Cómo detectar y eliminar intrusos en la red WiFi

Luis Metal

Staff member
Moderator
Member

Desde la llegada de las redes WiFi al mercado de consumo, nos hemos olvidado de los cables y las costosas instalaciones. Por desgracia, ahora es posible que tengamos a algún vecino robando ancho de banda y, lo que es peor, poniendo en entredicho la seguridad de nuestra red e incluso del ordenador



NIVEL: INTERMEDIO
Si estás leyendo este práctico, es muy posible que en algún momento del idilio que compartes con tu red WiFi te hayas preguntado si te está «siendo infiel» con otros. Las webs tardan mucho en descargarse, numerosos fallos de conexión momentáneos sin motivos aparentes... Todo esto nos puede estar indicando que un vecino se está aprovechando de nuestra buena fe. En este práctico vamos a ver métodos para detectar a los intrusos y soluciones para, si los tenemos, deshacernos de ellos.

Paso 1. A simple vista
Lo primero que podemos hacer para detectar un intruso en nuestra red es tan sencillo que puede parecer gracioso: si tenemos apagados todos lo ordenadores y periféricos de nuestra red, el router no debería mostrar actividad alguna. Si con todo apagado el led de actividad se muestra frenético en cuanto a parpadeos, es muy posible que tengamos intrusos. Este método de reconocimiento no es muy profesional, ya que determinadas interferencias pueden hacer que el router parezca tener actividad sin tenerla, pero no deja de ser un primer paso.


Paso 2. IP y MAC de los PCs permitidos

Para detectar intrusos de un modo más avanzado, lo primero que debemos hacer es averiguar la IP y direcciones MAC de los ordenadores permitidos. Para ello, en los equipos cargados con Windows, nos dirigimos a Inicio/Ejecutar y tecleamos la orden cmd . Se abrirá una consola de MS-DOS en la que teclearemos la siguiente orden: ipconfig/all. De esta forma, podremos ver una lista con todas nuestras interfaces de red y la información relacionada con ella. Nos interesa la IP y la dirección MAC del ordenador. Esta operación deberemos realizarla para cada una de las máquinas a las que queramos permitir el acceso. No es mala idea apuntar tanto las IPs como las MAC de los ordenadores en un papel, pues seguramente debamos consultarlas más de una vez.


Asimismo, si tenemos algún dispositivo de red diferente de un ordenador, como una impresora LAN, un disco duro de red, una radio WiFi, una consola, etcétera también deberíamos averiguar al menos su MAC en las especificaciones del dispositivo y apuntarlo también dentro de nuestra lista.

Paso 3. Lista DHCP de conexiones
Muchos de los routers actuales contienen utilidades de diagnóstico de la red y pueden ayudarnos en la labor de localizar intrusos. En concreto, vamos a utilizar la lista de clientes DHCP conectados que genera el router. Este sistema tiene la desventaja de que nos va a permitir descubrir al intruso única y exclusivamente si el ladrón de conexión se encuentra conectado en el mismo momento de la consulta.

El método puede variar en función de la marca y modelo del enrutador; pero, en general, tendremos que «loguearnos» en nuestro router accediendo a la interfaz de administración mediante nuestro navegador favorito; normalmente, la dirección es http://192.168.1.1. A continuación, nos pedirá un usuario y una clave para acceder a nuestro panel de administración. En nuestro caso, estamos utilizando un router con el firmware DD-WRT. Si este procedimiento nos diera error, deberíamos consultar en el manual de nuestro router tanto esta dirección como la clave para entrar.


Una vez dentro del panel, buscamos la opción que muestra los clientes DHCP de nuestro router. En nuestro caso, la encontramos dentro de Estado/LAN/Active Clients. En esa lista, comprobamos si tenemos algún cliente que no pertenezca a los que anotamos como nuestros ordenadores y periféricos de red. Si es así, si tenemos una dirección no reconocida, es muy probable que tengamos un intruso.

Algunos routers del mercado tienen la posibilidad de activar un log, un documento en el que se guardan eventos del sistema, que permite ver si hay peticiones u ordenadores conectados en horas en las que no tenemos actividad con ninguno de nuestros equipos. En ocasiones, estos logs son largos y difíciles de interpretar, pero tienen la ventaja de que son atemporales y nos permitirán descubrir a un intruso incluso si no está conectado en el momento de realizar la consulta. Como en el caso anterior, depende del router e incluso de la versión del firmware.
 
Paso 4. Detección de intrusos
Si no tenemos un log en nuestro router o simplemente no nos aclaramos mucho con él, podemos utilizar software que nos ayude a detectar la actividad anormal existente en nuestra red. En este sentido, es factible localizar en Intenet multitud de programas diseñados para este cometido, aunque quizás el más conocido para entornos Windows sea AirSnare (http://home.comcast.net/~jay.deboer/airsnare/). Se trata de una aplicación muy completa que nos brinda la oportunidad de «escuchar» una red determinada y nos muestra un log con los eventos que pasan a través del enrutador.

Una vez descargado e instalado, lo iniciamos y seleccionamos la interfaz de red con la que queremos empezar la monitorización. Pulsamos sobre el botón izquierdo del ratón y, luego, sobre Start. Después de unos momentos, nos avisa mediante voz y con mensajes en la pantalla de cada una de las direcciones MAC que encuentra en la red. Al principio, va a tomar a todas las direcciones MAC detectadas como desconocidas. No obstante, con la lista que confeccionamos al principio, nosotros mismos comprobamos cuáles verdaderamente pertenecen a los ordenadores y periféricos permitidos, seleccionándolas y pulsando sobre el botón izquierdo del ratón. Al elegir la opción add to Trusted, las direcciones pasarán a la lista de direcciones amigas.


Una vez que tengamos dentro de las direcciones amigas a todos nuestros dispositivos, solo resta dejar escuchando al software para ver si localiza algún intruso real. Si esto se produce, nos alertará mediante voz y, además, nos dejara un registro en una parte de la ventana principal.

El software tiene muchas más posibilidades, entre ellas, la de enviarnos un correo electrónico cada vez que se produzca un evento extraño, con lo que podemos, por ejemplo, estar monitorizando nuestra red doméstica incluso mientras estemos en la oficina. Para ello, debemos seguir la ruta Options/Options/AirMail y y rellenar los campos relacionados con la cuenta de correo que queremos usar para enviar el correo de alarma (smtp, puerto, usuario y contraseña), así como las direcciones de e-mail a las que queremos que sea enviado. No debemos olvidar activar el servicio señalando la opción Send E-mail on Alert dentro del menú que reza Options.

Paso 5. Cambia el cifrado de la red WiFi
Partiendo de la base de que ningún sistema es seguro al 100%, sí que es cierto que, con herramientas al alcance de todos y una simple consulta en nuestro buscador favorito, resulta muy sencillo crackear redes wireless con cifrado WEP. Por eso, el primer remedio que debemos poner en práctica para eliminar intrusos es aumentar la seguridad de nuestra red cambiando el sistema de cifrado. En principio, cualquier tipo de encriptación WPA (WiFi Protected Access) es más segura que WEP. WPA emplea un cifrado dinámico de la clave, lo que conlleva que la clave se está renovando constantemente. A su vez WPA2 es más seguro que WPA, ya que es la segunda generación de este tipo de encriptación. El inconveniente es que no todos los routers lo soportan, sobre todo si tienen algún tiempo.

Para cambiar el tipo de encriptación, nos dirigimos al panel de administración de nuestro router. En él, vamos a la sección de WiFi y, dentro de ésta, a seguridad. En nuestro caso, está dentro de Inalámbrico/Seguridad Inalámbrica. En el tipo de seguridad, si no los permite el router, le ponemos alguna modalidad de WPA2. Nosotros hemos elegido la WPA2 Personal con algoritmos TKIP+AES. Solo resta rellenar el campo de la clave WPA siguiendo algunas recomendaciones. Así, uno de los errores más comunes es tener una red con un tipo de encriptación segura, pero luego utilizar una clave muy sencilla, basada en palabras del diccionario, el nombre de una canción... Esto nos hace vulnerables a un ataque por términos de diccionario. Lo seguro es utilizar en la contraseña letras, en mayúsculas y minúsculas, números, y signos permitidos; además, cuanto más larga sea, en igualdad de condiciones, más difícil será de descifrar.


Son muchos los errores que podemos cometer a la hora de intentar hacer más segura nuestra red. Aquí vamos a enumerar algunos de ellos. La mayoría no hacen ningún mal por sí solo, pero sí que puede hacer que pensemos que estamos seguros, lo que conlleva que bajemos la guardia.

1 Ocultar el nombre de la red. Es decir, ocultar el SSID. Esta solución no sirve de nada ante ataques con herramientas específicas como Wifislax, pues lo primero que hacen es descubrir las redes ocultas. Lo que sí que es una buena idea es cambiar el nombre de la red que viene por defecto con el router por alguno completamente distinto y que no dé pistas sobre el modelo de enrutador y/o la compañía que suministra nuestro ADSL.

2 Dejar la misma contraseña de administración por defecto en el router. Estos dispositivos vienen con una contraseña de administración de fábrica. Si no la modificamos desde el primer momento, estamos dando carta blanca a los intrusos, ya que desde el panel de administración podrán realizar los cambios que consideren necesarios en nuestra red. En ocasiones, simplemente viendo la interfaz de inicio del router, se puede averiguar qué usuario y contraseña tiene por defecto haciendo una consulta en un buscador.


3 Filtrado MAC. Es muy común creer que por poner un filtrado de direcciones MAC en nuestro router vamos a poder controlar de un modo muy sencillo y seguro el acceso a nuestra red. En principio, una dirección MAC es un identificador único de cualquier dispositivo de red; en realidad, cualquiera puede consultar qué dispositivos, con sus respectivas direcciones MAC, están accediendo a una red y clonarlas en su ordenador.

4 Reducir el rango de IPs. Reducir el rango de IPs que se pueden conectar al router puede ser útil si solo tenemos un ordenador conectado a la red o si todos los dispositivos están conectados simultáneamente. Si no es así, el intruso puede hacerse con las direcciones que están permitidas y acceder a través de alguna de ellas cuando no esté en uso.

clicker2.gif
 
En el 95% de los casos, cambiando la contraseña por defecto tanto de la conexión wifi por una robusta con mayúsculas, minúsculas y símbolos, como de acceso a la configuración del router, modificando el nombre de la red además de filtrar por MAC, debería ser más que suficiente. Si eres muy tiquismiqui y sabes lo que estás haciendo, puedes intentar dar un rango de cobertura al router limitando el espacio alrededor del mismo desde donde se pueden conectar.
No obstante, controlando los cambios básicos, mucha mala suerte tienes que tener para q tengas un vecino cabezón con una distribución GNU/linux que te destripe tu red.
 
Si aún así, todavía te piratean la señal Wifi, o son los rusos o los chinos. Gran tutorial. Gracias. Seguiremos vuestros consejos.
 
Buen tutorial. Yo aportaria un programa más para saber cuanta gente (en realidad cuantos aparatos) están conectados a nuestra red Wifi. El programa es pequeñito, gratuito, muy sencillo y resultón. Echadle un vistazo, se llama 'WirelessNetworkWatcher', lo podeis descargar desde su propia web aqui : WirelessNetworkWatcher
 
Back
Top