................................................ 35
2.3.3.1 Airbase-ng ..................................................................................................... 35
2.3.3.2 Mdk3 v6 ........................................................................................................ 35
2.3.3.3 Void11 .......................................................................................................... 35
2.4 Detección, monitoreo y explotación de vulnerabilidades en redes Wi-Fi ............. 36
2.4.1 Descubrimiento y monitoreo de redes Wi-Fi .................................................. 36
2.4.2 Explotación de vulnerabilidades en redes Wi-Fi ............................................ 37

ix
2.4.2.1 Ataques a la autenticación en las redes Wi-Fi .............................................. 37
2.4.2.2 Ataques al cifrado que utilizan las redes Wi-Fi ............................................ 38
2.4.2.3 Ataques a la infraestructura de las redes Wi-Fi ............................................ 39
2.4.2.4 Ataque avanzado “Hombre en el medio” (Man in the middle)..................... 40
CAPÍTULO 3. HERRAMIENTAS DE PENTESTING EN ESCENARIOS DE

ATAQUES: COMPROBACIÓN DE SU EFECTIVIDAD Y MITIGACIÓN DE
VULNERABILIDADES ...................................................................................................... 44
3.1 Requerimientos de hardware y software ................................................................ 44
3.2 Preparación del Laboratorio ................................................................................... 45
3.2.1 Configuración del AP ..................................................................................... 45
3.2.2 Configuración de la tarjeta de red inalámbrica ............................................... 45
3.2.3 Conexión al AP ............................................................................................... 46
3.2.4 Creación de una interfaz en modo monitor ..................................................... 46
3.3 Escenarios de pentests ............................................................................................ 46
3.3.1 Escenario No. 1: Descubrimiento y monitoreo de redes Wi-Fi ...................... 46
3.3.2 Escenario No. 2: Ataques a la autenticación en las redes Wi-Fi .................... 49
3.3.3 Escenario No. 3: Ataques al cifrado que usa WEP ......................................... 55
3.3.4 Escenario No. 4: Ataques al cifrado que usa WPA/WPA2-PSK.................... 59
3.3.5 Escenario No. 5: Ataque a WPS ..................................................................... 63
3.3.6 Escenario No. 6: Ataques a la infraestructura de las redes Wi-Fi (DoS)........ 64
3.3.7 Escenario No. 7: Ataque avanzado “Hombre en el medio” (“Man in the

middle”) ........................................................................................................................ 67
3.4 Mecanismos y medidas para mitigar las vulnerabilidades detectadas ................... 71

x
CONCLUSIONES ................................................................................................................ 76
RECOMENDACIONES ....................................................................................................... 78
GLOSARIO DE TÉRMINOS .............................................................................................. 79
REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 85
ANEXOS .............................................................................................................................. 95
Anexo 1 Tarjetas Wi-Fi inalámbricas. NETGEAR WG111v2 54Mbps Wireless USB

2.0 Adapter y TP-Link TL-WN721N 150Mbps ............................................................... 95
Anexo 2 NETGEAR 802.11g ProSafe Wireless Access Point modelo WG302 ........... 95
Anexo 3 NETGEAR N150 Wireless Router modelo WGR614 .................................... 96
Anexo 4 Configuración del nombre de la red ............................................................... 96
Anexo 5 Configuración del AP con autenticación abierta ............................................ 96
Anexo 6 Descubrimiento de la interfaz ......................................................................... 97
Anexo 7 Activación del dispositivo de red.................................................................... 98
Anexo 8 Escaneo de las redes cercanas ......................................................................... 98
Anexo 9 Comprobación de la conexión con el AP........................................................ 99
Anexo 10 Establecimiento de la dirección IP de la tarjeta de red inalámbrica ........... 99
Anexo 11 Ping al AP ................................................................................................. 100
Anexo 12 Verificación de que la respuesta viene del AP .......................................... 100
Anexo 13 Detección de las tarjetas disponibles......................................................... 101
Anexo 14 Creación de la interfaz en modo monitor .................................................. 101
Anexo 15 Verificación de la creación de la interfaz en modo monitor ..................... 102
Anexo 16 Visualización de la nueva interfaz ............................................................ 102
Anexo 17 Escaneo de los AP cercanos mediante Vistumbler v10.5 ......................... 103
Anexo 18 Uso de los canales 802.11 con NetSurveyor 2.0.9686.0 ........................... 104
Anexo 19 Espectrograma de los canales con NetSurveyor 2.0.9686.0 ..................... 105

xi
Anexo 20 Escaneo de los AP cercanos mediante CommView for Wi-Fi 7.1 ........... 106
Anexo 21 Captura de paquetes mediante CommView for Wi-Fi 7.1 ........................ 106
Anexo 22 Estadísticas de la cantidad de paquetes en CommView for Wi-Fi 7.1 ..... 107
Anexo 23 Matriz de las conexiones de red en CommView for Wi-Fi 7.1 ................ 107
Anexo 24 Selección de la interfaz mon0 en Wireshark ............................................. 108
Anexo 25 Sniffing de paquetes inalámbricos mediante Wireshark............................ 108
Anexo 26 Sniffing de los marcos de gestión .............................................................. 109
Anexo 27 Sniffing del control .................................................................................... 109
Anexo 28 Sniffing de los frames de datos .................................................................. 109
Anexo 29 Sniffing de paquetes inalámbricos de la red del laboratorio mediante

Airodump-ng ................................................................................................................... 110
Anexo 30 Bloqueo la tarjeta inalámbrica en el mismo canal que el AP .................... 111

Wireshark………………………………………………………………………………111
Anexo 32 Sniffing de los paquetes non-beacon de la red del laboratorio .................. 113
Anexo 33 Test de inyección....................................................................................... 114
Anexo 34 Sniffing de los paquetes anuncio mostrando el SSID de la red del

laboratorio……………………………………………………………………………...114
Anexo 35 Configuración del AP con SSID oculto .................................................... 116
Anexo 36 Sniffing de los paquetes anuncio luego de configurar el AP con SSID

oculto……………………………………………………………………………….......116
Anexo 37 Envío paquetes de deautenticación de difusión ........................................ 117
Anexo 39 Revelación del SSID oculto ...................................................................... 118
Anexo 40 Desconexión con el AP por la existencia de filtros MAC ........................ 118
Anexo 41 Clientes conectados al AP ......................................................................... 119

xii
Anexo 38 Sniffing de los paquetes de deautenticación .............................................. 119
Anexo 42 Falsificación de la dirección MAC ........................................................... 120
Anexo 43 Conexión con el AP .................................................................................. 120
Anexo 44 Configuración del AP con clave precompartida y cifrado RC4 ................ 121
Anexo 45 Captura de la SKA .................................................................................... 122
Anexo 46 Visualización del archivo keystream en el directorio actual ..................... 122
Anexo 47 Ataque de autenticación falsa.................................................................... 123
Anexo 48 Sniffing de los paquetes de autenticación y asociación ............................. 123
Anexo 49 Configuración del AP con autenticación WPA-PSK y cifrado TKIP ....... 123

Airodump-ng ................................................................................................................... 124
Anexo 51 Captura del WPA handshake .................................................................... 125
Anexo 52 Ejecución del ataque de fuerza bruta a WPA-PSK con John The Ripper . 125
Anexo 53 Descubrimiento de la contraseña con John The Ripper ............................ 126
Anexo 54 Comprobación que el handshake se encuentra almacenado en el archivo

.cap…………………………………………………………………………..................126
Anexo 55 Enlace al archivo de diccionario de Kali Linux ........................................ 127
Anexo 56 Ejecución del ataque de diccionario a WPA-PSK .................................... 127
Anexo 57 Descubrimiento de la contraseña WPA-PSK ............................................ 128
Anexo 58 Descubrimiento de la contraseña WPA2-PSK .......................................... 128
Anexo 59 Creación de la tabla rainbow..................................................................... 129
Anexo 60 Crackeo de la contraseña WPA-PSK con Cowpattty ............................... 129
Anexo 61 Creación de la base de datos para Aircrack-ng ......................................... 130
Anexo 62 Crackeo de la contraseña WPA-PSK con Airolib-ng ............................... 130
Anexo 63 Crackeo de la contraseña WPA-PSK con Pyrit ........................................ 131

xiii
Anexo 64 Crackeo de la contraseña WPA2-PSK con CowPatty .............................. 131
Anexo 65 Crackeo de la contraseña WPA2-PSK con Airolib-ng ............................. 132
Anexo 66 Crackeo de la contraseña WPA2-PSK con Pyrit ...................................... 132
Anexo 67 Configuraciones de WPS para el intercambio de credenciales en el AP .. 133
Anexo 68 Configuraciones de WPS para el intercambio de credenciales en un cliente

de Android……………………………………………………………………………...133
Anexo 69 Generación del PIN por el enrolle ............................................................. 134
Anexo 70 Generación del PIN por el registrar .......................................................... 134
Anexo 71 Variante PBC de WPS en un cliente de Windows .................................... 135
Anexo 72 Visualización del PIN del AP ................................................................... 135
Anexo 73 Escaneo de los AP con WPS activado ...................................................... 136
Anexo 74 Ataque de fuerza bruta al PIN del AP ....................................................... 136
Anexo 75 Descubrimiento del PIN y la clave WPA-PSK mediante Reaver ............. 136
Anexo 76 Señales Wi-Fi disponibles en el área ........................................................ 137
Anexo 77 Difusión constante de tramas beacons de supuestos APs con nombres

aleatorios……………………………………………………………………………….138

creados por el atacante .................................................................................................... 139
Anexo 79 Difusión constante de tramas beacons de supuestos APs con el nombre del
AP legítimo………. ........................................................................................................ 140
Anexo 80 APs con nombres elegidos por mdk3 que le aparece al cliente ................ 140
Anexo 81 APs con nombres elegidos por el atacante que le aparece al cliente ........ 140
Anexo 82 AP con el mismo SSID del AP legítimo que le aparece al cliente ............ 141
INTRODUCCIÓN
La creciente demanda e implementación de las conexiones inalámbricas en la sociedad

actual es un hecho ampliamente difundido, tanto en el ámbito hogareño, como en el
corporativo y en los espacios públicos. Sus ventajas frente a las tradicionales redes
cableadas como son facilidad de instalación, bajo costo, movilidad, sencilla ampliación y
versatilidad del producto se han ganado la preferencia de los usuarios en el mundo. Este
auge de las tecnologías inalámbricas ha proporcionado nuevas expectativas para el
desarrollo de los sistemas de comunicación; así como nuevos riesgos, en particular, en las
redes Wi-Fi al ser usadas diariamente por millones de personas para transmitir información
cada vez más sensible, sin percatarse de los peligros inherentes a la utilización de un medio
de transmisión tan observable como son las ondas de radio [1], [2].
En las conexiones inalámbricas es posible que los usuarios se vean afectados por problemas
de diversa índole, como la utilización de su conexión a internet, obtención de datos
importantes que se transfieran en la red inalámbrica, el robo de archivos personales o de
contraseñas de acceso a bancos, redes sociales u otros servicios. Durante la última década,
la cantidad de ataques inalámbricos hacia los clientes Wi-Fi se ha incrementado, y en
consecuencia hay que destacar los aspectos que conciernen a la seguridad [2], [3].
En la actualidad la seguridad está más avanzada, toda vez que se han desarrollado
estándares de autentificación sólidos y/o robustos que trabajan unificadamente con los
sistemas tradicionales o alámbricos. Para proteger un sistema se deben emplear una serie de
mecanismos y medidas, para luego, y a manera de comprobación, aplicar las mismas
herramientas usadas por los intrusos, lo cual permite conocer de forma proactiva las
vulnerabilidades existentes y poder cubrirlas. Este accionar profiláctico se conoce como
pentest o test de penetración, a través del cual se ejecuta hacking ético, donde un grupo de
INTRODUCCIÓN
2
especialistas en seguridad de la información verifican y documentan la seguridad, o los

controles de protección de una plataforma tecnológica, con las mismas técnicas de un
hacker/cracker, y con el fin de lograr comprometer activos alcanzables por algún punto de
la superficie de ataque de un sistema [4], [5].
Finalmente, las redes inalámbricas son en la actualidad tan difundidas como peligrosas en
muchos casos, por ende, es importante establecer un esquema de mecanismos y medidas de
seguridad por parte de los administradores y usuarios de estas redes, que potencien la
integridad, confiabilidad y disponibilidad de las redes inalámbricas [1].
En Cuba los diagnósticos de seguridad constituyen una técnica bastante nueva,

generalmente, no forman parte del sistema de seguridad informática. Sin embargo, en el
VIII Seminario Iberoamericano de Seguridad en Tecnologías de Información y
Comunicaciones, se propuso una Metodología para la realización de Diagnósticos de Red
(Pentest) a las Redes de datos de la Empresa de Telecomunicaciones de Cuba (ETECSA)
[6]. Uno de los centros que ha realizado publicaciones en Cuba, acerca de la seguridad de
redes Wi-Fi, es el Instituto Superior Politécnico José Antonio Echeverría Bianchi (ISPJAE)
[7]. Además, una de las empresas que brinda servicios de pentests es la Empresa de
Seguridad Informática (SEGURMÁTICA), la cual en estos momentos comercializa el
servicio de diagnósticos interno y externo [6].
Las redes Wi-Fi de la Universidad Central “Marta Abreu” de Las Villas (UCLV) no han
sido objeto de una auditoría de hacking ético [8], por lo que esta investigación será de gran
importancia para esta institución, y por ende para la Facultad de Ingeniería Eléctrica, desde
el punto de vista teórico y práctico. Además, para aquellas personas que se incentiven a
investigar sobre este tema, ya que se expondrán las principales características de algunas
herramientas de pentesting para redes Wi-Fi permitiendo la realización futura de pentests,
los cuales posibilitarán no solo la detección de vulnerabilidades, sino que también tratarán
de explotarlas, y así confirmar su existencia y el impacto real que podrían tener en esta, y
otras organizaciones como ETECSA, en caso de que fueran atacadas con éxito.
Teniendo en cuenta las razones expuestas anteriormente, se plantea el siguiente problema

de investigación: ¿Qué herramientas de pentesting se utilizan para detectar y explotar
vulnerabilidades en redes Wi-Fi?
INTRODUCCIÓN
3
Esta investigación tiene como objeto de estudio las herramientas de pentesting y el campo
de estudio lo constituye la utilización de estas herramientas en redes Wi-Fi.
Para dar cumplimiento al problema de investigación, se propone el siguiente objetivo

general: Emplear herramientas actuales de pentesting para detectar y explotar
vulnerabilidades en redes Wi-Fi.
Para resolver el problema de investigación y dar cumplimiento al objetivo general, se

plantean los siguientes objetivos específicos:
 Identificar herramientas de pentesting que se utilizan en la realización de

 Describir herramientas de pentesting que se utilizan en la realización de
 Implementar herramientas de pentesting en escenarios de ataques para
comprobar su efectividad.
 Proponer mecanismos y medidas para mitigar las vulnerabilidades detectadas
utilizando herramientas de pentesting.
A partir de cada objetivo específico se crean interrogantes científicas, a las cuales se les
dan respuestas en el desarrollo de la investigación:
 ¿Qué son las herramientas de pentesting y cómo se utilizan para auditar la
seguridad de redes Wi-Fi?
 ¿Cuáles herramientas de pentesting son las que actualmente se usan para auditar
la seguridad de redes Wi-Fi y cuáles son sus prestaciones más significativas?
 ¿Qué escenarios de ataques serán implementados para comprobar el
funcionamiento de las herramientas de pentesting?
 ¿Cómo utilizar las herramientas de pentesting para detectar y explotar las
vulnerabilidades de los escenarios implementados?
 ¿Qué mecanismos y medidas se deben proponer para mitigar las
vulnerabilidades detectadas?
Para cumplir los objetivos establecidos, el informe de la investigación se estructuró en:

introducción, tres capítulos, conclusiones, recomendaciones, referencias bibliográficas y
anexos.
INTRODUCCIÓN
4
En el primer capítulo se exponen las principales características de las redes Wi-Fi, las
vulnerabilidades propias del medio radioeléctrico, de los mecanismos de seguridad que se
implementan en estas redes y de los portales cautivos. Además, se mencionan algunas de
las herramientas de pentesting asociadas a la explotación de vulnerabilidades. Finalmente,
se explica la importancia que posee el hacking ético para la seguridad de redes.
El segundo capítulo se realiza un estudio de herramientas de pentesting que se utilizan

para auditar la seguridad de las redes Wi-Fi en cuanto a sus prestaciones, ventajas y
desventajas, lo que permite la selección de las mismas. Además, se expone una seguía a
seguir para la realización de una auditoría de seguridad, teniendo en cuenta los ataques de
manera genérica, así como las herramientas asociadas a los mismos.
En el tercer capítulo se realizan pentests y para ello se implementan escenarios con el

hardware y el software requerido, permitiendo la detección y explotación de
vulnerabilidades en redes Wi-Fi. Al finalizar, y en correspondencia con los resultados
prácticos obtenidos, se plantean un conjunto de mecanismos y medidas para mitigar las
vulnerabilidades detectadas.
CAPÍTULO 1. PRINCIPIOS BÁSICOS DE LA SEGURIDAD
EN REDES WI-FI
El desarrollo que actualmente poseen las redes inalámbricas, a causa de la ampliación cada
vez mayor de los servicios y las aplicaciones, han hecho que en el mundo la seguridad de
las redes Wi-Fi sea considerada como imprescindible.
En el presente capítulo se exponen las principales características de las redes Wi-Fi, las
vulnerabilidades propias del medio radioeléctrico, de los mecanismos de seguridad que se
implementan en estas redes y de los portales cautivos. Además, se mencionan algunas de
las herramientas de pentesting asociadas a la explotación de estas vulnerabilidades.
Finalmente, se explica la importancia que posee el hacking ético para la seguridad de redes.
1.1 Principales características de las redes Wi-Fi
Wi-Fi es una tecnología inalámbrica empleada para intercambiar información entre

dispositivos electrónicos sin necesidad de conectarlos mediante el uso de cables físicos, ya
que su funcionamiento se basa en la utilización de ondas de radio ofreciendo diferentes
velocidades de conexión. Pertenece al conjunto de tecnologías conocidas como wireless
con mayor aceptación y uso en la mayoría de dispositivos electrónicos como teléfonos
inteligentes, tabletas, computadoras de sobremesa o portátiles, cámaras digitales o consolas
de videojuegos; el cual permite disponer de una red de comunicación entre varios
dispositivos y con acceso a Internet [9], [10].
Wi-Fi es una marca perteneciente a la Alianza Wi-Fi, la cual es la organización que

certifica y prueba que los equipos cumplen el estándar IEEE 802.11, cuya visión es la
conexión de todo, de todos, y en todas partes; a través de la interoperabilidad de sus
CAPÍTULO 1. PRNCIPIOS BÁSICOS DE LA SEGURIDAD EN REDES WI-FI
6
productos identificados con el sello Wi-Fi CERTIFIED ™. De esta manera, Wi-Fi se

convierte en el nombre comercial del estándar IEEE 802.11 y mediante su logo del ying y
el yang, no son más que una forma de la industria de certificar que el producto que lo posee
cumple con el estándar [11].
1.1.1 Estándar IEEE 802.11 y sus enmiendas
El proceso de estandarización de las WLAN comenzó a mediados de los años 90 del siglo
pasado, disponiéndose en 1997 del estándar IEEE 802.11 (Wireless LAN Medium Access
Control (MAC) and Physical Layer (PHY) Specifications). Como todos los estándares 802
del IEEE, el 802.11 no especifica tecnologías ni aplicaciones, sino que sólo define las
funciones de los niveles 1 y 2 del modelo de referencia OSI, es decir, la capa física (L1) y
la capa de enlace (L2) (figura 1.1) [12].
Figura 1.1. Modelo de referencia IEEE 802.11.
La capa física se encarga principalmente de la modulación y codificación de los datos y se

describen las técnicas de transmisión por radio (FHSS, DSSS y OFDM) e (IR). La capa de
enlace de datos define los procesos de acceso al canal compartido, el formato de las tramas
y las direcciones. La misma se compone de dos partes: MAC y LLC [13].
Con la aprobación de esta norma, las WLAN iniciaron una lenta entrada en las redes
empresariales [14]. La misma define tasas de datos de 1 y 2 Mbps. Especifica CSMA/CA
como método de acceso al medio, así como todas sus enmiendas, trabaja en la banda de 2,4
GHz y como técnica de modulación puede emplear FHSS o DSSS [12]. Al percatarse de
7
que las velocidades de datos limitados del estándar 802.11 original impedía la adopción
generalizada de la tecnología, se dispuso en 1999 de la enmienda 802.11b con tasa de
transmisión hasta 11 Mbps [14].
En este año, precisamente, es cuando se crea una asociación conocida como WECA, que en
abril de 2000 certifica la interoperabilidad de equipos según la norma 802.11b bajo la
marca Wi-Fi. Con la adopción de esta nueva norma se popularizaron las redes Wi-Fi, la
misma trabaja en la banda de 2,4 GHz y está basada en la versión DSSS de 802.11 [15].
En el mismo año que la enmienda 802.11b fue aprobada 802.11 a, la cual define el
funcionamiento de equipos en la banda de 5 GHz y utiliza OFDM, una técnica de
modulación que permite una tasa de transmisión máxima de 54 Mbit/s. Este no es
interoperable con 802.11b porque usan bandas de frecuencia distintas, pero existen equipos
que trabajan con ambos estándares. Hoy en día, 802.11a no ha alcanzado la difusión que
tiene el 802.11b por haber llegado más tarde al mercado [13].
En el 2003 se ratificó una tercera enmienda al estándar 802.11 con la denominación de

802.11g, la cual funciona en la misma banda del 802.11b. Usa la misma técnica de
modulación que el 802.11a (ODFM), por lo tanto funciona con una tasa máxima de
transferencia de datos de 54 Mbit/s. Para asegurar la interoperabilidad con el 802.11b, en
las tasas de datos de los 5,5 y los 11 Mbps se revierte a CCK+DSSS y usa DBPSK/DQPSK
+ DSSS para tasas de transferencias de 1 y 2 Mbps [13], [16].
En el 2009 surge 802.11n, a la cual se le tituló: “Mejoras para incrementar el rendimiento”.

Apunta a alcanzar mayor velocidad que las existentes hasta el momento, pasando de 54 a
600 Mb/s. Ofrece la posibilidad de funcionar en ambas bandas, tanto en 2,4 GHz como en 5
GHz, lo que le posibilita la compatibilidad con las normas anteriores, siendo esta, una de
sus grandes ventajas. Además, aprovecha muchas de las enmiendas previas, pero la gran
diferencia es la dispersión espacial utilizando la tecnología MIMO [17].
El IEEE comienza a desarrollar en el año 2011 el estándar 802.11ac (Wi-Fi 5G o Gigabit

Wi-Fi), el cual mejora las tasas de transferencia hasta 1 Gbit/s, opera en la banda de 5 GHz
y utiliza hasta 8 flujos MIMO [17], [18].
Posteriormente en el 2013, el IEEE aprueba oficialmente la siguiente versión, la 802.11ad

(Gigabit Wi-Fi o WiGig), que provee comunicaciones a 7 Gbit/s. Para ello hace uso de la
8
banda de 60 GHz, mediante la cual proporciona enlaces inalámbricos de corto alcance y

generalmente, en línea de visión directa (sin obstáculos como paredes o techos) [19], [20].
Además, en el 2014 se aprobó White-Fi (802.11af), la cual utiliza las frecuencias libres o
white spaces que dejan los canales de televisión como guarda ante interferencias. Posee una
tasa de transmisión máxima de 568.9 Mbit/s y emplea frecuencias inferiores incluso a 1
GHz [16].
También se continúan explorando enmiendas como la 802.11ah, la cual será ratificada en el

2016. Esta trabaja a frecuencias menores que 1 GHz, al igual que 802.11af, y su propósito
es ser usada en las redes de sensores inalámbricos [21]. Otra de las enmiendas en estudio es
la 802.11ax, con vistas a ser ratificada en el 2019 y se centrará en mejorar la velocidad real
de la conexión frente a la capacidad global de la red. Esto permitirá crear una mejor
experiencia de banda ancha móvil para el usuario, siendo posible por el empleo de la
tecnología MIMO-OFDA (OFDMA) [22]. En la tabla 1.1 se muestra un resumen de
algunas características del estándar 802.11 y de cada una de sus enmiendas.
Tabla 1.1. Estándar IEEE 802.11 y sus enmiendas
1.1.2 Arquitecturas de redes inalámbricas Wi-Fi
Existen 2 tipos de arquitecturas para las redes inalámbricas Wi-Fi, una se denomina red Wi-
Fi ad-hoc, la cual se halla constituida por una colección de nodos móviles autónomos que
se comunican entre sí mediante enlaces inalámbricos. Esta carece por completo de una
9
infraestructura de red fija y la administración se realiza de forma descentralizada. En este

entorno se le da a los nodos una completa autonomía, donde cada uno de ellos actúa como
cliente y como punto de acceso simultáneamente, formando una red punto a punto. Esta
arquitectura se denota como IBSS (figura 1.2) [23].
Figura 1.2. Red Wi-Fi ad-hoc [23].
La otra arquitectura es red Wi-Fi de infraestructura, en la cual la administración se

encuentra centralizada en un controlador de acceso (AC) y es conocida como BSS. De ella
se tienen 2 configuraciones posibles: red Wi-Fi con AP autónomos, la que se requiere en el
caso de que la WLAN cubra un área más amplia. En esta cada AP realiza autónomamente
todas las funciones de acceso inalámbrico definidas en el estándar IEEE 802.11 (figura 1.3)
[24].
Figura 1.3. Red Wi-Fi con AP autónomos [24].
La otra configuración es red Wi-Fi con AP dependientes de un controlador. En esta se

emplean AP más sencillos que solo implementan las funciones de más bajo nivel del acceso
10
inalámbrico; de tal forma que el resto de las funciones se implementan de forma

centralizada en un controlador de AP, que comúnmente está integrado en un conmutador
Ethernet. Esta configuración se halla definida en la RFC 5416 como parte del protocolo
CAPWAP (figura 1.4) [24], [25].
Fig. 1.4 Red Wi-Fi con AP dependientes de un controlador [24].
1.2 Seguridad en las redes Wi-Fi
Una red inalámbrica es inherentemente menos segura que una red cableada, puesto que la
señal no está confinada a un medio de transmisión bien delimitado y protegido físicamente
contra el acceso de cualquier atacante potencial.
1.2.1 Ataques asociados a vulnerabilidades propias del medio radioeléctrico
Los atacantes de las redes inalámbricas no necesitan subir más allá de la capa de enlace de
datos para atacar, porque a pesar de las vulnerabilidades que presentan los mecanismos de
seguridad de Wi-Fi, su punto más débil es el medio de comunicación por el que viajan las
tramas. Aquí son capturadas, analizadas y modificadas, según el objetivo final que necesite
el atacante, que va desde simplemente denegar el servicio, modificar información e incluso
poder seguir accediendo a la red y provocar muchos más daños. Los más comunes ataques
en este sentido son, por ejemplo, los ataques de vigilancia referido a los “sniffers WLAN”,
mediante los cuales se realiza un barrido de la información que viaja por el aire en medio
de una comunicación Wi-Fi, entre un cliente y su correspondiente AP [26]. Entre estos
11
sniffers se hallan Airodump-ng, NetStumbler, Kismet, Wireshark, Airtraf y CommView for

Wi-Fi [27]–[29].
Algunos de los ataques referidos a ellos son escuchando a escondidas (eavesdropping) o

sniffing, que consiste en estar monitoreando la red. Para ello, se coloca la antena del
atacante en modo monitor mediante Airmon-ng [27]. Otro de los ataques es wardriving,
donde un atacante se mueve a través de un área en un vehículo, con un dispositivo con
tarjeta inalámbrica y un GPS en busca de redes inalámbricas abiertas, es decir, sin
protección (figura 1.5). Luego de esto se produce el walkchalking, que no es más que la
señalización con símbolos que describen el estado de la WLAN (figura 1.6) [26].
Figura 1.5. Representación del wardriving [26].

12
Figura 1.6. Simbología utilizada en el walkchalking [26].
Otro muy significativo es el de negación de servicio. Una de las maneras de llevarlo a cabo
es mediante una emisión de ruido RF, la cual se puede realizar con herramientas tales como
Void11 o Mdk3 [28]. Dentro del ataque DoS también se hallan los ataques de
deautenticación sostenida, implementados mediante Aireplay-ng, ataques AP
masquerading o evil twin, mediante el cual APs intrusos (Rogue Access Point) intentan
hacerse pasar por APs legítimos, a través de herramientas como Airbase-ng. Además, se
tiene MAC spoofing, el cual es una forma en la que el atacante intenta hacerse pasar por un
usuario legítimo, sobre todo en una WLAN que base la conexión de sus clientes en listas de
filtrado MAC. Existen en el mercado herramientas de software que realizan este tipo de
ataque, como por ejemplo MacChanger [27], [30], [31].
Un ataque poderoso asociado a vulnerabilidades propias del medio radioeléctrico es el

ataque Hombre en el Medio (Man in the middle), existiendo varias configuraciones para
llevarlo a cabo. En este el atacante logra colocarse en la mitad de la comunicación entre un
AP y un cliente legítimo, lo que le permite realizar cualquier acción sobre la información a
la que tiene acceso. Una de las herramientas mediante las cuales ha sido implementado es
Airbase-ng (figura 1.7) [32].
13
Figura 1.7. Representación del ataque Hombre en el Medio [32].
Los ataques mencionados son inherentes al diseño e implementación del propio estándar
802.11, es decir, no están relacionados a carencias o vulnerabilidades de seguridad que
hayan sido aportadas por la implementación de mecanismos de seguridad de Wi-Fi, como
los que serán expuestos a continuación.
1.2.2 Ataques asociados a vulnerabilidades en los mecanismos de seguridad de redes

Wi-Fi
Generalmente, se considera que la seguridad de una red es suficientemente buena cuando se

pueden garantizar tres características deseables en la comunicación de datos, las cuales son:
autenticación, privacidad o confidencialidad, e integridad. Para conseguir estas
características se implementan mecanismos de seguridad propios de las redes WI-FI que
serán explicados a continuación [33].
1.2.2.1 WEP
En la versión inicial del estándar 802.11 se especificaron mecanismos para proporcionar

todas estas características de seguridad. Los rasgos esenciales de estos mecanismos, casi en
su totalidad, forman parte del mecanismo de seguridad denominado WEP desarrollado en
1999. Este se halla basado en el algoritmo de cifrado RC4 que utiliza criptografía de 64 bits
o 128 bits, ambas utilizan un vector de inicialización (IV) de 24 bits y la clave secreta tiene
una extensión de 40 bits o de 104 bits. El keystream es generado por el algoritmo RC4 en
función de la clave y el IV (figura 1.8) [30].
14
Figura 1.8. Mecanismo de seguridad WEP [30].
La autenticación en este sistema consta de 2 variantes. Una de ellas es la autenticación

abierta, la cual no proporciona ninguna autenticación y permite que todos los clientes que
se conecten al punto de acceso sean autenticados con éxito. La otra se denomina PSK, en la
cual es necesario compartir una clave entre los equipos cliente y el punto de acceso. No
transcurrió mucho tiempo hasta que se puso de manifiesto la debilidad de la autenticación
mediante clave precompartida, y se hizo público un ataque que superaba esta protección
prescindiendo de la clave, el cual es descrito en [34]. Este ataque es conocido como
autenticación falsa, el cual fue implementado por Erik Tews mediante la herramienta
Aireplay-ng [35].
Además, se especificó un método para comprobar exclusivamente la integridad de los datos

denominado ICV, el cual no es el apropiado a causa del algoritmo CRC-32 utilizado para
esta tarea, pues este es un código de detección de errores y no es criptográficamente seguro
a causa de su linealidad, constituyendo la debilidad más fácil de atacar del mecanismo
WEP [30], utilizada tanto para el ataque inductivo de Arbaugh [36] como para el ataque de
fragmentación de Bittau [37]. En su artículo Andrea Bittau emplea la herramienta Wesside-
ng para la realización del ataque.
En Noviembre de 2004 un hacker de identidad desconocida, que adoptó el apodo de Korek,

fue capaz de refinar aún más los anteriores ataques basados en el CRC-32, presentando un
nuevo ataque basado en los trabajos de Arbaugh. El ataque al que llamó Chop-Chop
15
permite descifrar una trama, sin la clave WEP, pero también sin ningún keystream
previamente obtenido [30], [33].
Además, herramientas de cracking como Aircrack o WepLab pueden ser utilizadas para
poner en práctica los ataques anteriores (inductivo de Arbaugh, fragmentación de Bittau y
Chop-Chop) [30], en conjunto con Aireplay-ng, herramienta que fue empleada por Erik
Tews en [35] para realizar la inyección de paquetes.
En lo que respecta a la privacidad de los datos WEP utiliza el algoritmo de cifrado RC4, el
cual se empleó de forma incorrecta e insegura en su diseño. En el artículo [38], sus autores
abren la puerta a los ataques de criptoanálisis contra una clave WEP, identificando una
clase de vectores de inicialización a los que denominaron IVs débiles. De esta manera,
surge FMS definido como un ataque estadístico contra la clave WEP. Esta vulnerabilidad
fue aprovechada por herramientas de seguridad como AirSnort, permitiendo que las claves
WEP fueran descubiertas analizando una cantidad de tráfico suficiente [33], [39]. Además,
otra de las herramientas que se mencionan en el artículo [39] es WEPCrack y en [35] su
autor Erik Tews implementa un ataque FMS mediante la herramienta Aircrack-ng.
Posteriormente David Hulton ideó un método optimizado de este mismo ataque, lo

implementa y, después de comprobar su rendimiento, difunde su testimonio sobre la
ruptura de claves WEP [40].
Entrando en el año 2004, el hacker que se dio a conocer bajo el seudónimo de KoreK
sorprendió a los usuarios de cierto foro de Internet dedicado a Netstumbler, enviando una
implementación de 17 ataques de criptoanálisis contra una clave WEP, influenciados por la
técnica esencial del ataque FMS. Erik Tews implementa algunos de estos 17 ataques
mediante la herramienta Aircrack-ng [35].
Actualmente, el ataque más eficiente contra una clave WEP, así como el que requiere una
menor cantidad de paquetes, fue denominado mediante las iniciales de los autores del
artículo [41]. Desde el punto de vista del ataque PTW, cualquier IV se considera “débil”
(para el ataque FMS solo hay 768 IVs débiles para el primer byte de la clave WEP). En
[35] se implementa un ataque PTW mediante la herramienta Aircrack-ng.
Algunas debilidades del mecanismo WEP no se pueden atribuir exclusivamente a las

primitivas de seguridad empleadas por éste, como el algoritmo de cifrado, la función
16
escogida para verificar la integridad o el procedimiento de autenticación. En cambio, la

elección de determinados parámetros de operación, o incluso la forma en la que se utilizan
o interactúan estas primitivas, pueden contribuir notablemente a la aparición de estas
debilidades. Un caso ejemplar es el tamaño de la clave WEP de 40 bits, la cual resulta
vulnerable a ataques de fuerza bruta [33].
Por el contrario, para una clave WEP de 104 bits el ataque por fuerza bruta aún resulta
impracticable, aunque un ataque de diccionario podría ser efectivo contra claves de ambos
tamaños, suponiendo que la contraseña escogida fuese poco original (palabras en cierto
idioma, números, entre otros) [33].
Aparte de los ataques contra la clave WEP, los IVs favorecen otros tipos de ataques a causa
de su reducido tamaño, ya que 224 combinaciones de claves diferentes no es una cifra
apreciable frente a los ataques de fuerza bruta. Las mismas no tienen un carácter aleatorio y
se envían al destino sin cifrar. Además, no se autentica el AP sólo el cliente, lo que da
como resultado ataques con APs intrusos [30], [33].
Actualmente, por los problemas descritos se aconseja utilizar algún otro método de los
disponibles, recurriendo solo a este sistema si no existiera ninguna alternativa viable y
procurando acompañarlo de algún otro mecanismo de seguridad general como pueden ser
IPsec, SSL o SSH, usados en las VPNs [42].
Posteriormente aparecieron varias alternativas para mejorar la seguridad de WEP, como por
ejemplo: WEP Plus desarrollada por Agere Systems y WEP2, ambas con escasa aceptación
por parte de la industria a causa de sus vulnerabilidades. Otra de las alternativas fue WEP
dinámico, en el cual las claves WEP eran renovadas automática y periódicamente. Este
constituyó la solución más segura hasta ese momento; sin embargo, sus implementaciones
no ofrecían la seguridad esperada [33].
1.2.2.2 WPA
Desde el año 2001 la falta de seguridad del mecanismo WEP queda patente, por lo que se
hizo necesario desarrollar un nuevo sistema que ofreciera seguridad a las redes
inalámbricas. Por cuestiones de compatibilidad regresiva y de urgencia en cuanto a la
necesidad imperiosa de tener un buen sistema de seguridad, la Alianza Wi-Fi anunció hacia
2003 que WEP había sido reemplazado WPA.
17
Respecto a las mejoras que incorpora WPA sobre WEP, si bien mantiene RC4 como
algoritmo, introdujo algunas características extra para fortalecer el proceso de cifrado,
dando lugar a TKIP. Con el mismo ahora las claves son generadas dinámicamente y su
distribución es automática.
Además aumentó el tamaño de las claves a 128 bits y también duplicó el tamaño de los IVs,
que pasó de 24 a 48 bits, de esta manera evita los ataques estadísticos a los que es
susceptible WEP. Sin embargo, TKIP es vulnerable a un ataque de recuperación de
keystream, pues es posible reinyectar tráfico en una red que utiliza WPA TKIP [30].
El avance más importante con respecto a WEP donde existía una autentificación mínima,
fue la posibilidad de autenticarse contra un servidor AAA como RADIUS mediante un
nuevo protocolo de autenticación, llamado EAP (figura 1.9) [33]. De este se derivan
métodos específicos de autenticación, entre los que se encuentran EAP-TLS, EAP-TTLS y
PEAP, basados en la utilización de certificados digitales [30].
Figura 1.9. Arquitectura IEEE 802.1x [33].
Al mecanismo de autenticación contra un tercero se le denominó WPA-Enterprise. De

todas maneras, para entornos pequeños también permite usar el método PSK, al cual se le
denominó como WPA-Personal. Este puede verse expuesto a ataques de fuerza bruta o de
diccionario, que pueden ser implementados mediante herramientas como CowPatty o John
the Ripper [43].
18
Adicionalmente a la autenticación y cifrado, WPA también mejora la integridad de la

información cifrada incorporando, en vez del CRC, un nuevo método de chequeo llamado
MIC, también conocido como Michael usado por TKIP, el cual evita los ataques Chop-
Chop y de fragmentación. Sin embargo, no es criptográficamente invulnerable, por lo que
hay que asumir la posibilidad de que sucedan ataques activos contra TKIP, que ni siquiera
el cifrado del campo MIC puedan impedir [33].
Por ejemplo, en el año 2008 fue publicado un ataque efectivo contra la privacidad provista
por TKIP, conocido como ataque Beck-Tews, aunque solo afecta a redes Wi-Fi que
soportan diferentes niveles de prioridad para las tramas (QoS), como las redes compatibles
con la enmienda 802.11e. Mediante este ataque puede descifrarse una trama enviada por el
punto de acceso a una estación, de forma similar a como lo hace el ataque Chop-Chop
contra WEP. Algunos meses después de la publicación del ataque de Beck-Tews, dos
investigadores plantean en su artículo [44] un nuevo escenario donde puede llevarse a cabo
este ataque a cualquier implementación de WPA, ya que no se requiere la distinción de
prioridades. Esto se logra combinando el ataque Beck-Tews con un ataque MITM.
A pesar de las debilidades mencionadas, el incremento del tamaño de las claves, el número
de llaves en uso, y agregar un sistema de verificación de mensajes, WPA hace que la
entrada no autorizada a redes inalámbricas sea mucho más difícil que en WEP [33].
1.2.2.3 WPA2
En junio de 2004, la edición final del estándar 802.11i fue adoptada y recibió el nombre
comercial WPA2 por parte de la Alianza Wi-Fi. WPA 2 implementó al igual que WPA,
802.1X/EAP/RADIUS, pero deja de utilizarse RC4 como algoritmo de cifrado para pasar
finalmente al estándar AES. Para el aseguramiento de la integridad y autenticidad de los
mensajes, WPA2 utiliza CCMP en lugar de los códigos MIC. Así como el uso del TKIP es
opcional, la utilización del protocolo CCMP es obligatoria en toda estación compatible con
RSN, introducida en la enmienda 802.11i [30].
De manera análoga a WPA, WPA2 presenta una versión de clave compartida denominada
WPA2-Personal, y una versión con autenticación 802.1x/EAP nombrada WPA2-Enterprise.
Es susceptible a ataques de fuerza bruta y de diccionario en su modo personal, para lo cual
se puede utilizar la herramienta Aircrack-ng. Además, en el artículo [45] se propone una
19
mejora para el ataque de diccionario contra la PSK, aplicable incluso a enlaces Wi-Fi
protegidos mediante el protocolo CCMP, aunque su efecto prácticamente no resulta
apreciable, a menos que se efectúe dicho ataque mediante tablas rainbow (tablas de arco
iris), las que pueden ser puestas en prácticas en herramientas como Pyrit y CowPatty.
Además en el artículo [46] se afirma que CCMP es vulnerable a un ataque de tipo TMTO.
Además, existe una versión de EAP conocida como PEAP, la cual utiliza certificados del
lado del servidor para la validación del servidor Radius. Debido a errores de configuración
en la validación de certificados, es posible la realización de ataques de diccionario contra
PEAP, específicamente a la variante PEAPv0 con EAP-MSCHAPv2, que tiene soporte
nativo en Windows. Esta vulnerabilidad fue descubierta por Bruce Schneier, Mudge y
David Wagner, autores del artículo [47], y cuyo trabajo fue continuado por Jochen Eisinger
que publicó [48] en el 2010. Existen multitud de aplicaciones, como asleap, que son
capaces de realizar ataques de diccionario offline dada una captura de red de MSCHAPv2.
Específicamente en el artículo [49] se describe un ataque de reflexión durante el 4-way

handshake (acuerdo de cuatro vías), por medio del cual un atacante puede conseguir ser
autenticado por una estación 802.11 que desempeñe los roles de autenticador y de cliente
simultáneamente. Este escenario es típico de las redes 802.11 que operan en modo ad-hoc.
1.2.2.4 WPS
Es un estándar del año 2007 promovido por la Alianza Wi-Fi para facilitar la creación de
redes WLAN seguras. WPS (también llamado QSS) en sí no es un mecanismo de
seguridad. Se trata de la definición de diversos mecanismos para facilitar la configuración
de una red WLAN segura con WPA o WPA2 en entornos domésticos o pequeñas oficinas,
minimizando la intervención del usuario. Concretamente, WPS define los mecanismos a
través de los cuales los diferentes dispositivos de la red obtienen las credenciales SSID y
PSK, necesarias para iniciar el proceso de autenticación. Por ejemplo, este es
proporcionado por el Software AP de la norma Wi-Fi Direct [50].
El sistema WPS falla en uno de los métodos que el estándar tiene a la hora de añadir
nuevos equipos a la red Wi-Fi, concretamente, el que utiliza un número PIN. Esta
vulnerabilidad fue descubierta por Stefan Viehböck en el 2011 [51] y puesta en práctica
mediante herramientas como Reaver y FERN WIFI CRACKER [52], [53].
20
Para todo lo expuesto anteriormente, sólo queda ser proactivos, conocer a fondo las
amenazas, preparase contra ellas; siempre alertas, en conjunto con buenas prácticas y
concientización [33].
1.2.3 Ataques asociados a vulnerabilidades en los Portales Cautivos
Los mecanismos de seguridad WPA y WPA2 con Radius se adaptan mejor a situaciones en
las que es indispensable garantizar tanto la autenticación de usuario como la
confidencialidad de los datos. Para el caso de lugares públicos (hotspots o puntos calientes),
una solución acertada se trata de los denominados portales cautivos. Un Portal Cautivo o
Portal Captivo es un sistema que controla el tráfico HTTP y redirecciona a los usuarios a
una página pasarela [54]. Esta página web puede presentar al usuario diferentes mensajes,
desde la bienvenida, la solicitud de aceptación de las políticas de uso (puertos permitidos,
responsabilidad legal, entre otras), información corporativa o propaganda; hasta un
formulario para facilitar al sistema sus credenciales de acceso; con el objetivo de controlar
el acceso a Internet vía Wi-Fi mediante autenticación (figura 1.9) [55], [56].
Figura 1.9. Ejemplo de un sistema de portal cautivo [57].
El proceso de autenticación en el portal cautivo se realiza mediante un AC, el cual habilita

o deshabilita determinados puertos y protocolos en base a si la autenticación es exitosa o
no. La comprobación de las credenciales de usuario se realizan a través de un servidor de
autenticación, bien utilizando una base de datos local o consultando a un servidor LDAP,
en el caso de centros de mayor envergadura, para permitir o denegar el acceso a la red; así
21
como asignar algunas restricciones como un límite de tiempo o un ancho de banda

determinado, esto con la idea de prestar un mejor servicio a todos los usuarios (QoS) [58],
[59].
El sistema de portal cautivo tiene la ventaja de que no requiere ninguna configuración del
lado del cliente y puede ser usado por cualquier terminal con una interfaz Wi-Fi, pues
utiliza un navegador web en lugar de un programa personalizado para la interacción entre el
usuario y el sistema. En cambio, los mecanismos WPA y WPA2 con servidor Radius,
además de ser más complicados de configurar para el usuario, requieren de apoyo y soporte
del sistema operativo [56], [60].
Entre algunas de las vulnerabilidades asociadas a los portales cautivos se tiene que no se
cifra el tráfico entre el cliente y el AP, lo que permite la captura de tráfico (spoofing,
hijacking…). Asociados a esta vulnerabilidad se hallan los ataques de suplantación de
identidad, en el cual se realiza sniffing de tráfico mediante Wireshark para descubrir una
dirección MAC válida; y el ataque MITM, donde se crea un evil twin que permite robar las
credenciales de acceso del cliente. Todas las herramientas para su realización, como el
servidor DHCP y Airbase-ng se hallan disponibles en la suite Aircrack-ng [61], [62].
Otra de las vulnerabilidades existentes es que en muchos portales cautivos no se controla el

tráfico DNS, lo que permite evadir el control del portal cautivo utilizando túneles DNS
mediante la encapsulación del tráfico TCP/IP dentro de peticiones DNS. Estos túneles
pueden ser implementados con herramientas como Iodine [63]. Además, es posible la
realización de ataques DoS si clientes asociados al mismo AP de la red Wi-Fi se conectan
entre ellos para transferir grandes ficheros, ya que se produce una sobrecarga del AP
impidiendo la navegación de otros usuarios [64].
Las características mencionadas referentes a los portales cautivos permiten concluir que los
mismos no son recomendables para redes que necesiten una seguridad fuerte, sino para
lugares de acceso público como cibercafés, hoteles y aeropuertos [55].
1.3 Características de los pentests
La seguridad en redes Wi-Fi se convierte entonces en un tema prioritario a causa de todos

los riesgos mencionados, y para ello, no basta con el elemento software y hardware también
22
se necesita de un factor humano bien preparado. Por su lado, los usuarios deben ser bien
entrenados en las buenas prácticas de seguridad para evitar que su desconocimiento sea el
factor más potencial para los ataques, y el personal técnico debe ser un hacker más,
conocedor de las vulnerabilidades y ataques de intrusos que puedan atentar o están
atentando contra la organización.
Para ello existen las denominadas pruebas de penetración (Penetration Testing), mediante
las cuales se ejecuta hacking ético [64]. Consisten en un análisis legal y autorizado
(auditoría) realizado por profesionales de la seguridad, que valiéndose de las mismas
herramientas y técnicas usadas por los crackers (hackers malignos), examinan las
vulnerabilidades existentes en un determinado sistema, pero también las explotan,
proporcionando una prueba de concepto de un ataque real. De esta manera, demuestran las
posibilidades reales que podría tener una persona externa (o interna) con la intención de
comprometer el sistema [65].
El objetivo de cualquier pentest es proporcionar evidencia real, amplia y detallada del nivel
de seguridad de una organización [66]. Como parte de ello, analizar, calibrar el grado de
riesgo y peligrosidad de las vulnerabilidades detectadas, es imprescindible para recomendar
las soluciones más apropiadas para cada una de ellas [67].
1.3.1 Tipos de pentesting
Cuando se realizan pentests, un hacker ético utiliza uno o más tipos de pruebas en el
sistema. Cada uno de los tipos simula un ataque con diferentes niveles de conocimiento
sobre el blanco de evaluación. Estos tipos se clasifican en: Black Box, White Box y Grey
Box [67], [68].
1.3.2 Etapas de un pentesting
El NIST plantea cuatro fases para la realización de pentests [69], que además son las
recomendadas por Vivek Ramachandran en [70]: Planificación, esta incluye la aprobación
de la Gerencia, la identificación del alcance y los objetivos de la prueba; descubrimiento, en
ella se realiza la recopilación de información y el análisis de vulnerabilidades; ejecución del
ataque, la cual consiste en la explotación de vulnerabilidades y presentación de informes,
donde se presenta el informe final que describe las vulnerabilidades identificadas y las
23
recomendaciones pertinentes para mitigarlas, así como la valoración del grado de riesgo
que representa cada una de ellas [69], [70].
Entre la fase de ataque y el descubrimiento se representa un bucle de retroalimentación,

pues mientras que los escáneres de vulnerabilidades solo chequean la posible existencia de
las mismas, en la fase de ataque se confirma su existencia (figura 1.10) [69].
Figura 1.10. Etapas de un pentesting [69].
Entre las diferentes herramientas de pentest que existen se incluyen desde scanners de
puertos, complejos algoritmos para descifrar claves hasta sistemas de intrusión por fuerza
bruta, las cuales serán utilizadas en este proyecto para garantizar la mayor seguridad
posible a las redes inalámbricas Wi-Fi.
1.4 Conclusiones parciales
En este capítulo se ofreció un acercamiento a la seguridad de las redes de Wi-Fi al

resumirse sus características, estándares, arquitecturas posibles y mecanismos de seguridad.
Pero sobre todo, el análisis de los ataques asociados a las vulnerabilidades propias del
medio, las asociados a vulnerabilidades en los mecanismos de seguridad de redes Wi-Fi, así
como las asociadas a los portales cautivos, permite demostrar que diariamente sorprenden
más las poderosas herramientas que se desarrollan y son usadas por los atacantes de estas
redes con el fin de vulnerarlas. Sin embargo, como se plantea al concluir el capítulo, el uso
24
de estas mismas herramientas, a través del hacking ético, permitirá minimizar la

probabilidad de sufrir un incidente sobre la información.
CAPÍTULO 2. PRESTACIONES DE LAS HERRAMIENTAS DE
PENTESTING QUE SE UTILIZAN PARA AUDITAR
LA SEGURIDAD DE REDES WI-FI
En el presente capítulo se lleva a cabo un estudio de las herramientas de pentesting que se

utilizan para auditar la seguridad de las redes Wi-Fi. De cada una de ellas se exponen sus
prestaciones, ventajas y desventajas, permitiendo la selección de las mismas. Además, se
expone una seguía a seguir para la realización de una auditoría de seguridad, teniendo en
cuenta los ataques de manera genérica, así como las herramientas asociados a los mismos.
Existen varias distribuciones orientadas directamente a la auditoría de seguridad de redes

Wi-Fi y que incluyen muchas de estas herramientas. Entre estas distribuciones se hallan
Wifiway, WiFiSlax, BackBox, Beini, AirUbuntu y Kali Linux, la cual es utilizada en este
proyecto.
Kali Linux es empleada por numerosas empresas en el mundo que se dedican a la

realización de auditorías de seguridad. Entre estas empresas se encuentran el SANS
Institute, la OMHE (Organización Mexicana de Hackers Éticos), Mile2, Tennable Security
y Attack-secure [71]–[75].
Offensive-Security, una empresa que proporciona servicios de pentesting y entrenamiento

en Seguridad Informática con calidad de clase mundial, es quien mantiene y apoya la
distribución Kali Linux. Esta es considerada como una herramienta profesional orientada al
pentesting de forma adecuada para los auditores de seguridad [76], [77]. Se trata de un
sistema de pentesting avanzado, robusto y estable. En Kali Linux se han eliminado las
herramientas que se encontraban descatalogadas y se han afinado las versiones de las
CAPÍTULO 2. PRESTACIONES DE LAS HERRAMIENTAS DE PENTESTING QUE SE UTILIZAN
PARA AUDITAR LA SEGURIDAD DE LAS REDES WI-FI 26
herramientas top, incluyendo las más utilizadas en el mundo de la auditoría informática

[78].
2.1 Características de la distribución Kali Linux
Kali Linux 1.1.0 es una completa reconstrucción de BackTrack Linux desde la base hacia
arriba. Sin embargo, mientras BackTrack estaba basada en la distribución Ubuntu, Kali se
adhiere completamente a los estándares de desarrollo de Debian. Kali es una distribución de
Linux avanzada para pentests y auditorías de seguridad. Es gratuita, de código abierto e
inicia en modo gráfico directamente. Posee más de 300 herramientas de pentests. Para
definir los directorios principales y sus contenidos, se basa en FHS. Además, consta de un
amplio apoyo a dispositivos inalámbricos. Tiene un Kernel personalizado con parches de
inyección y un entorno de desarrollo seguro. Kali Linux puede ser descargada como imagen
ISO, o directamente para VMWare y la gran variedad de herramientas que posee para
sniffing, cracking de contraseñas, entre otros, permite la adecuada realización pentests [79].
Esta distribución contiene a la suite de protocolos o scripts denominada Aircrack-ng 1.2, la

cual es de software libre, y está dedicada a la seguridad inalámbrica. Consiste en un sniffer
de red, un crackeador de claves WEP y WPA/WPA2-PSK; y otro conjunto de herramientas
de auditoría inalámbrica. Está diseñada para trabajar con una distribución Linux, aunque
también existe una versión para Windows [80].
2.2 Herramientas para el descubrimiento y monitoreo de redes Wi-Fi
Las herramientas para el descubrimiento y monitoreo son utilizadas con el objetivo de

obtener huellas para detectar e investigar redes inalámbricas. El tipo de ataque que realizan
estas herramientas es considerado de carácter pasivo, en los cuales se hace una señal básica
de lectura o wardriving. Los ataques pasivos están basados en el análisis de paquetes,
donde la adquisición de los mismos puede darse de manera pasiva, en esta se espera a que
los APs emitan las tramas anuncio (beacons frames); o activa, donde el adaptador
inalámbrico envía paquetes anuncio para que el AP responda [81]. A continuación se
describen algunas herramientas para el descubrimiento y monitoreo de redes Wi-Fi.
2.2.1 Airodump-ng
Pertenece al conjunto de herramientas que componen la suite Aircrack-ng. Escanea las

redes y captura datos trasmitidos a través del protocolo 802.11, en particular, los IVs.
Muestra la MAC del AP (BSSID), el canal por el que transmite (CH), los mecanismos de
seguridad (ENC), el nombre de la red (ESSID), entre otros. Es capaz de mostrar mediante
un GPS las coordenadas de los APs detectados en un rango de cobertura determinado.
Adicionalmente, crea archivos de salida con información detallada de todos los APs y
clientes detectados. Su método de ejecución es con la tarjeta inalámbrica configurada en
modo monitor [82].
2.2.2 NetStumbler 0.4.0
Esta herramienta de código cerrado está basada en el sistema operativo Windows y es

compatible con 802.11a, b y g. Si se tiene GPS permite no solo detectar, sino también,
mostrar las coordenadas de los APs. Puede ser empleado para estudiar la cobertura de la
señal, detectar posibles causas de interferencia y APs falsos. Además, muestra la MAC del
AP, el canal por el que transmite y el nombre, velocidad y tipo de red (BSS o IBSS). A
diferencia de la mayoría de los stumblers, también muestra la señal, el ruido y los niveles
de la relación señal-ruido (SNR). Una de sus desventajas es que no ha sido actualizado
desde el 2004, puede que no funcione bien en Windows 7, o incluso en Windows XP de 64
bits. Además, una de sus limitaciones es que no muestra los mecanismos de seguridad
reales de los APs, ya que si tienen activada la seguridad, siempre es marcada como WEP,
sin importar si es WEP, WPA o WPA2 [83].
2.2.3 Vistumbler v10.5
Es un stumbler de código abierto para Windows Vista/ 7 y 8. Permite identificar el tipo de

red, muestra información básica de los APs, incluyendo los métodos exactos de
autenticación y cifrado, el canal, el nombre de la red y RSSI. Además de la ayuda básica de
GPS, soporta seguimiento en vivo con Google Earth. Sin embargo, a diferencia de
NetStumbler, sólo da los niveles de señal y no incluye los niveles de ruido. Por lo tanto, no
se presentan los valores de la relación señal-ruido (SNR), que suelen ser mucho más
eficaces que los niveles de señal normal [84].
2.2.4 Kismet 2013-03-R1b
Esta herramienta de software libre es un detector de redes inalámbricas, un sniffer y un

sistema de detección de intrusos. Funciona sobre sistemas operativos Linux y es compatible
con 802.11b, a, g y n. Puede detectar APs con configuraciones por defecto, utiliza la técnica
de salto de canales (channel hops) para descubrir el mayor número posible de redes
inalámbricas y posibilita la utilización de GPS. En comparación con NetStumbler, ofrece
una mayor cantidad de características, ya que muestra información sobre los clientes
conectados a la red e indica el modo exacto de cifrado. Trabaja con la tarjeta en modo
monitor y funciona de forma pasiva. También, guarda un archivo con los paquetes
capturados en formato .cap, legible por Wireshark y TcpDump [85].
2.2.5 NetSurveyor 2.0.9686.0
Herramienta gratuita para el descubrimiento de redes inalámbricas basada en sistemas

operativos Windows. Su propósito es similar a NetStumbler, pero incluye más
características. Reúne información acerca de APs inalámbricos en tiempo real, generando
informes en formato Adobe PDF que incluyen la lista de APs y sus propiedades, junto con
las imágenes de cada una de los gráficos de diagnóstico que emplea. Soporta variados
adaptadores de red inalámbricos. Además, posibilita la realización de investigación
inalámbrica, ya que permite aprender acerca de la cobertura de un AP nuevo o existente,
capacidad de itinerancia, presencia de interferencias de radiofrecuencia o puntos muertos
(dead spots); y la ubicación óptima de los APs, sus antenas y estaciones cliente [86].
2.2.6 Whireshark 1.12.4
Es un analizador de paquetes de red o sniffer de software libre compatible con 802.11 a/b/g
y n. Está basado en la librería libpcap y su objetivo es capturar los paquetes de la red,
mostrando los datos de la forma más detallada posible. Funciona en Linux y en Windows, a
través de una interfaz gráfica de usuario; aunque también incluye una versión basada en
texto llamada tshark. Provee muchas opciones de organización y filtrado de información.
Además, suele ser utilizado para solucionar problemas en una red y aprender sobre
protocolos [87].
2.2.7 Tcpdump 4.6.2 / 1.6.2
Es un sniffer basado en el sistema operativo UNIX, aunque cuenta con una versión para
Windows denominada WinDump 3.9.5. Es una herramienta en línea de comandos, utiliza la
librería libpcap y se creó para analizar y monitorizar los paquetes que circulan por la red.
Además, los múltiples filtros, parámetros y opciones que tcpdump ofrece, permiten varias
combinaciones, al punto de poder monitorear tanto el tráfico que pase por la interfaz, como
el tráfico que ingrese de una ip, un host, una página, un puerto o una MAC específica [88].
2.2.8 InSSIDer 4.2.0.12
Es un stumbler Wi-Fi de código abierto para Windows y OS X, el cual es usado para

obtener información acerca de determinada red inalámbrica. Además, muestra la dirección
MAC y el canal por el que transmite el AP, el nombre, velocidad y tipo la red. Sin
embargo; no muestra el método de autenticación exacto (no puede distinguir entre WPA-
PSK y WPA-Enterprise), aunque sí el cifrado. No incluye los valores de ruido o señal-
ruido, solo da los valores de RSSI, aunque cuenta con gráficos muy intuitivos. El gráfico
temporal muestra los niveles de señal (en dB) de cada AP durante los últimos cinco
minutos. Además, provee un gráfico para cada canal de 2,4 GHz y 5 GHz, que muestra los
niveles de señal actual y el uso de ancho de canal de cada AP. También cuenta con la ayuda
del GPS y le permite exportar a Google Earth [89].
2.2.9 Airfart 0.2.1
Es una herramienta de software libre basada en Linux y escrita en C y C++. Fue creada
para detectar dispositivos inalámbricos. Además, identifica y muestra la dirección MAC del
AP, el nombre de la red, la intensidad de la señal, el número de paquetes recibidos, y si está
activa o no la red. Esta información se muestra en una interfaz gráfica de usuario basada en
GTK [90].
2.2.10 Airtraf 1.0
Es una herramienta muy intuitiva para el descubrimiento de redes inalámbricas y la

monitorización de estadísticas de consumo de ancho de banda y tráfico. Se halla basada en
Linux y es de código abierto. Reúne y organiza paquetes capturados en el aire en función
del tipo de tráfico (gestión, control, datos). También, muestra el nombre de la red, el canal
de operación del AP; así como, la carga y el ancho de banda total utilizado por los nodos
conectados a este [91].
2.2.11 Wellenreiter 1.9
Es un detector de redes inalámbricas para Linux, el cual permite identificar el tipo de red y
detectar el SSID de radiodifusión. Hay dos versiones de Wellenreiter disponibles, una
basada en GTK y la otra es Wellenreiter II C ++ [92].
2.2.12 CommView for Wi-Fi 7.1
Constituye un sniffer para Windows. Trabaja en modo monitor y es compatible con redes
802.11 a/b/g/n/ y ac. Muestra una lista de todos los APs y las estaciones, las estadísticas por
nodo y por canal, el nivel de la señal, los paquetes y conexiones de red. Además, se halla
capacitado para poner a prueba la seguridad de una red, descifrando claves WEP y WPA-
PSK. Con más de 100 protocolos soportados, este analizador de red permite ver todos los
detalles de un paquete capturado utilizando una estructura en forma de árbol, conveniente
para mostrar las capas de protocolo y cabeceras de los paquetes. También es capaz de
inyectar paquetes, de reconstruir sesiones TCP y de mostrar estadísticas detalladas de las
conexiones IP [93].
2.2.13 SWScanner Simple Wireless Scanner 0.2.3
Es una aplicación desarrollada para entornos Linux, que permite la detección, gestión y
configuración de redes inalámbricas. Constituye una potente herramienta para realizar
wardriving, posibilita almacenar los escaneos y las configuraciones de red para los APs
detectados y automatiza el proceso asociación/desasociación. Además, permite la
integración con terminales GPS [94].
2.2.14 Intercepter-ng
Es una herramienta para dispositivos con Android (teléfonos inteligentes o tabletas) y con
la versión 2.1 o superior. Su función es realizar sniffing de tráfico de forma similar a
Wireshark, pero con menos opciones. Permite obtener las cookies de las diferentes
conexiones que se realicen, realizar ataques contra SSL, detectar el tipo de sistema
operativo y recuperar contraseñas [95].
2.3 Herramientas para explotar vulnerabilidades en redes Wi-Fi
Las herramientas para la explotación de vulnerabilidades en redes Wi-Fi realizan ataques de

carácter activo, en los cuales el atacante no sólo escucha y captura la información que
circula; sino que también participa de manera activa interactuando con el tráfico y tratando
de explotar las vulnerabilidades de la red. Principalmente hay dos tipos de ataques activos:
forzar la entrada y la negación del servicio [81]. A continuación se describen algunas
herramientas para la explotación de vulnerabilidades en redes Wi-Fi.
2.3.1 Herramientas para explotar las vulnerabilidades de autenticación
Los procesos de autenticación en las redes Wi-Fi poseen varias vulnerabilidades, las cuales
pueden ser explotadas por herramientas tales como:
2.3.1.1 Aireplay-ng
Es una herramienta perteneciente a la suite Aircrack-ng que se ejecuta en los sistemas

operativos Linux y Windows, mediante la cual se inyecta tráfico para elevar la captura de
IVs u otros propósitos [96].
2.3.1.2 MacChanger 1.7.0-5.1
Herramienta de código abierto basada en Linux, desarrollada con el objetivo de mostrar y

manipular las direcciones MAC de las interfaces de red. Es empleada por los hackers, ya
que les permite cambiar su dirección MAC por una MAC falsa [97].
2.3.1.3 Asleap
Esta aplicación es un sniffer de tráfico y un crackeador de claves basado en Linux. Fue

diseñada originalmente para captar y descifrar contraseñas débiles LEAP de Cisco, y luego
modificada para poder atacar el proceso de autenticación MS-CHAP v2 de Microsoft,
mediante ataques de diccionario offline. De esta manera, permite obtener claves de sesiones
PPTP y descifrar el tráfico de una VPN. Además, utiliza la librería libpcap y posibilita la
realización de ataques de deautenticación [98]–[100].
2.3.2 Herramientas para explotar las vulnerabilidades de cifrado
Los algoritmos de cifrado de las redes Wi-Fi poseen también varias vulnerabilidades a tener
en cuenta, de las que no se hallan exentas ninguna de sus variantes. Estas vulnerabilidades
pueden ser explotadas por herramientas tales como:
2.3.2.1 AirSnort 0.2.7e
Es una herramienta de software libre para Linux y Windows, específicamente para el

craqueo de paquetes inalámbricos con WEP en redes 802.11b, la cual trabaja en modo
monitor. Incluye una interfaz gráfica de usuario muy intuitiva (usando GTK+), que permite
una rápida configuración del canal a escanear y la capacidad para especificar si está
activada la clave WEP. Además, se puede usar para el descubrimiento de redes mostrando
informaciones como el nombre de la red y la cantidad de paquetes capturados. También
puede guardar los datos registrados en un archivo con formato .cap, así como, abrir y
procesar archivos con este formato capturados mediante otras herramientas como Kismet
[101].
2.3.2.2 Wepbuster 1.0 beta 0.7
La herramienta está basada en Linux y ha sido desarrollada en Perl. Surge como una
herramienta alternativa que permite automatizar al máximo el proceso de obtención de una
clave WEP haciendo uso de la suite aircrack-ng. Es capaz de sobrepasar el filtrado de
dirección de MAC utilizando la técnica de MAC Spoofing, revelar SSID ocultos y
seleccionar cuáles APs auditar. Además, permite la utilización de diccionarios para
crackear WPA-PSK [102].
2.3.2.3 WepAttack 0.1.3
Es una herramienta de código abierto basada en Linux. Se dedica a la ruptura de claves

WEP mediante ataques de diccionario. Además, acepta todos los dumpfile de la estructura
.cap [103].
2.3.2.4 WepLab 0.1.5
Herramienta de análisis de seguridad WEP, que puede ser instalada en GNU/Linux, BSD,
OS X o Windows. Permite recuperar la clave de cifrado mediante un de ataque de
diccionario, de fuerza bruta o haciendo uso de métodos estadísticos [104].
2.3.2.5 Wesside-ng
Es una herramienta perteneciente a la suite Aircrack-ng, la cual incorpora una serie de

técnicas para obtener claves WEP en minutos. Usa el salto de canales para encontrar las
redes y permite la realización de ataques PTW. Sin embargo, solo soporta autenticación
abierta y no de clave precompartida, es compatible con redes 802.11 b y g solamente, y la
falsificación de MAC no funciona si un tráfico considerable en la red. Es básicamente una
herramienta de prueba de concepto, por lo que es posible encontrar bugs (errores de
software) que impidan que trabaje según lo esperado [105].
2.3.2.6 Easside-ng
Es una de las herramientas que se recomienda para sustituir a wesside-ng o para trabajar en
conjunto con ella, la cual es considerada como herramienta estable. Permite comunicarse
con una red cifrada con WEP, incluso sin recuperar la clave. Utiliza también el salto de
canales, pero no permite la realización de ataques PTW, sin embargo, es significativamente
más rápida [106].
2.3.2.7 Cain & Abel v4.9.56
Es una herramienta de recuperación de contraseñas para Windows y es gratis. Puede

recuperar muchos tipos de contraseñas utilizando el sniffing de paquetes de red, también
puede crackear varios hashes de contraseñas utilizando métodos como ataques de
diccionario, de fuerza bruta y ataques de diccionario con el empleo de tablas rainbow.
También graba conversaciones VoIP, analiza protocolos de enrutamiento, recupera claves
de red o claves almacenadas en caché, permite la aceleración de la captura de paquetes
mediante la inyección y permite la realización de ARP Poisoning [107].
2.3.2.8 Aircrack-ng
Es una herramienta perteneciente a la suite Aircrack-ng, que trabaja sobre sistemas

operativos Linux y Windows. Su función es romper la seguridad WEP mediante ataques
PTW, Chop Chop, FMS y de diccionario. Además, también descubre claves WPA/WPA2-
PSK mediante ataques de diccionario [108].
2.3.2.9 Airolib-ng
Es una herramienta perteneciente a la suite Aircrack-ng, la cual permite realizar ataques de

fuerza bruta y diccionario contra WPA/WPA2. Posee una gran velocidad en el cálculo,
debido a su reducida y optimizada función de cálculo PMK, dando la posibilidad de crear
tablas rainbow. Además, utiliza una base de datos Sqlite3 como mecanismo de
almacenamiento [109].
2.3.2.10 CowPatty 4.6
Aplicación basada en Linux de línea de comandos, aunque hay una versión para Windows.
Permite realizar ataques de fuerza bruta y diccionario a WPA/WPA2-PSK, con la
posibilidad de crear tablas rainbow disminuyendo la velocidad de crackeo [110].
2.3.2.11 Pyrit 0.4.1
Es una herramienta de software libre, desarrollada en Python y disponible para Unix/Linux

y Mac OS X. Aprovecha de manera notable la potencia y la capacidad de procesamiento de
la GPU de las tarjetas gráficas Nvidia y ATI para crackear contraseñas de APs con
WPA/WPA2-PSK, mediante la creación de tablas rainbow. Además, puede entender
archivos de captura de paquetes en formato .cap [111].
2.3.2.12 John the Ripper 1.8.0
Es un programa gratis y de software libre disponible para sistemas operativos Linux/Unix y

Windows. Funciona a través de la línea de comandos, aunque existen interfaces gráficas
como Johnny. Es usado para encontrar claves WPA/WPA2 mediante cualquiera de sus tres
tipos de ataques: ataque por diccionario, ataque de fuerza bruta o ataque mixto (usa las
palabras del diccionario, pero además, las va variando con otros caracteres). Este es muy
rápido si las claves no son lo suficientemente buenas [112].
2.3.2.13 Fern Wi-Fi Cracker 2.0
Es una herramienta en modo gráfico, escrita en el lenguaje de programación Python, la cual

es capaz de descifrar y recuperar claves WEP / WPA/ WPA-PSK/ WPS [113].
2.3.2.14 Reaver 1.4
Herramienta que lleva a cabo un ataque de fuerza bruta contra el número pin de uno de los
métodos que el estándar WPS tiene a la hora de añadir nuevos equipos a la red Wi-Fi. Una
vez que el pin WPS es encontrado, la WPA PSK puede ser recuperada y alternativamente la
configuración inalámbrica del AP puede ser reconfigurada [50], [52], [114].
2.3.3 Herramientas para realizar ataques a la infraestructura y ataques avanzados

Hombre en el medio (“Man in the middle”)
Estos ataques se basan fundamentalmente en vulnerabilidades propias del medio

radioeléctrico. Las herramientas para implementarlos serán descritas a continuación:
2.3.3.1 Airbase-ng
Es una herramienta perteneciente a la suite Aircrack-ng, la cual permite enviar paquetes

cifrados, descifrar paquetes recibidos, manipular y reenviar paquetes y la creación de APs
falsos [115].
2.3.3.2 Mdk3 v6
Es una herramienta para Linux que trabaja en modo monitor. Esta añade ruido a un canal
(jammer) produciendo difusiones de peticiones de deautenticación a los clientes
inalámbricos y de autenticación, o asociación, a los APs. Además, provoca la difusión
constante de tramas beacons de supuestos APs creando confusión a los clientes dentro del
mismo canal. Cualquiera de estas opciones producirá un descenso en la calidad de la señal
recibida, incluso la negación de servicio a los clientes legítimos [116].
2.3.3.3 Void11
Es una herramienta de código abierto basada en Linux. Permite añadir ruido a un canal
inalámbrico funcionando de la misma forma que Mdk3. Realiza el monitoreo de la red
prácticamente en tiempo real, mostrando datos como el nombre de la red, el canal y la
configuración del ataque que realiza [117].
2.4 Detección, monitoreo y explotación de vulnerabilidades en redes Wi-Fi
Para la realización de auditorías de seguridad es fundamental seguir una guía, teniendo en

cuenta los ataques de manera genérica, así como las herramientas asociadas a los mismos.
La guía utilizada se trata del libro [70] del autor Vivek Ramachandran (figura 2.1.).
Figura 2.1. Guía para realizar pentesting.
2.4.1 Descubrimiento y monitoreo de redes Wi-Fi
El comienzo de una auditoría de seguridad se realiza mediante el descubrimiento de redes.

Para esto es necesaria la configuración de la interfaz de red en modo monitor, mediante la
herramienta Airmon-ng, lo que permite leer todas las tramas inalámbricas en el área,
aunque no pertenezcan a la red a auditar. Luego se realiza el sniffing a paquetes
inalámbricos, que constituye la siguiente fase del proceso de la auditoría. Esta comprende
la realización del monitoreo, en el cual se captura información sensible de la red para
posteriormente; implementar ataques que permitan explotar las vulnerabilidades de
seguridad [70]. Para el descubrimiento y monitoreo de redes Wi-Fi se pueden emplear
herramientas tales como Airodump-ng, NetStumbler, Vistumbler, Kismet, NetSurveyor,
Whireshark, Tcpdump, InSSIDer, Airfart, Airtraf, Wellenreiter, COMMVIEW FOR WIFI,

SWScanner e Intercepter-ng.
2.4.2 Explotación de vulnerabilidades en redes Wi-Fi
En esta fase de la auditoría se comprueba la existencia de vulnerabilidades mediante la

explotación de las mismas. Existen varios ataques que pueden implementarse, entre ellos:
ataques a la autenticación, ataques al cifrado, ataques a la infraestructura y ataques Man in
the middle, los que serán explicados a continuación.
2.4.2.1 Ataques a la autenticación en las redes Wi-Fi
Algunas redes Wi-Fi tienen esquemas de autenticación débiles, por lo que el análisis de los
mismos permite adquirir los conocimientos para aprender a superarlos. Para realizar
ataques a la autenticación es necesaria la inyección de paquetes, la cual constituye un
eslabón fundamental para la ejecución de estos y los ataques que serán explicados
posteriormente [70].
Descubrimiento de SSID oculto
En caso de que los APs hagan uso de la configuración del SSID oculto (el AP no emite el
SSID en las beacons frames), es fundamental descubrir estos SSID para tener acceso a la
red. Para ello puede emplearse la herramienta Aireplay-ng de la suite Aircrack-ng, la cual
permite inyectar paquetes de deautenticación a todas las estaciones en nombre del AP con
SSID oculto, obligando a todos los usuarios legítimos a desconectarse y reconectarse,
revelando el SSID [70].
Evasión del filtrado MAC
El filtrado MAC es una técnica utilizada para la autenticación y autorización en el acceso a

la red inalámbrica. El objetivo de este filtro es autenticar al usuario basándose en la
dirección MAC de su equipo cliente. La lista de direcciones MAC permitida es gestionada
por el administrador de la red y se introduce en el AP. Estas redes poseen algunas fallas en
el filtrado, por lo que es posible evitar los filtros MAC mediante herramientas como
MacChanger [70].
Ataque a la autenticación de clave precompartida

En la autenticación PSK es necesario compartir una clave entre los equipos cliente y el AP.
Esta clave es empleada por el cliente para cifrar el texto que el AP le envía y luego, es
utilizada por el AP para descifrar el texto que recibe del cliente. Si se puede recuperar el
texto original enviado al principio, el cliente se autentica correctamente, de lo contrario, el
AP envía un mensaje de error en la autenticación. El problema de seguridad es que un
atacante escuchando pasivamente esta comunicación, o auditando todas las conexiones
inalámbricas, tiene acceso tanto al modelo de texto como al cifrado. Se puede aplicar la
operación XOR para recuperar el flujo de clave. Este flujo de clave se puede utilizar para
cifrar cualquier petición futura enviada por el AP sin necesidad de conocer la clave actual.
Una de las herramientas que pueden ser empleadas para este ataque es Aireplay-ng [70].
Ataque a WPA2-Enterprise y RADIUS
Este ataque es posible debido a que la validación de certificados se apaga en el cliente, lo

que posibilita la presentación de un certificado falso. Luego de ello, se lleva a cabo un
ataque de diccionario contra el protocolo de autenticación MSCHAP-v2. Este ataque puede
llevarse a cabo con herramientas como Asleap [70].
2.4.2.2 Ataques al cifrado que utilizan las redes Wi-Fi
Ataques al cifrado usado por WEP
El objetivo es encontrar la forma de romper la seguridad WEP. Para ello es necesario un

gran número de paquetes de datos cifrados con la misma clave; en caso de no ser
suficientes los paquetes de datos, se fuerza a la red para generar más paquetes de este tipo
mediante Aireplay-ng. Cuando se capturen y procesen los paquetes de datos suficientes,
Aircrack-ng debe ser capaz de romper la clave. Existen otras herramientas para descifrar
claves WEP, tales como AirSnort, Wepbuster, WepAttack, WepLab, Wesside-ng, Easside–
ng y Cain & Abel [70].
Ataques al cifrado usado por WPA/WPA2-PSK
El cifrado usado por WPA/WPA2 PSK es vulnerable a ataques de fuerza bruta o de

diccionario, para ello se requiere la captura del 4-way handshake que se intercambia
durante el proceso de autenticación entre el cliente y el AP. Con el objetivo de acelerar este
proceso se puede usar Aireplay-ng para forzar a los clientes a iniciar un nuevo proceso de
autenticación. Una vez obtenido el handshake se intenta crackear la contraseña del AP,
mediante ataques de fuerza bruta o de diccionario, los que pueden realizarse con
herramientas como Cain & Abel, Aircrack-ng, Airolib-ng, CowPatty, Pyrit, John the
Ripper, y FERN WIFI CRACKER. Además, algunas de ellas como CowPatty, Airolib-ng y
Cain & Abel permiten realizar los ataques de diccionario de manera mucho más eficiente
mediante la utilización de tablas rainbow, en las cuales se hace el precálculo de la PSK,
también llamado PMK, lo que posibilita ganar mucho más tiempo.
Una vez que se han obtenido las claves se procede a descifrar los paquetes de datos que han
sido capturados. Para ello se emplea la herramienta Airdecap-ng perteneciente a la suite
Aircrack-ng, que permite descifrar paquetes protegidos con WEP o WPA/WPA2-PSK.
Además, otra de las herramientas que puede ser empleada para esta funcionalidad es
Wireshark [70].
Ataque a WPS
El sistema WPS falla en uno de los métodos que el estándar tiene a la hora de añadir
nuevos equipos a la red Wi-Fi, concretamente, el que utiliza un número PIN. La
herramienta Wash puede ser empleada para detectar objetivos con WPS activado, para
luego aplicar el ataque de fuerza bruta con Reaver o FERN WIFI CRACKER [50], [52],
[53].
2.4.2.3 Ataques a la infraestructura de las redes Wi-Fi
La infraestructura WLAN es la que proporciona servicios inalámbricos a todos los clientes

en un sistema. Varios ataques pueden realizarse contra la infraestructura. Dentro de estos se
encuentran los ataques DoS, que pueden ser implementados de diversas maneras como se
describe a continuación.
Ataque de deautenticación sostenida de los clientes

Para llevar a cabo este ataque se envían paquetes de deautenticación a un cliente legítimo
de la red mediante Aireplay-ng, consiguiendo la desconexión y la pérdida completa de la
comunicación entre este y el AP. También se envían paquetes de deautenticación de
difusión, con el fin de asegurar que ningún cliente en las cercanías se pueda conectar
correctamente al AP. Es importante tener en cuenta que tan pronto como el cliente se
desconecta, intentará volver a conectarse de nuevo al AP y, por lo tanto, el ataque de
deautenticación tiene que llevarse a cabo de manera sostenida para tener un efecto de
ataque de DoS completo [70].
Ataque de Rogue Access Point
Un AP renegado (Rogue Access Point) es un AP no autorizado conectado a la red

autorizada o legítima. Por lo general, este AP puede ser utilizado como backdoor (puerta
trasera) por un atacante, lo que le permitirá pasar por alto todos los controles de seguridad
en la red como los firewall, los IDS, y así sucesivamente, todos los mecanismos que
protegen la frontera de una red. El ataque de Rogue AP es considerado como una amenaza
seria a la seguridad, ya que permite, incluso, acceder a la red cableada utilizando un puente
inalámbrico-alámbrico [70].
Ataque evil twin

Un ataque potente en las infraestructuras WLAN es el gemelo malvado (evil twin), el cual
es una variante del ataque anterior y consiste en que un atacante introduce un AP
controlado por él en las inmediaciones de una red WLAN. En este se envía una trama de
deautenticación para el cliente mediante Aireplay-ng, el cual termina conectándose al AP
malicioso, ya que este AP se anuncia con el mismo SSID de una WLAN legítima, e
incluso, puede tener la misma MAC de un AP autorizado. Además, la fuerza de la señal del
evil twin puede ser más alta en comparación con la del AP legítimo. La suite Aircrack-ng
consta de la herramienta Airbase-ng, la cual puede ser empleada para crear estos AP falsos
[70].
Emisión de ruido RF
Mediante la emisión de ruido RF se puede generar interferencia que deje fuera de operación
a un AP autorizado en la red, permitiendo con ello que un AP intruso tome su lugar y se
haga cargo de la comunicación con los clientes autorizados. Este ataque se puede realizar
con herramientas tales como Mdk3 [116].
2.4.2.4 Ataque avanzado “Hombre en el medio” (Man in the middle)
El ataque MITM se sirve del spoofing para interceptar y selectivamente modificar los datos
de la comunicación suplantando la identidad de una de las entidades implicadas en la
comunicación. Este ataque es bastante poderoso y existen varias configuraciones para su
ejecución. Uno de los más comunes es cuando el atacante se conecta a Internet a través de
una LAN cableada y monta un AP falso, por ejemplo mediante Airbase-ng. Este AP falso
difunde el mismo SSID de un AP perteneciente a la Wi-Fi autorizada. Un usuario de esta
red puede conectarse accidentalmente a este AP falso, o puede ser obligado a utilizar la
señal de mayor potencia, haciendo creer al usuario que está conectado al AP legítimo. El
atacante puede reenviar el tráfico de forma transparente a todos los usuarios a través de
Internet, utilizando el puente que se ha creado entre las interfaces alámbricas e inalámbricas
[70].
En la tabla 2.1 se muestran cada una de las herramientas descritas en el transcurso del
capítulo. De ellas se especifica el ataque genérico que realizan, así como cada uno de los
ataques concretos incluidos en dichos ataques genéricos.
Tabla 2.1. Herramientas de pentesting que se utilizan para auditar la seguridad de las
redes Wi-Fi
En el presente capítulo se realizó un estudio de las herramientas de pentesting que se

utilizan para auditar la seguridad de las redes Wi-Fi, mencionándose también distribuciones
que incluyen la mayoría de dichas herramientas. Entre estas distribuciones se hace énfasis
en Kali Linux, ya que se halla orientada al pentesting de forma adecuada para los auditores
de seguridad. Además, mediante el análisis de la guía para la realización de una auditoría,
se llega a la conclusión que los ataques concretos pueden ser agrupados de manera genérica
de acuerdo al objetivo que se persiga con cada uno de ellos. Según esta guía existen cinco
etapas: Descubrimiento y monitoreo de redes Wi-Fi, Ataques a la autenticación en las redes
Wi-Fi, Ataques al cifrado que utilizan las redes Wi-Fi, Ataques a la infraestructura de las
redes Wi-Fi y Ataque avanzado “Hombre en el medio”, donde en cada una de ellas la
complejidad se acrecienta de manera significativa.
CAPÍTULO 3. HERRAMIENTAS DE PENTESTING EN
ESCENARIOS DE ATAQUES: COMPROBACIÓN DE
SU EFECTIVIDAD Y MITIGACIÓN DE
VULNERABILIDADES
En el desarrollo de este capítulo se definen los requerimientos de hardware y software

necesarios para la realización de pentests. Además, se describen e ilustran escenarios de
pentests implementados. Seguidamente, y para cada escenario, se explican los parámetros
de configuración de las herramientas a ser empleadas. La realización de estos pentests
permite la detección y explotación de vulnerabilidades, comprobando de esta manera la
efectividad de herramientas utilizadas. Al finalizar, y en correspondencia con los resultados
prácticos obtenidos, se plantean un conjunto de mecanismos y medidas para mitigar las
vulnerabilidades detectadas.
3.1 Requerimientos de hardware y software
Para la creación del laboratorio inalámbrico se recomiendan en [70] computadoras

portátiles con al menos 3 GB de RAM; aun así, pueden ser empleadas computadoras con 1
GB de memoria RAM como mínimo [79]. Para la creación de este laboratorio inalámbrico
se utilizaron tres computadoras de escritorio. Una de ellas es el cliente que se conecta al
AP, es decir, la víctima de los ataques. Con las otras dos se realizaron los pentests, ya que
en conjunto se les instalaron las herramientas a utilizar en los diferentes escenarios. Una de
ellas tiene Windows 7 como sistema operativo y 1 GB de memoria RAM, y la otra tiene
Kali Linux 1.1.0 como sistema operativo y 2 GB de memoria RAM.
CAPÍTULO 3. HERRAMIENTAS DE PENTESTING EN ESCENARIOS DE ATAQUES:
COMPROBACIÓN DE SU EFECTIVIDAD Y MITIGACIÓN DE VULNERABILIDADES
También se emplearon tres tarjetas Wi-Fi inalámbricas para cada una de las tres
computadoras. En este caso, la opción planteada en [70] es la tarjeta de red Alfa
AWUS036H, no obstante, cualquier tarjeta que soporte la inyección y la detección de
paquetes, y además, sea soportada por Kali Linux, puede ser usada para los ataques. Las
que se tienen a disposición, y cumplen con los requerimientos, son las tarjetas de red
NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter, las cuales soportan los
estándares b y g, usándose una de ellas para el cliente y otra para el atacante de Windows; y
una TP-Link TL-WN721N 150Mbps, que soporta además el estándar n, fue usada para el
atacante de Linux (Anexo 1).
Se requieren además dos APs, uno que soporte los mecanismos de seguridad
WEP/WPA/WPA2 y otro que soporte WPS. En estas pruebas fue utilizado un NETGEAR
802.11g ProSafe Wireless Access Point modelo WG302 y un NETGEAR N150 Wireless
Router modelo WGR614 (Anexos 2 y 3). Por último, se precisó de una conexión a una red
LAN para algunas de las pruebas.
3.2 Preparación del Laboratorio
3.2.1 Configuración del AP
Para la preparación del laboratorio primeramente se configuró el AP para utilizar

autenticación abierta (open authentication) con el SSID “Laboratorio Wi-Fi”. Para ello se
encendió el AP y se usó un cable Ethernet para conectar la PC a uno de los puertos Ethernet
del AP. Luego se introdujo la dirección IP de la terminal del AP en el navegador, en este
caso, 192.168.195.11 y una vez conectado, apareció la interfaz web de administración del
AP (Anexos 4 y 5) [70].
3.2.2 Configuración de la tarjeta de red inalámbrica
En la configuración de la tarjeta de red se conectó la misma a uno de los puertos USB de la

PC con Kali Linux, y se descubrió la interfaz inalámbrica creada para la tarjeta, mediante el
comando iwconfig (Anexo 6). A continuación se activó el dispositivo de red mediante el
comando ifconfig wlan2 up, y se mostró el estado actual de la interfaz mediante ifconfig
wlan2 (Anexo 7) [70].
3.2.3 Conexión al AP
Para la conexión al AP se utilizó iwlist wlan2 scanning, mostrándose qué redes

inalámbricas cercanas estaba detectando la tarjeta (Anexo 8). Se buscó la red con ESSID
“Laboratorio Wi-Fi”, pero como varios APs pudieran haber tenido el mismo ESSID se
comprobó que la MAC del AP era la correcta. Por último, se comprobó el estado y se
mostró mediante iwconfig wlan2, la MAC del AP, entre otras informaciones, ya que se
logró la conexión con el mismo (Anexo 9) [70].
Se puso la dirección IP de la tarjeta de red inalámbrica en la misma subred del AP mediante

ifconfig wlan2 192.168.195.12 netmask 255.255.255.0 up y se comprobó que se ejecutó
correctamente con el comando ifconfig wlan2 (Anexo 10). Para concluir, se hizo un ping al
AP con el objetivo de verificar nuevamente si la conexión de red se había configurado
correctamente (Anexo 11). Además se tuvo la posibilidad de emitir un arp -a, verificándose
que la respuesta venía desde el AP (Anexo 12) [70].
3.2.4 Creación de una interfaz en modo monitor
Mediante Airmon-ng se comprobó que se detectaba la tarjeta inalámbrica y apareció la

interfaz wlan2 en la salida (Anexo 13). Posteriormente, se creó una interfaz en modo
monitor correspondiente al dispositivo wlan2 con el comando airmon-ng start wlan2
(Anexo 14). Este nuevo modo de interfaz de monitor fue llamado mon0 y se verificó su
creación al emitirse airmon-ng (Anexo 15). Finalmente, se mostró la nueva interfaz llamada
mon0 mediante ifconfig (Anexo 16) [70].
3.3 Escenarios de pentests
3.3.1 Escenario No. 1: Descubrimiento y monitoreo de redes Wi-Fi
En este primer escenario se tenía al AP “Laboratorio Wi-Fi” y a un cliente conectado al

mismo. El atacante realiza el descubrimiento y monitoreo de la red, lo que le permitió
adquirir información valiosa (figura 3.1).
Cliente Legítimo
AP IP: 192.168.195.150
SSID: “Laboratorio Wi-Fi” MAC: 00:18:ad:66:5f:ef
Modo de operación: 802.11b/g SO: Windows 7
Canal/frecuencia: 6/2,437 GHz
IP: 192.168.195.11
MAC: 00:14:6C:6F:3A:71
Autenticación: Abierta
Cifrado: Ninguno
Herramientas empleadas por el atacante Atacante

Airodump-ng y Whireshark 1.12.4 IP Linux/Windows:
192.168.195.12/192.168.195.59
Vistumbler v10.5, NetSurveyor 2.0.9686.0 MAC Linux/Windows:
y CommView for Wi-Fi 7.1 00:18:4d:66:6d:4b/ 00:18:4d:66:5f:e8
Figura. 3.1 Escenario No. 1: Descubrimiento y monitoreo de redes Wi-Fi
Descubrimiento de redes Wi-Fi
La realización del descubrimiento de redes Wi-Fi se realizó con herramientas de Windows

tales como Vitstumbler v10.5, el cual mostró el AP del laboratorio con su dirección MAC
(00:14:6C:6F:3A:71), el SSID (“Laboratorio Wi-Fi”), el RSSI (-46dbm), el canal (6), los
métodos exactos de autenticación y cifrado, los cuales varían de acuerdo a la configuración
establecida; y el tipo de red, que correspondió a una red de tipo infraestructura (Anexo 17).
Otra de las herramientas de Windows mediante las cuales se llevó a cabo el descubrimiento
es NetSurveyor 2.0.9686.0. Esta ofreció 6 gráficos de diagnóstico, entre ellos, el uso de los
canales y el espectrograma de los mismos. En este caso, se mostró la red “Laboratorio Wi-
Fi” en el canal 6 con una mayor cantidad de beacons frames) (Anexos 18 y 19).
Además se empleó CommView for Wi-Fi 7.1, el cual mostró el AP del laboratorio con su
SSID, el canal, el estándar con que se hallaba configurado (802.11g), el mecanismo de
seguridad, los niveles de señal y la frecuencia (Anexo 20). También brindó todos los
detalles de un paquete capturado; así como, gráficas con las estadísticas de los mismos
(Anexo 21 y 22). Por último, mostró una matriz de las conexiones de red de acuerdo con las
direcciones MAC de los equipos (Anexo 23).
Sniffing a paquetes inalámbricos
Para el sniffing a paquetes inalámbricos se inició Wireshark, se hizo click sobre Capture |
Interfaces sub-menú; además se seleccionó la captura de paquetes desde la interfaz de
mon0 (Anexo 24) y haciendo clic en el botón Start a la derecha de la interfaz mon0,
Wireshark comenzó la captura (Anexo 25) [70].
Wireshark además ofreció la posibilidad de aplicar diferentes filtros para ver sólo la
gestión, el control o los frames de datos. Por ejemplo, para ver todos los marcos de gestión
de los paquetes que se capturaron se escribió en filter wlan.fc.type == 0, y se dio click en
aplicar (Anexo 26). Para ver frames de control se escribió wlan.fc.type == 1 (Anexo 27) y
para ver las tramas de datos wlan.fc.type == 2 (Anexo 28) [70].
El sniffing también se pudo llevar a cabo sólo para una red determina; para ello se empleó
airodump-ng con el comando airodump-ng --bssid 00:14:6C:6F:3A:71 mon0, con el
objetivo de seleccionar solamente la red del laboratorio (Anexo 29) [70].
La ejecución de airodump-ng mostró la dirección MAC del AP (BSSID). Además la

intensidad de señal que se recibió del AP en dbi (PWR). También mostró los beacons
frames (Beacons) que fueron enviados por el AP (cada AP envía alrededor de diez beacons
por segundo cuando la velocidad es de 1MB (la más baja), de tal forma que se pueden
recibir desde muy lejos). Aparte de lo anterior, ofreció el número de paquetes de datos
capturados (#Data), los que si tiene clave WEP, equivalen también al número de IVs,
incluyendo además los paquetes de datos dirigidos a todos los clientes (broadcast).
Asimismo, se pudo apreciar el número de paquetes de datos capturados por segundo (#/S),
calculando una media de los últimos 10 segundos, y mostrando a qué ritmo crecían los
paquetes de datos capturados. Otras de sus informaciones es el canal sobre en el que
operaba el AP (CH) (obtenido de los beacons frames), la velocidad máxima soportada por
el AP (MB), que en este caso fue 54 Mbps correspondiendo con la enmienda 802.11g, el
mecanismo de seguridad (ENC), el cifrado (CIPHER), la autenticación (AUTH), el nombre
de la red (ESSID), la dirección MAC de cada cliente asociado (STATION), el número de
paquetes perdidos en los últimos 10 segundos (Lost), el número de paquetes de datos
enviados por el cliente (Frames) y los ESSIDs a los cuales se intentó conectar el cliente
(Probe).
Para rastrear los paquetes de datos que iban y venían desde este AP fue necesario bloquear
la tarjeta inalámbrica en el mismo canal que el AP mediante iwconfig mon0 channel 6.
Luego se compruebó con el comando iwconfig mon0, el cual mostró además las bandas en
las que la tarjeta podía funcionar, en este caso 802.11 b/g (Anexo 30) [70].
Se inició Wireshark, el cual empezó a capturar en la interfaz mon0. Después que Wireshark
comenzó a capturar los paquetes, se aplicó un filtro para la dirección MAC del AP
wlan.bssid == 00:14:6C:6F:3A:71 (Anexo 31). Para ver los paquetes de datos para el AP,
se añadió lo siguiente al filtro (wlan.bssid == 00:21:91:d2:8e:25) &&
(wlan.fc.type_subtype == 0x20), donde el signo && es el operador lógico AND. Para
generar paquetes de datos que Wireshark pudiera capturar, se abrió el navegador en la PC
del cliente y se escribió la dirección URL de la interfaz web de administración del AP
(http://192.168.195.11) [70].
La detección de paquetes permitió analizar los paquetes de datos sin cifrar; es decir, como
el AP no estaba utilizando ningún tipo de cifrado se pudieron ver todos los datos en texto
plano. Esta es la razón por la cual se tiene que utilizar el cifrado [70].
3.3.2 Escenario No. 2: Ataques a la autenticación en las redes Wi-Fi
En este escenario se tenía al AP “Laboratorio Wi-Fi” y a un cliente que realizó la conexión

al mismo. El atacante mediante diversos ataques logró una autenticación exitosa con el AP
ganando acceso a la red (figura 3.2).
AP Cliente Legítimo
SSID: “Laboratorio Wi-Fi” IP: 192.168.195.150
Modo de operación: 802.11b/g MAC: 00:18:ad:66:5f:ef
Canal/frecuencia: 6/2,437 GHz SO: Windows 7
IP: 192.168.195.11
MAC: 00:14:6C:6F:3A:71
Atacante
Servidor IP: 192.168.195.12
RADIUS MAC: 00:18:4d:66:6d:4b
SO: Linux
Ataques
1. Descubrimiento del SSID Oculto
2. Evasión del filtrado MAC
3. Ataque a la autenticación de clave Herramientas empleadas por el atacante
precompartida (cifrado WEP)
4. Ataque a WPA-Enterprise y Radius Aireplay-ng, MacChanger 1.7.0-5.1 y Asleap
Figura 3.2 Escenario No. 2: Ataques a la autenticación en las redes Wi-Fi
Para realizar ataques a la autenticación y los ataques que serán explicados posteriormente
fue necesaria la inyección de paquetes. Para su realización se inició Wireshark y se escribió
(wlan.bssid== 00:14:6C:6F:3A:71) && !(wlan.fc.type_subtype == 0x08) en el filtro, esto
aseguró que se vieran sólo los paquetes non-beacon de la red del laboratorio. El signo &&
es el operador lógico AND y el signo ! representa al operador lógico NOT (Anexo 32) [70].
Se probó si la tarjeta puede inyectar en el AP, mediante aireplay-ng -9 -e “Laboratorio Wi-

Fi” -a 00:14:6C:6F:3A:71 --ignore-negative-one mon0. La opción -9 fue usada para el test
de inyección, -e (essid) indicó el nombre del AP y -a (bssid) fijó la dirección MAC del AP.
Al emitirse este comando se evidenció que la inyección funciona (Anexo 33) [70].
Al volver a Wireshark se vieron una gran cantidad de paquetes en pantalla. Algunos de

estos paquetes fueron enviados por Aireplay-ng, y otros correspondían al laboratorio en
respuesta a los paquetes inyectados.
Es necesario saber que tanto la captura inalámbrica, como la inyección de paquetes

dependen de la compatibilidad del hardware disponible. Esto significa que sólo pueden
operar en las bandas y canales permitidos por la tarjeta. Además, la tarjeta inalámbrica de
radio sólo puede estar en un canal a la vez, por lo que sólo se puede capturar o inyectar en
un canal a la vez [70].
Descubrimiento de SSID oculto
Para la ejecución de este ataque se explicó en qué consiste el SSID oculto, para ello se
empleó Wireshark que hizo un seguimiento de los beacons frames de la red “Laboratorio
Wi-Fi”, viéndose el SSID en texto plano (Anexo 34). Sin embargo, esto no fue posible al
configurar el AP con SSID oculto. Para configurar el AP con SSID oculto se marcó la
opción NO en la opción de difusión del nombre de la red (Anexo 35). Al fijarse en el
trazado de Wireshark, se encontró que el SSID de “Laboratorio Wi-Fi” había desaparecido
de los beacons frames, apareciendo “Broadcast” en su lugar. De esta manera se mostró en
lo que consiste el SSID oculto (Anexo 36) [70].
Con el fin de descubrir el SSID, se podía utilizar la técnica pasiva de esperar a que un
cliente legítimo se conectase al AP. Esto generaría una sonda de solicitud (Probe Request)
y los paquetes de respuesta de la sonda (Probe Response), que contendrían el SSID de la
red. Alternativamente, se usó Aireplay -ng que envió paquetes de deautenticación a todas
las estaciones conectadas en nombre del AP inalámbrico mediante aireplay-ng -0 5 -a
00:14:6C:6F:3A:71 --ignore-negative-one mon0 (Anexo 27). La opción de -0 indicó la
elección de un ataque de deautenticación, 5 fue el número de paquetes de deautenticación
enviados y -a especificó la dirección MAC del AP al que fueron difigidos. Esto obligó a
todos los clientes legítimos a desconectarse y reconectarse [70].
A continuación se añadió en Wireshark un filtro de paquetes de deautenticación

wlan.fc.type_subtype == 0x0c (Anexo 38). Las respuestas de la sonda desde el AP
terminaron revelando el SSID oculto (Anexo 39) [70].
Evasión del filtrado MAC
Primero se configuró el AP para utilizar el filtrado de MAC, y luego se agregó la dirección

MAC del cliente de la computadora víctima del laboratorio. Al tratarse de conectar con el
AP desde una máquina con una dirección MAC no indicada en la lista blanca, la conexión
falló, ya que el AP no está asociado. Esto se demostró mediante los comandos iwconfig
wlan2 essid “Laboratorio Wi-Fi” channel 6 y iwconfig wlan2 (Anexo 40) [70].
Para superar los filtros MAC, se usó airodump-ng con el objetivo de encontrar las
direcciones MAC de los clientes conectados al AP mediante airodump-ng -c 6 -a --bssid
00:14:6C:6F:3A:71 mon0. La opción --bssid especificó que sólo se hizo un seguimiento del
AP de interés, -c estableció el canal 6 para la captura, donde es la frecuencia de emisión del
AP y -a aseguró que en la sección de clientes sólo se fueran mostrados los clientes que se
asocian y se conectan al AP (Anexo 41) [70].
Al encontrarse un cliente de la lista blanca de MAC, se falsificó la dirección MAC del

mismo mediante la utilidad MacChanger, específicamente con el comando macchanger –m
00:18:4D:66:5F:EF wlan2. La dirección MAC que se especificó con la opción -m fue la
nueva dirección MAC falsa para la interfaz wlan2 (Anexo 42). Finalmente, se realizó la
conexión con el AP, después de la suplantación de la dirección MAC de un cliente de la
lista blanca (Anexo 43) [70].
Ataque a la autenticación de clave precompartida (autenticación falsa)
Para llevar a cabo este ataque se configuró el AP estableciéndose el mecanismo de

seguridad como WEP y la autenticación PSK (Anexo 44). A continuación, se conectó a un
cliente legítimo de la red utilizando la clave precompartida que se había fijado.
Se empezaron a capturar los paquetes entre el AP y este cliente, incluyendo todo el registro
de intercambio de autenticación mediante airodump-ng mon0 -c 6 --bssid
00:14:6C:6F:3A:71 -w keystream. La opción -c estableció el canal 6, --bssid la dirección
MAC del AP y la opción -w solicitó a Airodump-ng almacenar y/o escribir los paquetes en
un archivo cuyo nombre es la palabra "keystream". Una vez que sucedió la autenticación de
clave precompartida, Airodump-ng capturó este intercambio de forma automática. Una
indicación de que la captura tuvo éxito es cuando la columna autenticación (AUTH) se leyó
SKA, es decir, autenticación de clave compartida (Shared Key Authentication) (Anexo 45).
La captura se almacenó en un archivo llamado keystream en el directorio actual con el
nombre de archivo keystream-01-00-14-6C-6F-3A-71.xor (Anexo 46) [70].
Se simuló una autenticación de clave precompartida, mediante aireplay-ng -1 0 -e

“Laboratorio Wi-Fi” -y keystream-01-00-14-6C-6F-3A-71.xor -a 00:14:6C:6F:3A:71 -h
00:18:4d:66:6d:4b --ignore-negative-one mon0. La opción -1 indicó un ataque de
autenticación falsa, el valor 0 fue el tiempo entre cada asociación y constituye el tiempo en
que los APs requieren de reautentificación. Este valor puede variar entre 0 y 30, e influye
en si la asociación al AP ocurre o no de manera exitosa; por lo que se debe poner el valor
más pequeño que se requiera. Aireplay-ng usó la captura y asoció al cliente de dirección
MAC 00:18:4d:66:6d:4b con el AP, que en este caso es el atacante. Una vez que la
asociación fue exitosa, se vio en la pantalla la carita sonriente (:-)) (Anexo 47) [70].
Wireshark también permitió saber si la autenticación tuvo éxito o no. Para ello aplicó el
filtro wlan.addr == 00:18:4d:66:6d:4b, que permitió esnifar solo los paquetes de interés; y
se observaron los paquetes de autenticación y asociación entre el AP y el atacante [70].
El primer paquete fue la solicitud de autenticación enviada por la herramienta Aireplay-ng

al AP. El segundo paquete estaba formado por el modelo de texto que el AP envió al
cliente. En el tercer paquete, la herramienta envió el modelo de texto cifrado al AP. Como
Aireplay-ng usa la captura Keystream derivada para el cifrado, la autenticación se realizó
correctamente, y el AP envió un mensaje de éxito en el cuarto paquete. Después de que la
autenticación tuvo éxito, comenzó el proceso de asociación ocurriendo la solicitud y la
respuesta. Todos estos paquetes pudieron observarse mediante Wireshark (Anexo 48) [70].
Atacar WPA-Enterprise y RADIUS
1. Configuración del AP con FreeRadius-WPE
Para realizar ataques a WPA-Enterprise se necesita un servidor Radius. El más utilizado

servidor de Radius Open Source es FreeRADIUS. Freeradius-WPE (Wireless Pwnage
Edition), el cual es un parche para la configuración de Freeradius creado por Joshua
Wright. Este viene pre-instalado con Kali Linux, por lo que no se necesita hacer ninguna
instalación [70].
Se configura el AP con FreeRadius-WPE. Para ello se conecta uno de los puertos LAN del
AP al puerto Ethernet de la máquina con Kali en funcionamiento. En caso de que la interfaz
fuera eth1, se levanta la interfaz y se obtiene una dirección IP por DHCP funcionando
mediante dhclient3 eth1 [70].
Se inicia una sesión en el AP y se define el mecanismo de seguridad WPA-Enterprise.

Luego, en la sección EAP (802.1x), se define la dirección IP del servidor RADIUS, que
será la misma dirección IP asignada a la interfaz de cable en el paso anterior [70].
A continuación se abre una nueva terminal y se va al directorio /usr/local/etc/raddb. Aquí es

donde están todos los archivos de configuración de FreeRadius-WPE. Se abre eap.conf, y
se encuentra que la default_eap_type está establecida en PEAP, dejándose de esta manera.
Se abre clients.conf, aquí es donde se define la lista de clientes permitidos que pueden
conectarse al servidor RADIUS. A medida que se va observando el secreto para los clientes
en los valores por defecto en el rango 192.168.0.0/16 para poner a prueba. Esto es
exactamente lo que se utiliza cuando se inicia la sesión en el AP [70].
Ahora se inicia el servidor RADIUS con radiusd -s -X. Una vez que se ejecuta este
comando se ven un montón de mensajes de depuración en la pantalla, pero al final el
servidor se establece para escuchar las solicitudes. En este momento la configuración
permite comenzar las sesiones de laboratorio [70].
2. Atacar PEAP
Lo primero es comprobar el archivo eap.conf para asegurarse de que PEAP está habilitado.
A continuación, se reinicia el servidor de Radius mediante radiusd -s –X, y se hace un
seguimiento del archivo de registro creado por freeradius-WPE con tail
/user/local/var/log/radius/freeradius-server-wpe.log -n 0 –f [70].
En el cliente de Windows7, el cual tiene soporte nativo para PEAP, se garantiza que la
verificación de certificados se ha apagado y se conecta con el AP “Laboratorio Wi-Fi” para
iniciar la autenticación PEAP. Una vez que el cliente se conecta al AP, el cliente pide un
nombre de usuario/contraseña, utilizándose Security Tube con el nombre de usuario y el
password abcdefghi. Tan pronto como esto se hace, se puede ver que la respuesta al desafío
MSCHAP-v2 aparece en el archivo de registro con tail -f
/user/local/var/log/radius/freeradius-server-wpe.log -n 0 [70].
Se comienza a romper la clave usando un archivo de lista de contraseñas que contiene la

contraseña abcdefghi. Para esto se emplea la herramienta Asleap con el comando asleap -C
(challenge) -R (response) -W list [70].
Para este ataque crea un Honeypot con freeradius-WPE. El cliente de la empresa no está
adecuadamente configurado al no utilizar la validación de certificados con PEAP. Esto
permite presentar un certificado falso para el cliente, que lo acepta con gusto. Una vez que
esto sucede, MSCHAP-v2, el protocolo de autenticación interna, reacciona. A medida que

el cliente utiliza el certificado falso para cifrar los datos, se puede recuperar el nombre de
usuario/el desafío/ y la respuesta. MSCHAP-v2 es propenso a ataques de diccionario. Se
utiliza Asleap para romper el desafío / par de respuestas, ya que parece que se basa en una
palabra del diccionario [70].
3.3.3 Escenario No. 3: Ataques al cifrado que usa WEP
En este escenario se tiene al AP “Laboratorio Wi-Fi” y a un cliente que realizó la conexión

al mismo. El atacante mediante diversos ataques al cifrado que usa WEP logra asociarse
exitosamente con el AP, ganando acceso a la red (figura 3.3).
Cliente Legítimo
IP: 192.168.195.150
MAC: 00:18:ad:66:5f:ef
SO: Windows 7
AP
SSID: “Laboratorio Wi-Fi”
Modo de operación: 802.11b/g
IP: 192.168.195.11
MAC: 00:14:6C:6F:3A:71
Autenticación: PSK
Atacante
Cifrado: WEP IP: 192.168.195.12
MAC: 00:18:4d:66:6d:4b
SO: Linux
Ataques
1. Reinyección de petición ARP (Ataque 1 + 3) Herramientas empleadas por el atacante
2. Ataque Chop-Chop (predicción de CRC)
Aireplay-ng, Aircrack-ng y Aircrack-ptw
3. Ataque de fragmentación de Bittau
4. Ataque PTW
Figura 3.3 Escenario No. 3: Ataques al cifrado que usa WEP
Reinyección de petición ARP (Ataque 1 + 3)
El clásico ataque de reinyección de petición ARP es el bastante efectivo para forzar el

envío de tramas WEP, y poder capturar así los IV necesarios para obtener la clave. Para
este ataque se necesita la dirección MAC de un cliente asociado. Es posible que se tenga
que esperar un par de minutos, o incluso más, hasta que aparezca una petición ARP. Este
ataque falla si no hay tráfico; es el ataque más conocido, aunque generalmente, el más
lento.
Para llevar a cabo este ataque se conecta el AP y en los ajustes relacionados con los
algoritmos de cifrado, se establece el mecanismo de seguridad como WEP, definiéndose
una clave. Luego, se ejecuta airodump-ng mon0 para localizar el AP del laboratorio, lo que
muestra el AP “Laboratorio Wi-Fi” funcionando con WEP [70].
Con el objetivo de ver sólo los paquetes de la red Laboratorio Wi-Fi se ejecuta el comando
airodump-ng --bssid 00:14:6C:6F:3A:71 -c 6 -w WEPCrackingDemo mon0. La opción --
bssid es la dirección MAC del AP, -c establece el canal 6 y la opción -w solicita a
Airodump-ng almacenar y/o escribir los paquetes en un archivo .cap, cuyo nombre es
"WEPCrackingDemo". A continuación, se ven los archivos con el nombre
WEPCrackingDemo creados por Airodump-ng mediante ls. Si al observar la pantalla de
Airodump-ng el número de paquetes de datos que figuran en la columna de datos es muy
pequeño, se debe obligar a la red a generar más paquetes de datos. Para ello se capturan los
paquetes ARP en la red inalámbrica, y usando Aireplay-ng se inyectan de nuevo en la red
para simular las respuestas ARP.
Para inyectar paquetes el siguiente paso será asociarse al AP, para ello se abre otra terminal
y se ejecuta aireplay-ng -1 0 -e “Laboratorio Wi-Fi” -a 00:14:6C:6F:3A:71 -h
00:18:4d:66:6d:4b mon0. La opción -1 indica un ataque de autenticación falsa, 0 es el
tiempo entre cada asociación -e (essid) es el nombre del AP, -a (bssid) fija la dirección
MAC del AP y -h (smac) fija la dirección MAC origen [70].
Una vez que se esté asociado (la carita sonriente :-)), se puede inyectar tráfico, para lo cual
se abre otra terminal y se ejecuta aireplay-ng -3 -b 00:14:6C:6F:3A:71 -h
00:18:4d:66:6d:4b --ignore-negative-one mon0. La opción 3 es para la reproducción de
ARP (Reinyección de petición ARP), que permite obtener más IVs, -b (bssid) especifica la
dirección MAC del AP y -h (smac) fija la dirección MAC origen.
Inmediatamente Aireplay-ng es capaz de capturar los paquetes de ARP y empieza a

enviarlos a la red. En este punto, airodump-ng también comienza a registrar una gran
cantidad de paquetes de datos (suben los datos (#Data)), además la velocidad a la que se
están inyectando los datos (#/S). También se ve en la terminal de aireplay-ng los ARP
aumentar. Todos estos paquetes capturados se almacenan en los archivos

WEPCrackingDemo vistos anteriormente [70].
Se comienza en la parte real del cracking utilizando los paquetes de datos capturados
mediante el comando aircrack-ng WEPCrackingDemo-01.cap. El número de paquetes de
datos necesarios para obtener la clave no es determinante, pero en general, va en el orden
de cien mil o más. En una red rápida o usando Aireplay-ng, se lleva de 5-10 minutos a lo
sumo. Si el número de paquetes de datos en la actualidad en el archivo no son suficientes,
Aircrack-ng se detiene y espera que más paquetes sean capturados y luego, se reinicia el
proceso de craqueo de nuevo. Una vez que suficientes paquetes de datos han sido
capturados y procesados, Aircrack-ng será capaz de romper la clave [70].
Ataque Chop-Chop (predicción de CRC)
Cuando se utiliza el ataque de reinyección de paquetes ARP con una MAC falseada y no se
obtiene un paquete ARP, se procede a usar el ataque chop-chop de Korek. Este necesita de
un paquete de datos WEP como mínimo y no recupera la clave WEP en sí misma; sino que
revela meramente el texto plano.
Para llevar a cabo este ataque se configura el AP de la misma manera que para el ataque
anterior y se ejecuta airodump-ng --bssid 00:14:6C:6F:3A:71 -c 6 -w WEPCrackingDemo
mon0 para la captura de paquetes. Luego, se realiza la asociación con el AP mediante
aireplay-ng -1 0 -e “Laboratorio Wi-Fi” -a 00:14:6C:6F:3A:71 -h 00:18:4d:66:6d:4b mon0.
Ahora, se lleva a cabo el ataque Chop-Chop al ejecutarse aireplay-ng -4 -b

00:14:6C:6F:3A:71 -h 00:18:4d:66:6d:4b mon0. La opción -4 indica el ataque chop chop, -
b (bssid) es la dirección MAC del AP y -h (smac) fija la dirección MAC origen.
Se espera a que encuentre un paquete válido y cuando pregunte: Use this packet?, se
contesta “yes”: y. Se espera un poco y crea un nuevo archivo .cap y un archivo .xor con el
keystream, con los cuales se puede crear una petición ARP.
Tcpdump permite explorar los diferentes campos del paquete, por lo que, en caso de que no
se conozca la IP del cliente, se ejecuta Tcpdump sobre el archivo .cap generado mediante
tcpdump -s 0 -n -e -r <archivo .cap generado antes>, permitiendo su lectura. Se debe prestar
atención a la ip que aparece en el texto ya que se utiliza para crear la petición ARP, la cual
debe ser respondida con ARP Request por el AP. Para ello se emplea el comando
packetforge-ng -0 -a 00:14:6C:6F:3A:71 -h 00:18:4d:66:6d:4b -k 192.168.195.11 -l
192.168.195.150 -y <archivo .xor obtenido antes> -w arp. La opción -0 indica que se va a
crear un archivo ARP, -a es la dirección MAC del AP, -h (MAC) indica la MAC del
cliente, -k (IP) la IP del AP, -l (IP) la IP del cliente, -y es el archivo .xor obtenido en el
ataque y -w el archivo .cap donde se va a crear el nuevo paquete.
Cuando aparece: Wrote packet to: arp, que es el archivo que se va a reinyectar, ya se ha
completado este paso. Lo siguiente es reinyectar el paquete creado mediante aireplay-ng -2
-h 00:18:4d:66:6d:4b -r arp mon0. La opción -2 indica la selección interactiva del paquete a
enviar, -h (smac) fija la dirección MAC origen y -r (archivo) se incluye si se usa un archivo
creado con anterioridad.
Pronto se ve como la terminal que se tiene capturando tráfico con Airodump-ng empiezan a
subir rápidamente (#Data) y (#/S). Por último, con más de 20000 datos se ejecuta Aircrack-
ng, con el comando aircrack-ng WEPCrackingDemo-01.cap. Este ataque no siempre
funciona, pero si funciona es más rápido que el anterior.
Ataque de fragmentación de Bittau
Este tipo de ataque no recupera la clave WEP por sí mismo, si no que genera un (IV +
contraseña) válido para poder obtener 1500 bytes de un PRGA, que es texto plano + texto
cifrado y se utiliza para poder cifrar los paquetes que se quieren enviar. Si se consigue
interceptar texto cifrado, y se sabe cuál es el texto plano se puede averiguar el PRGA y una
vez averiguado, usarlo para cifrar cualquier paquete y así poder generar tráfico.
Al igual que en los ataques anteriores se debe tener a airodump-ng capturando y luego se
realiza la asociación con el AP. Una vez hecho esto, se lleva a cabo el ataque mediante
aireplay-ng -5 -b 00:14:6C:6F:3A:71 -h 00:18:4d:66:6d:4b mon0. La opción -5 indica el
ataque de fragmentación, -b (bssid) la dirección MAC del AP y -h (smac) fija la dirección
MAC origen.
Si el ataque tiene éxito se comienza a recibir información hasta tener los 1500 bits de un
PRGA en un archivo .xor. Después se usa el PRGA para generar paquetes con Packetforge-
ng. Se requiere al menos un paquete de datos recibido del AP para poder iniciar el ataque.
Se espera a que encuentre un paquete válido y cuando pregunte: Use this packet?, se
contesta “yes”: y. Se forja un nuevo paquete de datos con Packetforge-ng, mediante
packetforge-ng -0 -a 00:14:6C:6F:3A:71 -h 00:18:4d:66:6d:4b -k 192.168.195.11 -l
192.168.195.150 -y <archivo .xor obtenido antes> -w arp.
Cuando aparece: Wrote packet to: arp, que es el archivo que se va a reinyectar ya se ha
completado este paso. Lo siguiente es reinyectar el paquete creado mediante aireplay-ng -2
-h 00:18:4d:66:6d:4b -r arp mon0. La opción -2 indica la selección interactiva del paquete a
enviar, -h (smac) fija la dirección MAC origen y -r (archivo) se incluye si se usa un archivo
creado con anterioridad.
Pronto se ve como la terminal que se tiene capturando tráfico con Airodump-ng empieza a
subir rápidamente los (#Data) y los (#/S). Por último, con más de 20000 #Data se lanza
Aircrack-ng, con el comando aircrack-ng WEPCrackingDemo-01.cap. Este ataque también
es más rápido que el ataque 1+3 pero, como el ataque Chop-Chop, no siempre funciona.
Ataque PTW
Para la ejecución de este ataque se requiere de la herramienta Aircrack-ptw, y se sigue el

mismo procedimiento que para los ataques anteriores a WEP. Una vez obtenidos los
paquetes de datos requeridos, se realiza el crackeo de la clave mediante el comando
aircrack-ptw WEPCRackingDemo-01.cap. Este es considerado el ataque más eficiente
contra una clave WEP, así como el que requiere una menor cantidad de paquetes.
3.3.4 Escenario No. 4: Ataques al cifrado que usa WPA/WPA2-PSK

al mismo. El atacante mediante diversos ataques al cifrado que usa WPA/WPA2-PSK
descubrió la contraseña y logró asociarse exitosamente con el AP, ganando acceso a la red
(figura 3.4).
Cliente Legítimo
IP: 192.168.195.150
AP MAC: 00:18:ad:66:5f:ef
SO: Windows 7
IP: 192.168.195.11 Atacante
MAC: 00:14:6C:6F:3A:71 IP: 192.168.195.12
Autenticación: WPA/WPA2-PSK MAC: 00:18:4d:66:6d:4b
Cifrado: TKIP/AES SO: Linux
Ataques Herramientas empleadas por el atacante

1. Ataque de fuerza bruta
2. Ataque de diccionario John the Ripper 1.8.0, Aircrack-ng,
3. Ataque de diccionario con tablas rainbow CowPatty 4.6, Airolib-ng y Pyrit 0.4.1
Figura 3.4 Escenario No. 4: Ataques al cifrado que usa WPA/WPA2-PSK
Ataque de fuerza bruta mediante John The Ripper (WPA-PSK)
Para realizar este ataque se configuró el AP con WPA-PSK (TKIP), estableciéndose la

contraseña 52451346 (Anexo 49). A continuación se comenzaron a capturar y almacenar
todos los paquetes de la red mediante el comando airodump-ng --bssid 00:14:6C:6F:3A:71
--channel 6 --write WPACrackingDemo mon0. La opción --bssid definió la dirección MAC
del AP,--channel estableció el canal 6 y la opción --write solicitó a airodump-ng almacenar
y/o escribir los paquetes en un archivo cuyo nombre es "WPACrackingDemo" (Anexo 50).
Se conectó a un cliente al AP para que fuera posible capturar el handshake,

alternativamente se podía enviar una difusión deautenticación de paquetes para obligar a los
clientes a volver a conectarse. Tan pronto como se capturó el handshake, Airodump-ng lo
indicó en la esquina superior derecha de la pantalla (WPA handshake), seguido por el
BSSID del AP (Anexo 51).
Luego, se aplicó el ataque de fuerza bruta mediante john --stdout --incremental:all |

aircrack-ng -b 00:14:6C:6F:3A:71 -w WPACrackingDemo-01.cap (Anexo 52). Al
transcurrir casi 6 horas John descubrió la contraseña (Anexo 53).
Ataque de diccionario mediante Aircrack-ng (WPA/WPA2-PSK)
Para implementar este ataque, al igual que en el anterior, se configuró el AP con WPA-PSK
(TKIP) estableciéndose una contraseña que debe ser vulnerable a un ataque de diccionario.
En este caso se eligió “password”, ya que se encontraba en el archivo de diccionario words
que incluye Kali Linux.
Se comenzaron a capturar y almacenar todos los paquetes de la red mediante el comando

airodump-ng --bssid 00:14:6C:6F:3A:71 --channel 6 --write WPACrackingDemo mon0.
Luego, se comprobó que el handshake se encontraba almacenado en el archivo de
diccionario .cap con aircrack-ng WPACrackingDemo-01.cap (Anexo 54) [70].
Una vez que se capturó el WPA handshake, se empezó con el ejercicio clave de cracking
real, para lo cual se empleó el archivo de diccionario words de Kali que se encuentra en el
siguiente enlace: ls /etc/dictionaries-common/words (Anexo 55). En el siguiente paso, se
ejecutó Aircrack-ng con el archivo .cap como entrada y un enlace a este archivo de
diccionario, mediante aircrack-ng WPACrackingDemo-01.cap -w /etc/dictionaries-
common/words. WPACrackingDemo-01.cap es el archivo donde guardó la captura de datos
y con la opción -w se seleccionó el diccionario que se utilizó (Anexo 56) [70].
A medida que Aircrack-ng trabajaba para descubrir la contraseña se podían ver las palabras
que iba probando; así como el tiempo que iba transcurriendo, hasta que a los 21 segundos
descubrió la contraseña (Anexo 57).
Este ataque también se realizó a WPA2-PSK, para lo cual se configuró el AP con WPA2-
PSK (AES) y se siguió el mismo procedimiento. En este caso, la contraseña fue descubierta
en 47 segundos. En caso de que la contraseña elegida no hubiera estado presente en el
diccionario, el ataque habría fallado (Anexo 58). Ambos métodos, tanto por diccionario
como por John The Ripper, suelen demorar dependiendo la dificultad de la contraseña [70].
Ataque de diccionario con la utilización de tablas rainbow (WPA/WPA2-PSK)
Para la realización de este ataque se creó la tabla rainbow, en la cual se calculó previamente
la PMK para un SSID determinado y una lista de palabras mediante genpmk -f
/etc/dictionaries-common/words -d PMK-Laboratorio-Wi-Fi -s "Laboratorio Wi-Fi". La
utilidad genpmk viene incluida con la herramienta CowPatty, la opción -f indicó el
diccionario que se empleó, -d el nombre con el que se guardó la tabla rainbow y -s el SSID
del AP. Esto creó el archivo PMK-Laboratorio Wi-Fi que contuvo el PMK pre-generado, el
cual tardó en crearse alrededor de 30 minutos. Este tiempo depende del tamaño del archivo
de diccionario utilizado (Anexo 59) [70].
A continuación se configuró la red con WPA-PSK y la contraseña “password”, presente en

el archivo de diccionario y se capturó el WPA-handshake. Se usó Cowpatty para romper la
contraseña, mediante cowpatty -d PMK-Laboratorio-Wi-Fi -s “Laboratorio Wi-Fi” -r
WPACrackingDemo-07.cap. La opción -d indicó el nombre de la tabla rainbow, -s el SSID
del AP y -r es el archivo de captura .cap (Anexo 60) [70].
CowPatty se tardó 0,46 segundos para obtener la clave, utilizando la PMK pre-calculada.
Ahora cuando se usó Aircrack-ng con el archivo de diccionario, el proceso de craqueo
toma cerca de 47 segundos. Esto demuestra lo que se ganó debido al pre-cálculo.
También fue posible usar estos PMKs con la suite Aircrack-ng, a través de la herramienta
Airolib-ng mediante airolib-ng PMK-Aircrack --import cowpatty PMK- Laboratorio-Wi-Fi.
PMK-Aircrack fue la base de datos compatible con Aircrack-ng que se creó y PMK-
Laboratorio-Wi-Fi fue la base de datos compatible con genpmk PMK que se creó
previamente (Anexo 61). Luego, mediante el comando aircrack-ng -r PMK-Aircrack
WPACrackingDemo-07.cap la velocidad de crakeo se hizo notable, no llegando a
transcurrir ni un segundo (Anexo 62) [70].
Además de estas herramientas, hay otras disponibles en Kali Linux como Pyrit que puede
aprovechar los sistemas multi-CPU para acelerar el cracking (se aprovechan las GPU de la
PC). Para su utilización se dio el nombre del archivo de captura .cap con la opción -r y se
completó con genpmk con el archivo PMK con la opción -i, la cual indicó el nombre de la
tabla rainbow. A Pyrit le tomó alrededor 1 segundo obtener la clave con el comando pyrit -r
WPACrackingDemo2-01.cap -i PMK-Laboratorio-Wi-Fi attack_cowpatty (Anexo 63) [70].
Estos ataques también se realizaron a WPA2-PSK, para lo cual se configuró el AP con

WPA2-PSK (AES) y se siguieron los mismos procedimientos. Con CowPatty se tardó 0,53
segundos con para obtener la clave, con Airolib-ng tampoco llegó a un segundo, y en el
caso de Pyrit sucedió de la misma forma (Anexos 64, 65 y 66) [70].
3.3.5 Escenario No. 5: Ataque a WPS
En este escenario se tenía al AP “Laboratorio Wi-Fi 2”, y una de las formas de asociación
con el AP era mediante el conocimiento del PIN. El atacante descubre este PIN mediante
un ataque de fuerza bruta y logra asociarse exitosamente con el AP, ganando acceso a la red
(figura 3.5).
Cliente Legítimo
IP: 192.168.195.150
MAC: 00:18:ad:66:5f:ef
AP SO: Windows 7
SSID: “Laboratorio Wi-Fi 2”
Modo de operación: 802.11b/g y n
IP: 192.168.1.1
MAC: 2C:B0:5D:33:7B:08
Autenticación: WPA/WPA2-PSK Atacante
Cifrado: TKIP/AES
IP: 192.168.195.12
PIN: 44485948
MAC: 00:18:4d:66:6d:4b
SO: Linux
Ataques
1. Ataque de fuerza bruta
Herramientas empleadas por el atacante
Reaver 1.4
Figura 3.5 Escenario No. 5: Ataque a WPS
Ataque de fuerza bruta
Este estándar contempla cuatro tipos de configuraciones diferentes para el intercambio de

credenciales, entre ellas PIN y PBC (Anexos 67 y 68). En el caso del PIN este puede ser
generado por el enrolle (matriculado), que es el dispositivo que solicita el acceso a la red
WLAN (Anexo 69); o por el registrar (matriculador), dispositivo con la autoridad de
generar o revocar las credenciales en la red. Tanto un AP como cualquier otra estación o
PC de la red pueden tener este rol, en este caso, se trató de un AP (Anexo 70) [50].
En la variante del PBC la generación y el intercambio de credenciales son desencadenados

a partir que el usuario presiona un botón (físico o virtual) en el AP (o en otro elemento
registrar) y otro en el dispositivo (Anexo 71) [50]. El ataque a realizar consiste en un ataque
de fuerza bruta contra el PIN del AP, el cual consistió en el número de ocho dígitos
44485948 que se les solicita a los clientes que deseen conectarse al AP (Anexo 72) [52].
Primeramente se puso la interfaz de red en modo monitor. A continuación, se chequearon

las redes que tenían el WPS unlocked, que eran las que se podían atacar. Para ello se
empleó Wash, la cual es una herramienta para detectar objetivos con WPS activado y viene
incluida con Reaver. Esto se realizó con el comando wash -i mon1 (Anexo 73). Una vez
que se detectó la red que se deseaba auditar, en este caso “Laboratorio Wi-Fi 2”, se realizó
el ataque de fuerza bruta con Reaver mediante reaver -i mon1 -b 2C:B0:5D:33:7B:08 -c 6 --
no-nacks -vv -dh-small. La opción -b indicó la dirección MAC del AP con WPS activado y
-c el canal (Anexo 74). Empezó el ataque y al ir todo bien se vieron cómo fueron pasando
los pines, fue mostrando el porcentaje, y al final, dio el pin correcto y la clave WPA-PSK
(Anexo 75). Este ataque puede no ser exitoso si el AP se halla protegido, para lo cual se
deshabilita la función WPS (Anexo 72) [52].
3.3.6 Escenario No. 6: Ataques a la infraestructura de las redes Wi-Fi (DoS)

al mismo. El atacante mediante diversos ataques de DoS al cliente ocasiona que este pierda
la conexión y en uno de los ataques se conecta incluso, a un AP falso (figura 3.6).
Cliente Legítimo
IP: 192.168.195.150
AP MAC: 00:18:ad:66:5f:ef
SSID: “Laboratorio Wi-Fi” SO: Windows 7
IP: 192.168.195.11
MAC: 00:14:6C:6F:3A:71
Autenticación: Abierta AP falso
Cifrado: Ninguno
Atacante
IP: 192.168.195.12
MAC: 00:18:4d:66:6d:4b
Ataques SO: Linux
1. Ataque DoS mediante la deautenticación
Herramientas empleadas por el atacante
sostenida de los clientes
2. Ataque evil twin
3. Emisión de ruido RF Aireplay-ng, Airbase-ng y Mdk3
Figura 3.6 Escenario No. 6: Ataques a la infraestructura de las redes Wi-Fi (DoS)
Ataque DoS mediante la deautenticación sostenida de los clientes
Para la realización de este ataque se configura la red Laboratorio Wi-Fi para utilizar la
autenticación abierta y sin cifrado. Esto permite ver los paquetes con Wireshark. Se conecta
un cliente de Windows con el AP y se muestra la conexión en la pantalla de Airodump-ng
[70].
En la máquina atacante, se inicia un ataque dirigido de deautenticación mediante el

comando aireplay-ng --deauth 1 -a 00:14:6C:6F:3A:71 -h 00:14:6C:6F:3A:71 -c
00:18:ad:66:5f:ef mon0. La opción –deauth (-0) indica un ataque de deautenticación de
cliente, 1 es el número de paquetes que se mandan a la tarjeta asociada con el fin de
conseguir que se caiga de la red (número de deautenticaciones), -a selecciona la MAC del
AP objetivo y la opción -c significa que el ataque está dirigido a la estación con dirección
MAC 00:18:ad:66:5f:ef. De esta manera, el cliente es desconectado del AP, lo que se puede
verificar en la misma pantalla de airodump-ng; y además en Wireshark, donde se ven los
paquetes de deautenticación [70].
Se puede hacer el mismo ataque mediante el envío de paquetes de difusión de

deautenticación (broadcast deauthentication packet) hacia el AP. Esto tendrá el efecto de
desconectar a todos los clientes conectados, lo que se logra con la ejecución de aireplay-ng
--deauth 1 -a 00:14:6C:6F:3A:71 -h 00:14:6C:6F:3A:71 mon0 [70].
Es importante tener en cuenta que tan pronto como los clientes se desconectan, intentan
volver a conectarse de nuevo al AP y, por lo tanto, el ataque de deautenticación tiene que
llevarse a cabo de manera sostenida para tener un efecto de ataque de denegación de
servicio completo [70].
Ataque evil twin
Se usa Airodump-ng primeramente para localizar el ESSID que se desea emular en el evil
twin, mediante airodump-ng --bssid 00:14:6C:6F:3A:71 mon0. Luego, se conecta un cliente
inalámbrico al AP. Se utiliza esta información y se crea un nuevo AP con el mismo ESSID,
pero diferente dirección MAC, con el comando airbase-ng -a aa:aa:aa:aa:aa:aa --essid
“Laboratorio Wi-Fi” -c 6 mon0. La opción -a indica la dirección MAC del AP falso, --essid
es el ESSID del nuevo AP y -c indica el canal. También se tiene la opción de falsificar la
dirección MAC del AP mediante airbase-ng -a 00:14:6C:6F:3A:71 --essid “Laboratorio
Wi-Fi” -c 6 mon0. Incluso airodump-ng es incapaz de diferenciar que en realidad hay dos
APs físicos en el mismo canal [70].
Se comprueba la creación de este nuevo AP para lo cual se ejecuta airodump-ng -c 6

wlan2. Se envían tramas de deautenticación de difusión mediante aireplay-ng -0 0 -a
00:14:6C:6F:3A:71 mon0, por lo que el cliente se desconecta inmediatamente y trata de
volver a conectar. La opción de -0 indica la elección de un ataque de deautenticación para
todas las estaciones conectadas a ese AP, ya que se omite la opción -c, 0 son los paquetes a
mandar al cliente objetivo (no pararán de lanzarse paquetes hasta que se interrumpa la
ejecución del programa (CTRL + C en la shell o cerrando la terminal) y -a es la dirección
MAC del AP.
Entonces se observa en Airodump-ng como los paquetes perdidos (Lost) empiezan a subir
hasta que el cliente se desconecta del AP. Cuanto más se acerca el evil twin a este cliente, la
fuerza de señal es más alta y el cliente se conecta a este AP duplicado malicioso [70].
Emisión de ruido RF
Para la puesta en práctica de este ataque se comenzó mostrando todas las señales Wi-Fi
disponibles en el área, mediante el comando airodump-ng mon0 y se evidenció que no hay
ningún cliente asociado al AP (Anexo 76). A continuación se llevó a cabo el ataque, el cual
consistió en la difusión constante de tramas beacons de supuestos APs con nombres
aleatorios. El comando para dicho ataque fue mdk3 mon0 b apfalsos.txt -c 6, la opción b
indicó el tipo de ataque que fue APs falsos y -c el canal (Anexo 77). Al agregarse el
modificador -f permitió indicar el archivo .txt con los nombres de AP's que se querían
mostrar y con -n se ajustó al mismo SSID del AP legítimo (Anexos 78 y 79). Una vez que
el cliente intentó conectarse a una red inalámbrica le apareció una enorme lista de APs
disponibles; pero solo uno era el legítimo, creándole una gran confusión (Anexo 80, 81 y
82) [116].
3.3.7 Escenario No. 7: Ataque avanzado “Hombre en el medio” (“Man in the

middle”)
En este escenario se tiene al AP “Laboratorio Wi-Fi” y a un cliente que realiza la conexión

al mismo. El atacante mediante un ataque Rogue AP logra colocarse en medio de la
comunicación entre el AP y el cliente, sin que este lo perciba (figura 3.7).
Cliente Legítimo
IP: 192.168.195.150
MAC: 00:18:ad:66:5f:ef
AP SO: Windows 7
IP: 192.168.195.11
MAC: 00:14:6C:6F:3A:71
Autenticación: Abierta AP falso Mitm
Cifrado: Ninguno
Atacante
IP: 192.168.195.12
MAC: 00:18:4d:66:6d:4b
SO: Linux
Ataque Herramientas empleadas por el atacante

1. Rogue AP
Airbase-ng
Figura 3.7 Escenario No. 7: Ataque avanzado “Hombre en el medio” (“Man in the
middle”)
Primeramente se crea un AP llamado mitm en la computadora del atacante con el comando

airbase-ng --essid mint -c 6 mon0. La opción --essid indica el ESSID del AP falso y -c el
canal.
Se necesitan dos interfaces de red. Airbase-ng cuando se ejecuta, crea una interfaz at0
(interfaz tap). Esta es como una interfaz de cableado -del lado de nuestro software- basado
en el AP mitm, y se comprueba su estado mediante ifconfig at0 [70].
Se crea un puente en la computadora atacante, entre la interfaz que suministra Internet

(eth0) y la interfaz inalámbrica que crea Airbase-ng (at0). La sucesión de comandos que se
utilizan para ello son brctl addbr mitm-bridge, brctl addif mitm-bridge eth0 y brctl addif
mitm-bridge at0. Donde el nombre del puente es mitm-bridge y, eth0 y at0 son las
interfaces a agregar al puente. A continuación, se borra la configuración de las interfaces de
red utilizadas mediante los comandos ifconfig eth0 0.0.0.0 up y ifconfig at0 0.0.0.0 up; y se
le asigna una dirección IP para este puente a través de ifconfig –mitm-bridge 192.168.0.199
up.
Luego se hace un ping a la puerta de enlace de la subred para asegurar la conectividad con
el resto de la red, y se comprueba el reenvío IP en el kernel para el enrutamiento de reenvío
de paquetes (habilitación del ip forwarding). Se debe redireccionar el tráfico desde la
máquina atacante hacia la víctima, ya que si no se hace este paso, la víctima no tendría
acceso a internet y, por lo tanto, se percataría de que algo no anda bien. Esto es possible
mediante echo 1 > / proc/sys/net/ipv4/ip_forward [70].
A continuación se conecta un cliente inalámbrico al AP mitm. Se habilita la interfaz mitm-

bridge y se ejecuta el cliente dhcp sobre ella, con los comandos ifconfig mitm-bridge up y
dhclient3 mitm-bridge. Se recibe automáticamente una dirección IP a través de DHCP
(servidor que funciona en lado del cableado de la puerta de acceso).
Se hace ping al lado del cable del gateway 192.168.195.11 para verificar la conectividad.
También se puede verificar que el cliente está conectado en Airbase-ng en el terminal de la
máquina atacante [70].
Aquí que se tiene un control completo sobre el tráfico, debido a que el mismo se
retransmite desde la interfaz inalámbrica para el lado del cable. Se puede comprobar esto al
iniciar y empezar a capturar con Wireshark en la interfaz at0.
Se hace un ping a la puerta de enlace desde la máquina cliente. Se pueden ver los paquetes
en Wireshark (aplicando un filtro de presentación de ICMP), para lo cual se escribe en el
filtro icmp. Precisamente, este es el poder del ataque MITM [70].
En la tabla 3.1 se muestran cada uno de los escenarios descritos en el transcurso del
capítulo. De cada uno de ellos se especifica el ataque genérico, los ataques concretos, las
técnicas y herramientas empleadas.
Tabla 3.1. Escenarios de pentests

3.4 Mecanismos y medidas para mitigar las vulnerabilidades detectadas
En el transcurso del capítulo se han presentado varios escenarios de ataques que pueden ser
implementados por un hacker ético para auditar la seguridad de una red Wi-Fi con el apoyo
de varias herramientas. Esto ha permitido describir como resultado una lista de

vulnerabilidades con sus respectivas amenazas, y proponer para cada una de éstas una guía
de referencia capaz de reducir los riesgos potenciales causados por las vulnerabilidades
encontradas; y por tanto, mejorar el nivel de seguridad de las redes inalámbricas,
específicamente en la configuración de los AP que son las puertas de acceso a este tipo de
redes.
Ubicación del AP
El medio físico por el que se transmiten los datos en redes inalámbricas son las ondas
electromagnéticas, las cuales tienen pocas restricciones físicas. Es importante entonces,
mantener el rango del AP dentro de los límites físicos de las instalaciones en que la WLAN
está alojada para reducir el riesgo de interceptación no autorizada de la señal. Para la
mitigación de este riesgo se pueden utilizar herramientas de inspección en sitio como
Airmagnet Survey Planner, las cuales mapean la cobertura del AP y, de esta forma,
permiten evitar que se extienda más allá de lo planificado. Adicionalmente, se pueden usar
antenas direccionales para controlar las emanaciones [27].
Contraseña administrativa
La contraseña administrativa por defecto de los APs es generalmente conocida, por tanto,
esta característica de los APs es potencialmente insegura. Para mitigar esta vulnerabilidad,
se debe cambiar inmediatamente implementando una contraseña fuerte con caracteres
especiales y alfanuméricos con una longitud mínima de ocho caracteres. Además, tener en
cuenta, que esta contraseña debe ser renovada periódicamente. En caso de que se tenga
sospecha que la contraseña ha sido comprometida, se debe cambiar inmediatamente [118].
Función reset del AP
Esta función retorna a la configuración del AP por defecto, cancelando de esta forma los
parámetros de seguridad existentes. Por lo tanto, se debe asegurar que los ajustes de
seguridad, por ejemplo: el cifrado activado, se encuentren sin modificaciones y no hayan
sido anulados por el uso inadvertido o intencional de la función reset. De lo anterior se
deriva la necesidad de establecer controles de acceso físico al lugar donde se encuentre el
AP [27].
Radio interferencia
La interferencia puede afectar dramáticamente el rendimiento de cualquier WLAN. En

general, la interferencia es causada por dispositivos de radio en la misma banda.
Comúnmente los fabricantes utilizan canales por defecto en sus APs; por lo que es posible
que APs de diferentes redes inalámbricas estén utilizando un canal dentro del rango de
cinco canales contiguos, pudiendo causar ataques de DoS de radio interferencia entre los
APs. Para mitigar este riesgo se debe asegurar que el canal del AP esté configurado con
cinco canales de separación desde todos los otros AP cercanos en diferentes redes [27].
Actualizaciones y parches
Toda la tecnología de desarrollo tanto actual, como futura, debe tener las últimas
actualizaciones de seguridad y parches instalados en el momento oportuno. La falta de estos
hace que la tecnología asociada esté sujeta a cualquier vulnerabilidad. Por lo que se debe
asegurar que últimos parches y actualizaciones estén instalados en todos los componentes
de hardware y software de la red Wi-Fi [118].
Cifrado
Usuarios comunes sin conocimiento de seguridad en redes utilizan casi siempre la primera
forma de cifrado que es “ninguna”. Esto nunca es aconsejable pues, como es evidente en el
escenario 1, si el AP no está utilizando cifrado con la detección de paquetes se pueden ver
todos los datos en texto plano. Otros usuarios utilizan el cifrado usado por WEP, el cual ya
no es recomendado para su utilización en redes Wi-Fi, pues se demuestra en el escenario 3
que la seguridad que ofrece es fácilmente quebrantable. Por otro lado, al usar estándares de
seguridad como WPA y WPA2, se presenta un mayor nivel de seguridad. Sin embargo, en
el escenario 4 se analizaron una gran cantidad de ataques contra WPA/WPA2. De manera
que basándose en esta experiencia, y para su utilización en empresas, se recomienda lo
siguiente:
Para autónomos y empresas de tamaño mediano, utilizar WPA2-PSK con una contraseña
fuerte haciendo uso de los 63 caracteres que se tienen a disposición. Para las grandes
empresas, el uso WPA2-Enterprise con EAP-TLS. Este utiliza certificados de cliente y del
lado del servidor para la autenticación [118], [70].
Si por alguna razón se tiene que utilizar PEAP o EAP-TTLS con WPA2-Enterprise, se debe
asegurar de que la validación de certificados está activada, las autoridades de certificación
elegidas son correctas y de que se utilizan los servidores RADIUS que están autorizados.
Finalmente, cualquier ajuste que permita a los usuarios aceptar nuevos servidores RADIUS,
certificados o autoridades de certificación, debe estar apagado [118], [70].
En el caso de AP con WPS para evitar los ataques de fuerza bruta los usuarios deben
deshabilitar la función WPS como solución temporal. Aunque, en ciertos dispositivos, esta
opción no se halla disponible [119].
Clientes Wi-Fi
Para proteger a los clientes Wi‐Fi es recomendable deshabilitar el interfaz Wi‐Fi cuando no
se está utilizando, evitar conectarse a redes Wi‐Fi que no posean un nivel de seguridad
adecuado, como por ejemplo redes públicas abiertas (sin autentificación ni cifrado) o con
mecanismos de seguridad débiles como WEP. Además, la lista de redes preferidas se debe
mantener actualizada, eliminando redes ocultas o aquellas a las que no se vaya a volver a
conectar, y configurar el dispositivo móvil para que no intente conectarse automáticamente
a redes inalámbricas Wi-Fi a las que ha estado conectado previamente [118].
Portales Cautivos
En el caso de requerir establecer conexiones a través de redes Wi-Fi inseguras como los
portales cautivos, en los cuales se permite la asociación con el AP a cualquier cliente y el
tráfico entre estos y el AP no va cifrado; se recomienda hacer uso de tecnologías VPN con
el objetivo de cifrar todos los datos recibidos y transmitidos por el dispositivo móvil,
minimizando así la posibilidad de ataques de interceptación y modificación de tráfico.
Además, para impedir la realización de túneles DNS se puede aplicar control del tráfico
DNS en la red haciendo que clientes no autenticados tengan el DNS restringido (Split DNS)
o asignando cuotas de uso de tráfico DNS [62]. Para contrarrestar los ataques de DoS se
recomienda habilitar Wireless Isolation en el AP, si este lo permite, con el objetivo de
impedir la conexión entre clientes web que se asocian al mismo AP [63].
En este capítulo se implementaron varios escenarios de pentests, definiéndose los

requerimientos de hardware y software necesarios en cada uno de ellos. Además, dichos
escenarios fueron descritos e ilustrados para su adecuada comprensión. Seguidamente, se
explicaron los parámetros de configuración de las herramientas empleadas. Los resultados
obtenidos, luego de la realización de algunos pentests, demuestra la efectividad de las
herramientas utilizadas. Por ejemplo, la realización del descubrimiento y monitoreo de la
red con herramientas como CommView for Wi-Fi 7.1 permitió adquirir información
valiosa. Además, los ataques al cifrado, y en particular los ataques al cifrado que usa
WPA/WPA2 con tablas rainbow empleando herramientas como CowPatty y Pyrit,
permitieron ganar acceso a la red mediante el crackeo de la contraseña en solo segundos.
También, ataques a la infraestructura como la difusión constante de tramas beacons de
supuestos APs, provocó la DoS a los clientes que intentaban conectarse a la red.
Finalmente, y en correspondencia con los resultados prácticos obtenidos, fueron planteadas
un conjunto de mecanismos y medidas para mitigar las vulnerabilidades detectadas.
CONCLUSIONES
Con el desarrollo del presente trabajo se abordó la seguridad de redes Wi-Fi, y se realizaron
auditorías de seguridad a las mismas, mediante la utilización de varias herramientas de
pentesting. Durante su realización se arribó a las siguientes conclusiones:
 Wi-Fi es una tecnología inalámbrica empleada para intercambiar información entre

dispositivos electrónicos sin necesidad de conectarlos mediante el uso de cables
físicos. Esta ofrece facilidad de instalación, bajo costo, movilidad y versatilidad del
producto; ganándose la preferencia de muchos usuarios en el mundo. Sin embargo,
el hecho de que el medio de transmisión que emplea sean las ondas de radio, trae
consigo numerosos riesgos de seguridad asociados a su utilización.
 Los pentests consisten en una auditoría de seguridad realizada por profesionales, la
cual consta de cuatro etapas: Planificación, Descubrimiento, Ataque y Reporte. Su
propósito es proporcionar evidencia real, amplia y detallada del nivel de seguridad
de una organización.
 Las herramientas de pentesting permiten la detección y explotación de
vulnerabilidades, proporcionando una prueba de concepto de un ataque real. De esta
manera, se demuestran las posibilidades reales que podría tener una persona externa
(o interna) con la intención de comprometer el sistema.
 Se identificaron y describieron herramientas de pentesting que se utilizan en
auditorías de seguridad de redes Wi-Fi. Algunas de ellas se encuentran en la suite
Aircrack-ng, contenida en la distribución Kali Linux; o aparecen en la propia
distribución. Esta distribución permite la realización de pentests de forma adecuada,
constituyendo un recurso importante para auditar la seguridad de redes Wi-Fi.
CONCLUSIONES
 Se configuraron e implementaron siete escenarios de pentests para profundizar en el

estudio de herramientas de pentesting. Los resultados alcanzados en los pentests,
demostraron la efectividad de las herramientas empleadas en la detección y
explotación de vulnerabilidades en redes Wi-Fi.
 Se propusieron mecanismos y medidas, brindándose además algunos consejos que
deben seguir los clientes de redes Wi-Fi. Todo lo anterior permite la reducción de
los riesgos causados por las vulnerabilidades encontradas; potenciando de esta
manera la integridad, confiabilidad y disponibilidad de redes Wi-Fi.
RECOMENDACIONES
Se considera que las siguientes recomendaciones pueden ser de utilidad para enriquecer el
estudio realizado y los resultados obtenidos:
 Seguir investigando las herramientas de pentesting utilizadas, mediante la

implementación de otros escenarios que brinden también la posibilidad de detectar y
explotar vulnerabilidades, como es el caso de los portales cautivos u otras variantes
del ataque Hombre en el medio.
 Profundizar en el estudio de la distribución Kali Linux para el desarrollo de
escenarios de pentests, que abarquen el trabajo con otras herramientas disponibles
en esta distribución.
GLOSARIO DE TÉRMINOS
WLAN Wireless Local Area Network Red de Área Local Inalámbrica
OSI Open System Interconnection Modelo de Interconexión de Sistemas

Abiertos
FHSS Frequency Hopping Spread Spectrum Espectro Ensanchado por Salto de

Frecuencia
DSSS Direct Sequence Spread Spectrum Espectro Ensanchado por Secuencia

Directa
OFDM Orthogonal Frequency Division Multiplexación por División de

Multiplexing Frecuencias Ortogonales
IR Infrared Radiación Infrarroja
MAC Media Access Control Control de Acceso al Medio
LLC Logical Link Control Control de Enlace Lógico
CSMA/CA Carrier Sense Multiple Access with Acceso Múltiple con Escucha de
Collision Avoidance Portadora y Evasión de Colisiones
WECA Wireless Ethernet Compability Alianza de Compatibilidad Ethernet

Alliance Inalámbrica
CCK Complementary Code Keying Secuencias Complementarias
DBPSK Differential Binary Phase Shift Keying Modulación por Desplazamiento de Fase
Binaria Diferencial
DQPSK Differential Quadrature Phase Shift Modulación por Desplazamiento de Fase

keying Cuadrafásica Diferencial
MIMO Multiple Input Multiple Output Múltiple Entrada Múltiple Salida
OFDA Orthogonal Frequency Division Múltiple Acceso por División de

Multiple Access Frecuencias Ortogonales
IBSS Independent Basic Service Set Conjunto de Servicio Básico

Independiente
BSS Basic Service Set Conjunto de Servicio Básico
CAPWAP Control and Provisioning of Wireless Protocolo de Control y

Access Points Aprovisionamiento de Puntos de Acceso
Inalámbricos
GPS Global Positioning System Sistema de Posicionamiento Global
WEP Wired Equivalent Privacy Privacidad Equivalente a Cableado

RC4 Rivest Cipher 4 Cifrado Rivest 4
PSK Pre-shared Key Clave Precompartida
ICV Integrity Check Value Valor de Comprobación de Integridad
CRC Cyclic Redundancy Check Comprobación de Redundancia Cíclica
IPsec Internet Protocol Security Protocolo de Seguridad en Internet
SSL Secure Sockets Layer Capa de Conexión Segura
SSH Secure SHell Intérprete de Órdenes Segura
VPN Virtual Private Network Red Privada Virtual
WPA Wi-Fi Protected Access Acceso Wi-Fi Protegido
TKIP Temporal Key Integrity Protocol Protocolo de Integridad de Clave

Temporal
AAA Authentication, Authorization and Autenticación, Autorización y

Accounting Contabilización
RADIUS Remote Authentication Dial-In User Servicio de Autenticación Remota

Service Telefónica de Usuario
EAP Extensible Authentication Protocol Protocolo de Autenticación Extensible
TLS Transport Layer Security Seguridad de la Capa de Transporte
PEAP Protected Extensible Authentication Protocolo de Autenticación Extensible

Protocol Protegido
MIC Message Integrity Code Código de Integridad de Mensaje
QoS Quality of Service Calidad de Servicio
AES Advanced Encryption Standard Estándar de Encriptación Avanzada
RSN Robust Security Network Redes de Seguridad Robusta
PEAP Protected Extensible Authentication Protocolo de Autenticación Extensible

Protocol Protegido
MSCHAPv2 Microsoft Challenge Handshake Protocolo de Autenticación por Desafío

Authentication Protocol version 2 Mutuo de Microsoft versión 2
WPS Wi-Fi Protected Setup Configuración Protegida de Wi-Fi

QSS Quick Security Setup Configuración de seguridad rápida
SSID Service Set IDentifier Identificador de Conjunto de Servicios
PIN Personal Identification Number Número de Identificación Personal
HTTP Hypertext Transfer Protocol Protocolo de Transferencia de Hipertexto
LDAP Lightweight Directory Access Protocol Protocolo Ligero/Simplificado de Acceso

a Directorios
DHCP Dynamic Host Configuration Protocol Protocolo de Configuración Dinámica de

Estación
DNS Domain Name System Sistema de Nombres de Dominio
NIST National Institute of Standards and Instituto Nacional de Normas y

Technology Tecnología
FHS Filesystem Hierarchy Standard Estándar de Jerarquía del Sistema de

Archivos
ESSID Extended Service Set Identifier Identificador de Conjunto de Servicios

Extendido
RSSI Received Signal Strength Indicator Indicador de Fuerza de la Señal Recibida

TCP Transmission Control Protocol Protocolo de Control de Transmisión
LEAP Lightweight Extensible Authentication Protocolo Ligero de Autenticación

Protocol Extensible
PPTP Point to Point Tunneling Protocol Protocolo de Túnel Punto a Punto
ARP Address Resolution Protocol Protocolo de Resolución de Direcciones
PMK Pairwise Master Key Llave Maestra en Pares
DoS Denial of Service Negación de Servicio
IDS Intrusion Detection System Sistema de Detección de Intrusiones
PRGA Pseudo Random Generation Algorithm Algoritmo de Generación Pseudoaleatoria
GPU Graphics Processing Unit Unidad de Procesamiento Gráfico
PBC Push Button Configuration Configuración Pulsando Botón

REFERENCIAS BIBLIOGRÁFICAS
[1] ESET, “Guía de seguridad en redes inalámbricas” [Online]. Available: http://www.eset-

la.com/pdf/documento_guía_de_wifi.pdf [Accessed: 20-Jan-2015].
[2] R. Siles, “NcN_2014-Técnicas_ataque_clientes_Wi-Fi-Raul_Siles.pdf.” 30-Oct-2014.
[3] L. Alegsa, “¿Cuál es la definición de Seguridad en redes inalámbricas?” [Online].

Available: http://www.alegsa.com.ar/Dic/seguridad%20en%20redes%20inalambricas.php.
[Accessed: 20-Jan-2015].
[4] Gerencia, “Seguridad en redes inalámbricas: La wireless blindada,” 2013.
[5] M. Ascencio and P. Moreno, “Desarrollo de una propuesta metodológica para

determinar la seguridad en una aplicación Web.” 2011.
[6] A. López, “Metodología para la realización de Diagnósticos de Seguridad a la Redes de

datos de ETECSA.” 2013.
[7] D. W. B. García and I. K. S. Fanta, “Vulnerabilidades en el formato y uso de la trama

802.11,” Rev. Telemática, vol. 10, no. 3, pp. 51–60, Jun. 2012.
[8] A. Ramos, “Auditorías a redes Wi-Fi en la UCLV,” 2015
[9] H. Jara and F. Pacheco, Ethical Hacking 2.0: Implementación de un sistema para la
gestión de la seguridad, Rev. USERS, 2013.
[10] A. Delgado Martínez, “Seguridad en redes sin hilos : Wi-Fi y WiMAX,” 28-Jun-2013.
[Online]. Available: http://openaccess.uoc.edu/webapps/o2/handle/10609/23059.
[Accessed: 14-Jan-2015].
[11] Wi-Fi Alliance, “Who We Are | Wi-Fi Alliance.” [Online]. Available: http://www.wi-
fi.org/who-we-are. [Accessed: 21-Jan-2015].
[12] E. Sadot, L. L. Yang, and P. Zerfos, “Architecture Taxonomy for Control and
Provisioning of Wireless Access Points (CAPWAP).” [Online]. Available:
https://tools.ietf.org/html/rfc4118. [Accessed: 20-Jan-2015].
[13] A. Escudero, “Estándares en Tecnologías Inalámbricas.” Oct-2007.
[14] J. Kempf and P. R. Calhoun, “Configuration and Provisioning for Wireless Access
Points (CAPWAP) Problem Statement.”[Online]. Available:
https://tools.ietf.org/html/rfc3990. [Accessed: 20-Jan-2015].
[15] F. López, “El estándar IEEE 802.11 Wireless LAN,” 2014.
[16] Radio-Electronics, “IEEE 802.11 standards tutorial,” 2014. [Online]. Available:

http://www.radio-electronics.com/info/wireless/wi-fi/ieee-802-11-standards-tutorial.php.
[Accessed: 21-Apr-2015].
[17] E. Perahia and R. Stacey, Next Generation Wireless LANs: 802.11 n and 802.11 ac.
Cambridge university press, 2013.
[18] Cisco, “802.11ac: The Fifth Generation of Wi-Fi Technical White Paper,” Cisco.
[Online]. Available: http://cisco.com/c/en/us/products/collateral/wireless/aironet-3600-
series/white_paper_c11-713103.html. [Accessed: 21-Apr-2015].
[19] Agilent Technologies, “Wireless LAN at 60 GHz - IEEE 802.11ad Explained.” 2013.
[20] E. Perahia and M. X. Gong, “Gigabit wireless LANs: an overview of IEEE 802.11 ac
and 802.11 ad,” ACM SIGMOBILE Mob. Comput. Commun. Rev., vol. 15, no. 3, pp. 23–
33, 2011.
[21] T. Adame, A. Bel, B. Bellalta, J. Barcelo, J. González, and M. Oliver, “Capacity

analysis of IEEE 802.11 ah WLANs for M2M communications,” in Multiple Access
Communcations, Springer, 2013, pp. 139–155.
[22] B. Bellalta, “IEEE 820.11 ax: High-Efficiency WLANs,” ArXiv Prepr.

ArXiv150101496, 2015.
[23] J. P. O. López and J. E. O. Trivino, “Stochastic model for the characterization of a

cluster and its resources in an ad-hoc network,” in Communications and Computing
(COLCOM), 2014 IEEE Colombian Conference on, 2014, pp. 1–5.
[24] M. Álvarez-Campana, J. Berrocal Colmenarejo, F. González Vidal, R. Pérez Leal, I.

Román Martínez, and E. Vázquez Gallo, Tecnologías de banda ancha y convergencia de
redes. Ministerio de Industria, Turismo y Comercio (España), 2009.
[25] D. Stanley, P. Calhoun, and M. Montemurro, “Control and Provisioning of Wireless

Access Points (CAPWAP) Protocol Binding for IEEE 802.11.” [Online]. Available:
https://tools.ietf.org/html/rfc5416. [Accessed: 19-Feb-2015].
[26] Y. Espín and A. Marivel, “Análisis de los sistemas de ataque y protección en redes
inalámbricas WIFI bajo el sistema operativo LINUX.,” Universidad de las Fuerzas
Armadas ESPE. Carrera de Ingeniería Electrónica, Redes y Comunicación de datos., 2014.
[27] M. W. D. Saravia, “Conexiones Inalámbricas: ¿Una puerta abierta para los hackers?,”
Rev. Tecnológica, 2012.
[28] N. Rodríguez, “Detección de ataques en redes inalámbricas.” 2012.
[29] C. P. Punina Córdova and L. E. Yepez Navarro, “Prácticas de seguridad para el

laboratorio de simulación de telecomunicaciones,” 2014.
[30] G. Lehembre, “Seguridad Wi-Fi – WEP, WPA y WPA2.” 2006.
[31] J. J. Y. Torres, “Capítulo 7 Seguridad en las Redes Inalámbricas.” 2012.
[32] J. D. Gutiérrez, “Ataques en 802.11 Giovanni Zuccardi Juan David Gutiérrez,” 2006.
[33] F. P. Romero Navarro, “Análisis teórico y experimental sobre seguridad en redes Wi-
Fi,” 2014.
[34] W. A. Arbaugh, N. Shankar, Y. J. Wan, and K. Zhang, “Your 80211 wireless network
has no clothes,” Wirel.Commun. IEEE, vol. 9, no. 6, pp. 44–51, 2002.
[35] E. Tews, “Attacks on the WEP protocol.” IACR Cryptol. EPrint Arch., vol. 2007, p.
471, 2007.
[36] W. Arbaugh, “An Inductive Chosen Plaintext Attack against WEP_WEP2.” 2001.
[37] A. Bittau, M. Handley, and J. Lackey, “The final nail in WEP’s coffin,” in Security
and Privacy, 2006 IEEE Symposium on, 2006, p. 15–pp.
[38] S. Fluhrer, I. Mantin, A. Shamir, “Weakneses in the Key Scheduling Algorithm of

RC4,” 2001.
[39] A. Stubblefield, J. Ioannidis, A. D. Rubin, “Using the Fluhrer, Mantin, and Shamir
Attack to Break WEP,” in NDSS, 2002.
[40] D. Hulton, “Practical Exploitation of RC4 Weaknesses in WEP Environments.” 2002.
[41] E. Tews, R.-P.Weinmann, and A. Pyshkin, “Breaking 104 bit WEP in less than 60
seconds,” in Information Security Applications, Springer, 2007, pp. 188–202.
[42] J. Ioannidis, A. D. Rubin and A. Stubblefield, “A key recovery attack on the 802.11b
Wired Equivalent Privacy Protocol (WEP),” 2004.
[43] E. W. Maia, “Seguridad de redes Inalámbricas,” 2010.
[44] T. Ohigashi and M. Morii, “A practical message falsification attack on WPA,” in

Procedings of Joint Workshop on Information Security, Cryptography and Information
Security Conference System, 2009.
[45] D. P. Tomcsanyi and L. Lueg, “CCMP known-plain-text attack,” 2010.
[46] M. Junaid, M. Mufti, and M. U. Ilyas, “Vulnerabilities of IEEE 802.11 i wireless LAN
CCMP protocol,” Trans. Eng. Comput.Technol., vol. 11, pp. 228–233, 2006.
[47] B. Schneier and D. Wagner, “Cryptanalysis of Microsoft’s PPTP Authentication

Extensions (MS-CHAPv2),” in Secure Networking—CQRE [Secure]’99, Springer, 1999,
pp. 192–203.
[48] J. Eisinger, “Exploiting known security holes in Microsoft’s PPTP Authentication

Extensions (MS-CHAPv2),” Univ. Freiburgcit 2008-27-05 Dostupné Z Httppenguinbreeder
Orgpptpdownloadpptpmschapv2 Pdf, 2001.
[49] C. H. J. C. Mitchell, “Security Analysis and Improvements for IEEE 802.11 i,” in The
12th Annual Network and Distributed System Security Symposium (NDSS’05) Stanford
University, Stanford, 2005, pp. 90–110.
[50] J. R. Maluenda, B. R. Vásquez, and A. Varas, “Redes WPA/WPA2.” 2012.
[51] Stefan Viehböck, Brute forcing Wi-Fi Protected Setup. 2011.

[52] “Guía Reaver. Vulnerando WPA y WPA2 rápidamente.” [Online]. Available:

http://blog.desdelinux.net/guia-reaver-vulnerando-wpa-y-wpa2-rapidamente/. [Accessed:
19-Feb-2015].
[53] R4z0r | R4Z0R_BL4CK - Information Security & Risk, “‘Hackear Redes WPA con
Fern Wifi Cracker.’”[Online]. Available:
https://r4z0rbl4ck.wordpress.com/2013/06/02/hackear-redes-wpa-con-fern-wifi-cracker-by-
r4z0r/. [Accessed: 05-Mar-2015].
[54] M. J. M. Toksvig, C. J. Hughes, and E. Tseng, Third-Party Captive Portal. 2015.
[55] S. B. Han, Y. S. Joo, and B. P. Gangadharan, Captive portal systems, methods, and
devices. Google Patents, 2013.
[56] F. Ricciardi, “Preguntas de seguridad Wi-Fi de la red inalámbrica.” [Online].

Available: http://www.zeroshell.net/es/faq/wifi/. [Accessed: 28-May-2015].
[57] ETECSA, “Escenarios de WLAN.” 2015.
[58] B. Nambiar, G. Voon, and R. Verma, System and method for maintaining captive
portal user authentication. Google Patents, 2013.
[59] A. Moral Gómez and D. Megías Jiménez, “Desarrollo de un portal cautivo y

herramientas de administración en un entorno Wi-Fi abierto,” 2013.
[60] V. R. Kumar and D. Tewari, Method and System of Managing a Coptive Portal with a
Router. 2014.
[61] J. A. Calles, “Crear un Hotspot con dudosas intenciones.” [Online]. Available:

http://www.flu-project.com/2012/10/crear-un-hotspot-con-dudosas-intenciones_23.html.
[Accessed: 28-May-2015].
[62] Gabriel Maciá Fernández, “Evadiendo portales cautivos en hoteles o aeropuertos.

Túneles DNS.” 2015.
[63] A. Kishore, “Complete AP Isolate Guide | Router Guide.” 2014.

[64] P. Engebretson, The Basics of Hacking and Penetration Testing: Ethical Hacking and
Penetration Testing Made Easy. 2013.
[65] D. García Artalejo, “Herramienta de pentest orientado y automático,” 2014.
[66] A. López López, “Estudio de Metodologías para Pruebas de Penetración a Sistemas

Informáticos,” 2011.
[67] A. A. Pazmiño, “Aplicación de Hacking Ético para la Determinación de

Vulnerabilidades a Redes Inalámbricas Wi-Fi,” 2011.
[68] D. Camacho Moreno, “Evaluaciones de seguridad en entornos TIC: Fundamentos,

metodologías y herramientas,” 2012.
[69] K. Scarfone, M. Souppaya, A. Cody, and A. Orebaugh, “Technical guide to

information security testing and assessment,” NIST Spec. Publ., vol. 800, p. 115, 2008.
[70] V. Ramachandran, Backtrack 5 Wireless Penetration Testing: Beginner’s Guide. Packt

Publishing Ltd, 2011.
[71] SANSTM Institute, “SANS Network, IT Penetration Testing, Ethical Hacking

Training Courses.” [Online]. Available: http://pen-testing.sans.org/. [Accessed: 24-Mar-
2015].
[72] OMHE, “OMHE: Organización Mexicana de Hackers Éticos.” [Online]. Available:

http://www.omhe.org/. [Accessed: 31-Mar-2015].
[73] Concep-two, “¿Quién es Mile2?” [Online]. Available: http://www.concep-

two.com/nuestros-productos/quien-es-mile-2. [Accessed: 31-Mar-2015].
[74] K. Kavanagh, “Tenable Network Security.” [Online]. Available:

http://www.tenable.com/. [Accessed: 25-Mar-2015].
[75] Attack-Secure, “Home | Attack-Secure.” [Online]. Available: http://attack-

secure.com/. [Accessed: 31-Mar-2015].
[76] Kali Linux, “Offensive Security Introduces Kali Linux,” 15-Mar-2013.
[77] Offensive Security, “Offensive Security Training and Professional Services.” [Online].
Available: https://www.offensive-security.com/. [Accessed: 25-Mar-2015].
[78] V. Ramachandran and C. Buchanan, Kali Linux: Wireless Penetration Testing

Beginner’s Guide, Second. 2015.
[79] Kali Linux, “Kali Linux | Advanced Penetration Testing Distribution.” [Online].
Available: https://www.kali.org/. [Accessed: 04-Mar-2015].
[80] Aspyct.org, “Aircrack-ng.” [Online]. Available: http://www.aircrack-

ng.org/index.html. [Accessed: 04-Mar-2015].
[81] D. Escobar, "Seguridad y control en Comunicaciones Inalámbricas", 2012.
[82] Aspyct.org, “airodump-ng [Aircrack-ng].” [Online]. Available: http://www.aircrack-

ng.org/doku.php?id=airodump-ng. [Accessed: 04-Mar-2015].
[83] M. Milner, “stumbler dot net.” [Online]. Available: http://www.stumbler.net/.

[Accessed: 04-Mar-2015].
[84] “Vistumbler - Home.” [Online]. Available: https://www.vistumbler.net/. [Accessed:

04-Mar-2015].
[85] “Kismet.” [Online]. Available: http://www.kismetwireless.net/. [Accessed: 04-Mar-

2015].
[86] Nuts About Nets, “NetSurveyor 802.11 Network Discovery Tool | NUTS ABOUT
NETS -- Wireless Diagnostics & Troubleshooting.” [Online]. Available:
http://nutsaboutnets.com/netsurveyor-wifi-scanner/. [Accessed: 04-Mar-2015].
[87] Wireshark Foundation, “Wireshark · Go Deep.” [Online]. Available:

https://www.wireshark.org/. [Accessed: 04-Mar-2015].
[88] L. Martin, “Tcpdump/Libpcap public repository.” [Online]. Available:

http://www.tcpdump.org/#documentation. [Accessed: 04-Mar-2015].
[89] MetaGeek, “inSSIDer by MetaGeek.” [Online]. Available: http://www.inssider.com/.

[Accessed: 04-Mar-2015].
[90] SourceForge, “Airfart -- Who dealt it?” [Online]. Available:

http://airfart.sourceforge.net/. [Accessed: 05-Mar-2015].
[91] P. K. Lee, “AirTraf. A Wireless 802.11b Network Analizer” [Online]. Available:

http://airtraf.sourceforge.net/about.php. [Accessed: 05-Mar-2015].
[92] SourceForge, “Wellenreiter - WaveLAN hacking.” [Online]. Available:

http://wellenreiter.sourceforge.net/. [Accessed: 05-Mar-2015].
[93] TamoSoft, “Wireless Network Analyzer and Monitor – CommView for WiFi.”
[Online]. Available: http://www.tamos.com/products/commwifi/. [Accessed: 05-Mar-
2015].
[94] “Swscanner.” [Online]. Available: http://www.swscanner.org/. [Accessed: 05-Mar-

2015].
[95] Ares, “Intercepter-NG absolute capture.” [Online]. Available:

http://sniff.su/papers.html. [Accessed: 10-Mar-2015].
[96] Aspyct.org, “aireplay-ng [Aircrack-ng].” [Online]. Available: http://www.aircrack-

ng.org/doku.php?id=aireplay-ng. [Accessed: 04-Mar-2015].
[97] “Download Macchanger.” [Online]. Available: http://www.maxi-

pedia.com/download+macchanger. [Accessed: 05-Mar-2015].
[98] J. Wright, Weaknesses in LEAP challenge/response. Defcon, 2003.
[99] R. J. Notaro, “IPSec and PPTP VPN Exploits,” 2011.
[100] A. Cassola, W. K. Robertson, E. Kirda, and G. Noubir, “A Practical, Targeted, and

Stealthy Attack Against WPA Enterprise Authentication.,” in NDSS, 2013.
[101] The Shmoo Group, “Hacking. Moose. Crypto.” [Online]. Available:

http://airsnort.shmoo.com/. [Accessed: 14-Apr-2015].
[102] “Wepbuster - Automated WEP cracking and word list generator for WPA brute force
attack.” [Online]. Available: http://code.google.com/p/wepbuster/. [Accessed: 05-Mar-
2015].
[103] SourceForge, “WepAttack | SourceForge.net.” [Online]. Available:

http://sourceforge.net/projects/wepattack/. [Accessed: 05-Mar-2015].
[104] J. Sánchez, “WepLab Project Home Page.” [Online]. Available:

http://weplab.sourceforge.net/. [Accessed: 05-Mar-2015].
[105] Aspyct.org, “wesside-ng [Aircrack-ng].” [Online]. Available: http://www.aircrack-

ng.org/doku.php?id= wesside-ng. [Accessed: 04-Mar-2015].
[106] Aspyct.org, “easside-ng [Aircrack-ng].” [Online]. Available: http://www.aircrack-

ng.org/doku.php?id= easside-ng. [Accessed: 04-Mar-2015].
[107] M. Montoro, “oxid.it - Cain & Abel.” [Online]. Available:

http://www.oxid.it/cain.html. [Accessed: 05-Mar-2015].
[108] Aspyct.org, “aircrack-ng [Aircrack-ng].” [Online]. Available: http://www.aircrack-

ng.org/doku.php?id= aircrack-ng. [Accessed: 04-Mar-2015].
[109] Aspyct.org, “airolib-ng [Aircrack-ng].” [Online]. Available: http://www.aircrack-

ng.org/doku.php?id= airolib-ng. [Accessed: 04-Mar-2015].
[110] Will Hack For SUSHI, “Cowpatty.” [Online]. Available:

http://www.willhackforsushi.com/?page_id=50. [Accessed: 05-Mar-2015].
[111] Google Project Hosting, “pyrit - WPA/WPA2-PSK and a world of affordable many-
core platforms.” [Online]. Available: https://code.google.com/p/pyrit/. [Accessed: 04-Mar-
2015].
[112] Openwall, “John the Ripper password cracker.” [Online]. Available:

http://www.openwall.com/john/. [Accessed: 05-Mar-2015].
[113] R4z0r | R4Z0R_BL4CK - Information Security & Risk, “‘Hackear Redes WPA con
Fern Wifi Cracker.’”[Online]. Available:
https://r4z0rbl4ck.wordpress.com/2013/06/02/hackear-redes-wpa-con-fern-wifi-cracker-by-
r4z0r/. [Accessed: 05-Mar-2015].
[114] Sanson, “Manual Básico Wifislax3.” 2014.
[115] Aspyct.org, “airbase-ng [Aircrack-ng].” [Online]. Available: http://www.aircrack-

ng.org/doku.php?id=airbase-ng. [Accessed: 04-Mar-2015].
[116] Miguel, “La Piña Wifi en México : Jammer en Wifi Pineapple (mdk3),” La Piña Wifi
en México, miércoles, 30 de abril de-2014.
[117] “Deauthentication via void11.” [Online]. Available:

http://www.tomsguide.com/us/how-to-crack-wep,review-459-4.html. [Accessed: 05-Mar-
2015].
[118] R. Siles, “GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-450). Seguridad en

dispositivos móviles.” 2013.
[119] Carnegie Mellon University, “Vulnerability Note VU#723755 - WiFi Protected Setup
(WPS) PIN brute force vulnerability,” 2012. [Online]. Available:
https://www.kb.cert.org/vuls/id/723755. [Accessed: 05-Jun-2015].
ANEXOS
Anexo 1 Tarjetas Wi-Fi inalámbricas. NETGEAR WG111v2 54Mbps Wireless

USB 2.0 Adapter y TP-Link TL-WN721N 150Mbps
Anexo 2 NETGEAR 802.11g ProSafe Wireless Access Point modelo WG302

ANEXOS
96
Anexo 3 NETGEAR N150 Wireless Router modelo WGR614
Anexo 4 Configuración del nombre de la red
Anexo 5 Configuración del AP con autenticación abierta

ANEXOS
97
Anexo 6 Descubrimiento de la interfaz

ANEXOS
98
Anexo 7 Activación del dispositivo de red
Anexo 8 Escaneo de las redes cercanas

ANEXOS
99
Anexo 9 Comprobación de la conexión con el AP
Anexo 10 Establecimiento de la dirección IP de la tarjeta de red inalámbrica

ANEXOS
100
Anexo 11 Ping al AP
Anexo 12 Verificación de que la respuesta viene del AP

ANEXOS
101
Anexo 13 Detección de las tarjetas disponibles
Anexo 14 Creación de la interfaz en modo monitor

ANEXOS
102
Anexo 15 Verificación de la creación de la interfaz en modo monitor
Anexo 16 Visualización de la nueva interfaz

ANEXOS
103
Anexo 17 Escaneo de los AP cercanos mediante Vistumbler v10.5

ANEXOS
104
Anexo 18 Uso de los canales 802.11 con NetSurveyor 2.0.9686.0

ANEXOS
105
Anexo 19 Espectrograma de los canales con NetSurveyor 2.0.9686.0

ANEXOS
106
Anexo 20 Escaneo de los AP cercanos mediante CommView for Wi-Fi 7.1
Anexo 21 Captura de paquetes mediante CommView for Wi-Fi 7.1

ANEXOS
107
Anexo 22 Estadísticas de la cantidad de paquetes en CommView for Wi-Fi 7.1
Anexo 23 Matriz de las conexiones de red en CommView for Wi-Fi 7.1

ANEXOS
108
Anexo 24 Selección de la interfaz mon0 en Wireshark
Anexo 25 Sniffing de paquetes inalámbricos mediante Wireshark

ANEXOS
109
Anexo 26 Sniffing de los marcos de gestión
Anexo 27 Sniffing del control
Anexo 28 Sniffing de los frames de datos

ANEXOS
110

Airodump-ng
ANEXOS
111
Anexo 30 Bloqueo la tarjeta inalámbrica en el mismo canal que el AP

Wireshark
ANEXOS
112
ANEXOS
113
Anexo 32 Sniffing de los paquetes non-beacon de la red del laboratorio

ANEXOS
114
Anexo 33 Test de inyección
Anexo 34 Sniffing de los paquetes anuncio mostrando el SSID de la red del

laboratorio
ANEXOS
115
ANEXOS
116
Anexo 35 Configuración del AP con SSID oculto
Anexo 36 Sniffing de los paquetes anuncio luego de configurar el AP con SSID

oculto
ANEXOS
117
Anexo 37 Envío paquetes de deautenticación de difusión

ANEXOS
118
Anexo 39 Revelación del SSID oculto
Anexo 40 Desconexión con el AP por la existencia de filtros MAC

ANEXOS
119
Anexo 41 Clientes conectados al AP
Anexo 38 Sniffing de los paquetes de deautenticación

ANEXOS
120
Anexo 42 Falsificación de la dirección MAC
Anexo 43 Conexión con el AP

ANEXOS
121
Anexo 44 Configuración del AP con clave precompartida y cifrado RC4

ANEXOS
122
Anexo 45 Captura de la SKA
Anexo 46 Visualización del archivo keystream en el directorio actual

ANEXOS
123
Anexo 47 Ataque de autenticación falsa
Anexo 48 Sniffing de los paquetes de autenticación y asociación
Anexo 49 Configuración del AP con autenticación WPA-PSK y cifrado TKIP

ANEXOS
124

Airodump-ng
ANEXOS
125
Anexo 51 Captura del WPA handshake
Anexo 52 Ejecución del ataque de fuerza bruta a WPA-PSK con John The Ripper
ANEXOS
126
Anexo 53 Descubrimiento de la contraseña con John The Ripper
Anexo 54 Comprobación que el handshake se encuentra almacenado en el archivo

.cap
ANEXOS
127
Anexo 55 Enlace al archivo de diccionario de Kali Linux
Anexo 56 Ejecución del ataque de diccionario a WPA-PSK

ANEXOS
128
Anexo 57 Descubrimiento de la contraseña WPA-PSK
Anexo 58 Descubrimiento de la contraseña WPA2-PSK

ANEXOS
129
Anexo 59 Creación de la tabla rainbow
Anexo 60 Crackeo de la contraseña WPA-PSK con Cowpattty

ANEXOS
130
Anexo 61 Creación de la base de datos para Aircrack-ng
Anexo 62 Crackeo de la contraseña WPA-PSK con Airolib-ng

ANEXOS
131
Anexo 63 Crackeo de la contraseña WPA-PSK con Pyrit
Anexo 64 Crackeo de la contraseña WPA2-PSK con CowPatty

ANEXOS
132
Anexo 65 Crackeo de la contraseña WPA2-PSK con Airolib-ng
Anexo 66 Crackeo de la contraseña WPA2-PSK con Pyrit

ANEXOS
133
Anexo 67 Configuraciones de WPS para el intercambio de credenciales en el AP
Anexo 68 Configuraciones de WPS para el intercambio de credenciales en un

cliente de Android
ANEXOS
134
Anexo 69 Generación del PIN por el enrolle
Anexo 70 Generación del PIN por el registrar

ANEXOS
135
Anexo 71 Variante PBC de WPS en un cliente de Windows
Anexo 72 Visualización del PIN del AP

ANEXOS
136
Anexo 73 Escaneo de los AP con WPS activado
Anexo 74 Ataque de fuerza bruta al PIN del AP
Anexo 75 Descubrimiento del PIN y la clave WPA-PSK mediante Reaver

ANEXOS
137
Anexo 76 Señales Wi-Fi disponibles en el área

ANEXOS
138

aleatorios
ANEXOS
139

creados por el atacante
ANEXOS
140
Anexo 79 Difusión constante de tramas beacons de supuestos APs con el nombre

del AP legítimo
Anexo 80 APs con nombres elegidos por mdk3 que le aparece al cliente
Anexo 81 APs con nombres elegidos por el atacante que le aparece al cliente
ANEXOS
141
Anexo 82 AP con el mismo SSID del AP legítimo que le aparece al cliente

Claudia Rios Naranjo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Claudia Rios Naranjo

Cargado por

Copyright:

Formatos disponibles

Universidad Central “Marta Abreu” de Las Villas

Facultad de Ingeniería Eléctrica

Departamento de Telecomunicaciones y Electrónica

Autor: Claudia María Ríos Naranjo

Tutor: MSc. Yakdiel Rodríguez-Gallo Guerra

Cotutor: MSc. Rubersy Ramos García

Autor: Claudia María Ríos Naranjo

Tutor: MSc. Yakdiel Rodríguez-Gallo Guerra

Cotutor: MSc. Rubersy Ramos García

E-mail: rubersy. ramos@etecsa.cu

Firma del Autor

Firma del Tutor Firma del Jefe de Departamento

Firma del Responsable de

“Toda hazaña implica esmero y sacrificio, pero eso mismo hace

A mis padres, que han estado conmigo en todos los momentos

A todos los profesores, que han contribuido en mi formación como futura

A mi amigas Jessica, Lizdayana, Laura y Liliam, que siempre han sido

muy especiales y han estado conmigo estos 5 años.

A mi amiga Yamilé que me he ayudado incondicionalmente

y ha logrado que me sienta parte de su familia

A mis compañeros de estudio, que han compartido conmigo todos

 Realización de una revisión bibliográfica para la identificación de herramientas de

 Proposición de mecanismos y medidas para mitigar las vulnerabilidades detectadas

Firma del Autor Firma del Tutor

Las herramientas de pentesting permiten la realización de auditorías de seguridad a redes

AGRADECIMIENTOS ........................................................................................................ iii

TAREA TÉCNICA .............................................................. ¡Error! Marcador no definido.

CAPÍTULO 1. PRINCIPIOS BÁSICOS DE LA SEGURIDAD EN REDES WI-FI........ 5

1.1 Principales características de las redes Wi-Fi .......................................................... 5

1.1.1 Estándar IEEE 802.11 y sus enmiendas............................................................ 6

1.1.2 Arquitecturas de redes inalámbricas Wi-Fi ...................................................... 8

1.2 Seguridad en las redes Wi-Fi ................................................................................. 10

1.2.1 Ataques asociados a vulnerabilidades propias del medio radioeléctrico ........ 10

1.2.2 Ataques asociados a vulnerabilidades en los mecanismos de seguridad de

1.2.2.1 WEP .............................................................................................................. 13

1.2.2.4 WPS .............................................................................................................. 19

1.2.3 Ataques asociados a vulnerabilidades en los Portales Cautivos ..................... 20

1.3 Características de los pentests ................................................................................ 21

1.3.1 Tipos de pentesting .............................................................................................. 22

1.3.2 Etapas de un pentesting........................................................................................ 22

1.4 Conclusiones parciales ........................................................................................... 23

CAPÍTULO 2. PRESTACIONES DE LAS HERRAMIENTAS DE PENTESTING QUE

2.1 Características de la distribución Kali Linux ......................................................... 26

2.2 Herramientas para el descubrimiento y monitoreo de redes Wi-Fi ........................ 26

2.2.1 Airodump-ng ................................................................................................... 27

2.2.2 NetStumbler 0.4.0 ........................................................................................... 27

2.2.3 Vistumbler v10.5 ............................................................................................ 27

2.2.4 Kismet 2013-03-R1b....................................................................................... 28

2.2.5 NetSurveyor 2.0.9686.0 .................................................................................. 28

2.2.6 Whireshark 1.12.4 ........................................................................................... 28

2.2.7 Tcpdump 4.6.2 / 1.6.2 ..................................................................................... 29

2.2.8 InSSIDer 4.2.0.12 ........................................................................................... 29

2.2.9 Airfart 0.2.1..................................................................................................... 29

2.2.10 Airtraf 1.0........................................................................................................ 29

2.2.11 Wellenreiter 1.9 .............................................................................................. 30

2.2.12 CommView for Wi-Fi 7.1 ............................................................................... 30

2.2.13 SWScanner Simple Wireless Scanner 0.2.3 ................................................... 30

2.2.14 Intercepter-ng .................................................................................................. 30

2.3 Herramientas para explotar vulnerabilidades en redes Wi-Fi ................................ 31

2.3.1 Herramientas para explotar las vulnerabilidades de autenticación ................. 31

2.3.1.1 Aireplay-ng ................................................................................................... 31

2.3.1.2 MacChanger 1.7.0-5.1 .................................................................................. 31

2.3.1.3 Asleap ........................................................................................................... 31