Auditorias Wi-Fi Con BackTrack 5

David Felipe Penagos Mosquera

Advertencia Esta guía tiene como objetivo mostrar las vulnerabilidades de las redes Wi-
Fi, para configurar el router adecuadamente y crear contraseñas más seguras, en ningún
momento se desea que este tutorial sea usado para obtener claves Wi-Fi de puntos de
los que no se es propietario.

Tipos cifrado de las redes Wifi:

Aquí aprenderás…

WEP: “Es el sistema de cifrado incluido en el estándar IEEE  Recuperar la clave de tu red WEP
802.11 como protocolo para redes Wireless que  Recuperar la clave de tu red WPA sin
permite cifrar la información que se transmite. Proporciona un diccionario
cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que  Recuperar la clave de tu red WPA-2 sin
utiliza claves de 64 bits (40 bits más 24 bits del vector de diccionario
1
iniciación IV) o de 128 bits (104 bits más 24 bits del IV).”
Lo que debes tener:

WPA: “Es un sistema para proteger las redes inalámbricas (Wi-  BackTrack 5 R3
1
Fi); creado para corregir las deficiencias del WEP. Se encontró  Una tarjeta de red compatible con el modo
varias debilidades en el algoritmo WEP (tales como la monitor
reutilización del vector de inicialización (IV), del cual se derivan
ataques estadísticos que permiten recuperar la clave WEP,
entre otros). WPA implementa la mayoría del estándar IEEE
2
802.11i.” Recuperar la contraseña de tu red Wi-Fi WEP

Debido a que desde hace mucho tiempo se conoce la

WPA2: “Es un sistema para proteger las redes inalámbricas (Wi-
Fi); creado para corregir las vulnerabilidades detectadas en
WPA, está basada en el nuevo estándar 802.11i, que utiliza el
3
algoritmo de cifrado AES (Advanced Encryption Standard)”
vulnerabilidad de la implementación del algoritmo RC4, hoy en
día existe varias técnicas y aplicaciones que permiten recuperar
las claves de las redes WEP, en este tutorial se explicaran dos
técnicas para WEP que no requieren tener equipos conectados
al Router Wi-Fi del cual vamos a recuperar la clave Wi-Fi.

Explicaremos los primeros pasos que son comunes en ambas

técnicas.

Procedimiento:
1
http://goo.gl/xuG70z
2
http://goo.gl/g5L9QN Debes instalar BackTrack 5 puedes instalarlo en una partición
3
http://goo.gl/b4ZmHG en tu disco duro o si deseas puede virtualizarlo, debes tener

Universidad del Cauca, Facultad de Ingeniería Electrónica y Telecomunicaciones, Programa de Ingeniería de Sistemas,
Calle 5 No 4-70, Popayán, Colombia, dfpenagos@unicauca.edu.co.
 Auditorias Wifi con BackTrack 5

permisos de administrador para ejecutar los comandos y

adicional a esto debes tener una tarjeta de red inalámbrica,
puede ser incluso USB, lo importante de esta tarjeta sea
4
compatible con la Suite de Aircrack-ng .

Una vez conectada la tarjeta de red inalámbrica inicia

BackTrack y abre una terminal.

Lo primero que haremos es verificar si nuestra tarjeta de red

fue reconocida por BackTrack así: Es importante siempre intentar de recuperar la clave de una
red Wi-Fi a la vez, así que el listado de redes Wi-Fi disponibles,
Digitamos el siguiente comando en la terminal, que recién nos permite decidir qué red vamos a escoger como nuestro
ejecutamos: #ifconfig objetivo, fijar una sola red ayuda a mejorar el tiempo en
recuperar la clave de tu red Wi-Fi.

Abrimos otra pestaña y digitamos lo siguiente

Deberá aparece algo como lo siguiente:
#airmon-ng start wlan0

5
Con esto la tarjeta de red inalámbrica, pasa a modo monitor .

Los últimos dos números de la dirección MAC de la tarjeta los

oculto por seguridad.

En mi caso solo tengo una sola tarjeta inalámbrica conectada al

Ahora empezamos a capturar paquetes de la red que fijamos
PC, por eso solo aparece wlan0, esto puede variar en el caso de
como objetivo, este comando permite realizar esa tarea:
tener más tarjetas de red inalámbricas, ejemplo puede
aparecer wlan1 o wlan2.
#airodump-ng -c 1 --bssid MAC_Cliente_Escogido
-w capturarIvs -i mon0
Es conveniente siempre ejecutar el siguiente comando
#ifconfig wlan0 up, esto activará la tarjeta de red
inalámbrica si esta desactivada

Escribimos airodump-ng luego -c y especificamos el canal en

este caso el canal fue 1 ahora escribimos --bssid y
especificamos la dirección MAC_Cliente_Escogido, -w indica el
Procedemos a verificar si nuestra red o redes Wi-Fi están
nombre del archivo que guardara los paquetes obtenido en
disponibles con el siguiente comando:
este tutorial se le dio el nombre de "capturarIvs", -i solo
6
#iwlist wlan0 scanning captura los ivs (Vector de inicialización) y finalmente nuestro
monitor en este caso el nuestro es mon0

Aparece un listado de las redes disponibles, cada red aparece

con su respectiva dirección MAC, el ESSID y el canal, estos
datos son muy importantes a la hora de recuperar la clave de tu
red. 5
El modo monitor no interviene en las comunicaciones, (no habla), pero si
"escucha" a otra tarjeta y a su servidor, cuando éstos se están comunicando
entre sí.
4
http://goo.gl/UGH0Gf 6
http://goo.gl/0B5qiS

Universidad del Cauca, Facultad de Ingeniería Electrónica y Telecomunicaciones, Programa de Ingeniería de Sistemas, Calle 5 No 4-70, Popayán,
Colombia, dfpenagos@unicauca.edu.co.
 Guía

Debe aparecer una ventana como aparece en la imagen, ahora

solo nos interesa que el número que esta debajo de la columna Ataque Chop Chop de KoreK, el cual utilizando una
data aumente, porque entre más grande sea este número, más vulnerabilidad en el algoritmo CRC32 empleado para la
fácil será recuperar la contraseña Wi-Fi de nuestro Router Wi- comprobación de integridad del paquete, consigue
Fi. código keystream suficiente para construir un paquete
tipo ARP que inyectará para obtener grandes cantidades
Existe la posibilidad de que un cliente este asociado a la red de datos cifrados.
escogida, pero posiblemente no genere los paquetes
suficientes que necesitamos para recuperar la clave de red, por
eso es necesario realizar alguna de las siguientes técnicas Capturamos un paquete con el siguiente comando:
(Ataque Chop Chop de KoreK o Ataque de Fragmentación) y
con ello lograr el aumento de ivs (Data). #aireplay-ng -4 -b MAC_ROUTER -h
MAC_Nuestra_Tarjeta mon0
Abrimos una nueva pestaña y digitamos el siguiente comando,
este comando lo que hace es asociarnos como clientes de la red
Wi-Fi (Le hace creer al Router que somos clientes)

#aireplay-ng -1 0 -e ESSID -a MAC_ROUTER -h

MAC_NUESTRA_TARJETA mon0

Asociación exitosa

En caso de no obtener el paquete y si contamos con la suerte

de un cliente podemos usar el siguiente comando:
En caso de que no aparezca el anterior mensaje sino uno
diferente, entonces podemos digitar la siguiente variación #aireplay-ng -4 -b MAC_ROUTER -h
MAC_CLIENTE_CONECTADO mon0
#aireplay-ng -1 6000 -o 1 -q 10 -e ESSID -a
MAC_Router -h MAC_Nuestra_Tarjeta mon0

Asociación exitosa, cada 10 segundo mandara un paquete de

vida al Router, para que indicarle que seguimos asociados a él.

Una vez estemos asociado podemos recuperar la contraseña Nos pregunta si deseamos usar este paquete, le decimos que si
con las siguientes técnicas: “y”, pulsamos luego enter

Universidad del Cauca, Facultad de Ingeniería Electrónica y Telecomunicaciones, Programa de Ingeniería de Sistemas, Calle 5 No 4-70, Popayán,
Colombia, dfpenagos@unicauca.edu.co.
 Auditorias Wifi con BackTrack 5

Luego intenta descifrar el paquete de datos capturado sin

necesidad de la clave, una vez sea exitoso, podemos ver la
información del paquete en texto plano
Con el siguiente comando revelamos la información en texto
plano:
#tcpdump -s 0 -n -e –r paquete_texto_plano
Ataque de Fragmentación, es una técnica que le permite
a un atacante generar e inyectar paquetes cifrados en
una red WEP sin la necesidad de conocer la clave,
solamente es necesario capturar un paquete cifrado en
la red y posteriormente aplicar este ataque, cuando un
Router se resiste a Chop Chop, posiblemente es
vulnerable a este ataque.

Nos revela la información que aparece en el cuadro, solo nos

interesa la parte donde se ve la dirección IP, ethertype Ipv4, en #aireplay-ng -5 -b MAC_ROUTER -h
este caso la red va desde 192.168.0.10 MAC_Nuestra_Tarjeta mon0

Cuando tengamos el paquete aparecerá el siguiente mensaje,

presionamos 'y' luego damos Enter.
Ahora procedemos a construir un paquete mediante la
herramienta packectforge-ng -0, -a especificamos la
MAC_ROUTER, -h la MAC_Nuestra_Tarjeta -k desde que
dirección ip va la red -l hasta que dirección ip va nuestra red -y
el paquete que se descifro y -w como se va a llamar al paquete
que estamos creando “paqueteArp.cap”

Cuando se digitan bien los comandos entonces deberá decirnos

que el archivo se escribió correctamente.

Algunos paquetes la información no brinda información de la

IP, especialmente cuando son IP v6, para esto podemos crear
Una vez termine aparecerá un mensaje como el que está abajo,
nuestro paquete de la siguiente forma:
dándonos el nombre de

Procedemos a generar el paquete a inyectar con el comando

Ahora solo queda inyectar nuestro Paquete Arp, como este es
un paso común con el ataque por fragmentación lo
explicaremos una vez finalicemos con fragmentación.
Cuando falla Chop Chop aparecer el siguiente mensaje,
debemos probar el ataque de fragmentación.
usado anteriormente
#packetforge-ng -0 -a (BSSID) -h (mac del cliente) -
k 255.255.255.255 -l 255.255.255.255.255 -y (nuestro
archivo .xor) -w paqueteArp.cap
Ahora procederemos a inyectar el paquete creado para ello usamos el
siguiente comando:

#aireplay-ng -2 -r paqueteArp.cap mon0

Universidad del Cauca, Facultad de Ingeniería Electrónica y Telecomunicaciones, Programa de Ingeniería de Sistemas, Calle 5 No 4-70, Popayán,
Colombia, dfpenagos@unicauca.edu.co.
 Guía

#airmon-ng start wlan0

Nos pregunta si deseamos usar este paquete, presionamos 'y'

luego damos enter.
Luego digitamos el siguiente comando:

#wash -i mon0

wash -i mon0, escaneara todas las redes en busca de alguna

que tenga tecnología wps activa, si deseamos verificar solo una
de las redes usa el siguiente comando:
#wash -i mon0 -b Mac_Router_Cliente

Una vez veamos que el DATA aumenta rápidamente, abrimos

una nueva pestaña y digitamos el comando final: aircrack-ng
capturarIvs

Usamos aircrack-ng (Este combinando ataques estadísticos con

ataques de fuerza bruta), por eso cuantos más paquetes Tenemos 2 clientes que tienen su wps activo y de los cuales
tengas, más fácil será para aircrack-ng determinar la clave WEP. sabemos que el ataque con Reaver funcionara.

Ejecutamos el siguiente comando

#reaver -i mon0 -b (BSSID) -c (canal) –vv

(son dos v y no una w) estas con vv nos permitirán ver toda

la información de lo que está haciendo.
Recuperar clave de red usando un Ataque al Router
1
con WPS (Wi-Fi Protected Setup) Activo, Compatible
Sin Diccionario con WEP, WPA, WPA2
Finalmente luego de probar varios pin, en este caso con probar
Han aparecido diferente ataques a WPA/WPA2, estos claves y en este caso una clave por defecto puedo ingresar y
considerandos sin duda unos de los protocolos más obtener la información del Router
seguros y recomendados hasta el momento, pero no
todo se basa en tener una contraseña "difícil" como
nos han hecho creer muchas veces.

Hace poco apareció una herramienta, llamada Reaver

que lleva un proceso de fuerza bruta sobre los Router
con Pin y específicamente aquellos que tiene el WPS
Activo.

Lo primero que debemos identificar cual de nuestros blancos

tiene wps activo, iniciamos nuestra tarjeta de red en modo
5
monitor

Universidad del Cauca, Facultad de Ingeniería Electrónica y Telecomunicaciones, Programa de Ingeniería de Sistemas, Calle 5 No 4-70, Popayán,
Colombia, dfpenagos@unicauca.edu.co.
 Auditorias Wifi con BackTrack 5

La clave de nuestro Router está en la línea que comienza por

WPA PSK: 8691A7004784B, esa es la clave va sin las comillas.

Este programa tiene la ventaja de que les permite reiniciar el

ataque a una red en cualquier momento. Al iniciar nuevamente
el ataque a una red Wi-Fi, nos preguntara si deseamos
continuar en el punto donde quedo la última vez.

Sugerencias de Seguridad:

Luego de ver que no importa el tamaño que tenga una clave

WEP, por la mala implementación del RC4, siempre será fácil
recuperar la clave del Router.

Si usan WPA y WP2, no solo basta tener una clave ASCII larga y
con diferentes caracteres especiales, deben siempre verificar si
el WPS de su Router esta desactivado.
Tener El WPS desactivado, puede ser desactivado en el menú
de configuración del Router

Ocultar la Red (MAC, como ESSID)

Realizar cambios de contraseña regulares en periodos de 6 a 8

meses. (Incluir caracteres especiales)

Tener actualizado el firmware del Router, para evitar

vulnerabilidades que comprometen la seguridad del Router a
medida que descubran y corrijan.

Agradecimientos especiales:

Al Ingeniero Siler Amador, docente de la

Facultad de Ingeniería Electrónica y
Telecomunicaciones, de la Universidad del
Cauca ubicada en la ciudad Popayán en
Colombia, quien durante las clases de
criptografía mostro las debilidades del
algoritmo RC4 y facilito las herramientas
necesarias entre estas el receptor Wireless
compatible con la Suite de Aircrack-ng.

Universidad del Cauca, Facultad de Ingeniería Electrónica y Telecomunicaciones, Programa de Ingeniería de Sistemas, Calle 5 No 4-70, Popayán,
Colombia, dfpenagos@unicauca.edu.co.