Tema 23

23. Seguridad de redes inalámbricas: WPA, rogue AP, evil twin y auditoría Wi-Fi

Las redes Wi-Fi extienden la superficie de ataque más allá del cableado. Una auditoría inalámbrica autorizada evalúa cifrado, autenticación, segmentación, cobertura, puntos de acceso no autorizados y riesgos de suplantación.

Objetivo Evaluar seguridad Wi-Fi dentro de un alcance físico
Enfoque Cifrado, autenticación, segmentación y suplantación
Resultado Reducir riesgos de acceso inalámbrico no autorizado

23.1 Introducción

Wi-Fi permite movilidad y acceso flexible, pero también expone la red a un medio compartido. La señal puede atravesar paredes, alcanzar espacios públicos y ser observada por dispositivos cercanos.

Una auditoría Wi-Fi no se limita a comprobar si existe contraseña. Debe revisar autenticación, cifrado, configuración de access points, redes invitadas, segmentación, rogue AP, evil twin, cobertura y monitoreo.

Por su naturaleza física, una prueba inalámbrica requiere alcance geográfico claro, autorización explícita y cuidado para no afectar redes de terceros cercanas.

23.2 Alcance en auditorías Wi-Fi

El alcance inalámbrico debe definir qué SSID, ubicaciones, horarios y técnicas están permitidas. También debe indicar qué queda fuera, especialmente redes vecinas o dispositivos de terceros.

  • SSID autorizados.
  • Ubicación física de la prueba.
  • Ventanas horarias.
  • Canales y bandas esperadas.
  • Técnicas permitidas y prohibidas.
  • Contactos de emergencia.
  • Restricciones sobre desautenticación, evil twin o ingeniería social.
En Wi-Fi, estar dentro del alcance técnico de la señal no significa estar dentro del alcance autorizado de la prueba.

23.3 Conceptos básicos de Wi-Fi

Concepto Descripción Interés para auditoría
SSID Nombre visible o lógico de la red Identifica redes autorizadas y falsas
BSSID Dirección MAC del access point Distingue APs reales de suplantaciones
Canal Frecuencia usada por la red Ayuda a mapear cobertura e interferencia
Banda 2.4 GHz, 5 GHz o 6 GHz Afecta alcance, rendimiento y exposición
Cliente Dispositivo conectado o buscando red Puede revelar riesgos de configuración

23.4 WPA, WPA2 y WPA3

WPA reemplazó a WEP, que hoy debe considerarse inseguro. WPA2 sigue siendo común y WPA3 mejora varios aspectos, especialmente con SAE en redes personales y mejoras en protección de autenticación.

  • WEP: obsoleto e inseguro.
  • WPA: transición histórica, no recomendado.
  • WPA2-Personal: usa clave precompartida.
  • WPA2-Enterprise: usa 802.1X y servidor de autenticación.
  • WPA3-Personal: mejora el intercambio con SAE.
  • WPA3-Enterprise: fortalece seguridad en entornos corporativos.

23.5 WPA Personal y claves precompartidas

En redes personales o pequeñas, WPA2/WPA3-Personal usa una clave compartida. El riesgo principal es que todos los usuarios conocen la misma clave y su fortaleza depende de la calidad de esa contraseña.

Riesgos comunes:

  • Contraseñas cortas o predecibles.
  • Clave compartida entre empleados, invitados y terceros.
  • No rotar la clave después de salidas o incidentes.
  • Uso de la misma clave en sedes o redes distintas.
  • Exposición de la clave en carteles, chats o documentación.
En entornos corporativos, WPA-Enterprise suele ser preferible porque permite identidad individual, revocación y control centralizado.

23.6 WPA Enterprise y 802.1X

WPA-Enterprise utiliza 802.1X y normalmente RADIUS para autenticar usuarios o dispositivos. Permite credenciales individuales, certificados y políticas más finas.

  • Validar identidad del servidor RADIUS.
  • Usar certificados correctamente configurados.
  • Evitar que clientes acepten cualquier certificado.
  • Aplicar MFA o certificados de dispositivo cuando corresponda.
  • Revocar accesos por usuario sin cambiar la clave de toda la red.
  • Registrar autenticaciones y fallos.

23.7 Rogue AP

Un rogue AP es un punto de acceso no autorizado conectado o asociado a la infraestructura. Puede ser instalado por error, por comodidad o con intención maliciosa.

Riesgos:

  • Puente inseguro hacia la red interna.
  • Cifrado débil o inexistente.
  • Bypass de controles corporativos.
  • Captura de tráfico de usuarios.
  • Confusión con redes legítimas.

23.8 Evil twin

Un evil twin es un punto de acceso falso que imita una red legítima para inducir a usuarios o dispositivos a conectarse. Su objetivo puede ser capturar credenciales, interceptar tráfico o engañar al usuario.

En una auditoría, este tipo de prueba requiere autorización específica porque puede afectar usuarios y credenciales.

Riesgo Señal Mitigación
Suplantación de SSID Nombre igual con BSSID distinto Validar certificados y usar WPA-Enterprise correctamente
Captura de credenciales Portal falso o autenticación débil Concientización y controles técnicos
Conexión automática Dispositivos se asocian sin validar Perfiles gestionados y validación de servidor
Intercepción Tráfico pasando por AP falso HTTPS, VPN y detección de rogue AP

23.9 Desautenticación y pruebas disruptivas

Algunas pruebas inalámbricas implican desautenticación o interferencia con clientes. Estas técnicas pueden interrumpir conectividad, afectar operaciones o impactar redes cercanas.

  • Ejecutarlas solo con autorización explícita.
  • Definir horario y área de prueba.
  • Limitar duración e intensidad.
  • Evitar redes de terceros.
  • Tener contacto de emergencia.
  • Documentar impacto observado.
Una auditoría Wi-Fi responsable no debe degradar conectividad de usuarios sin aprobación y coordinación.

23.10 Redes de invitados

La red de invitados debe ofrecer internet sin acceso innecesario a recursos internos. Es una de las áreas más importantes de validación.

  • Aislamiento entre invitados.
  • Bloqueo de acceso a redes internas.
  • Portal cautivo configurado correctamente.
  • Caducidad de credenciales temporales.
  • Segmentación mediante VLAN o políticas.
  • Monitoreo de abuso o tráfico anómalo.

23.11 Segmentación inalámbrica

No todas las redes Wi-Fi deben tener el mismo acceso. Usuarios corporativos, invitados, IoT, proveedores y dispositivos críticos deberían estar separados.

Red Acceso esperado Riesgo si falla
Corporativa Recursos internos según identidad Acceso excesivo si no hay control por usuario
Invitados Solo internet Entrada directa a red interna
IoT Servicios específicos Dispositivos débiles como pivote
Proveedores Acceso limitado y temporal Persistencia de terceros
Administración Solo equipos autorizados Control de infraestructura desde Wi-Fi

23.12 Ocultar SSID

Ocultar el SSID no debe considerarse un control de seguridad fuerte. Los dispositivos pueden seguir revelando el nombre al intentar conectarse, y la red puede detectarse por otros medios.

Problemas comunes:

  • Falsa sensación de seguridad.
  • Dispositivos buscando activamente la red.
  • Administración más compleja.
  • No reemplaza cifrado ni autenticación fuerte.

23.13 Filtrado MAC

El filtrado MAC puede limitar conexiones casuales, pero no debe ser control principal. Las direcciones MAC pueden observarse y suplantarse.

  • Puede servir como capa administrativa adicional.
  • No reemplaza WPA2/WPA3 ni 802.1X.
  • Es difícil de mantener a escala.
  • No protege si la clave compartida es débil.
  • Debe complementarse con monitoreo y segmentación.

23.14 WPS

WPS fue diseñado para facilitar conexión, pero históricamente introdujo riesgos. En redes corporativas y entornos sensibles debería estar deshabilitado.

  • Verificar si WPS está activo.
  • Revisar si aplica a redes autorizadas.
  • Confirmar configuración en todos los AP.
  • Recomendar deshabilitación si no hay necesidad justificada.

23.15 Cobertura y fuga de señal

La cobertura excesiva puede exponer la red fuera de las instalaciones. Una auditoría puede mapear intensidad de señal y zonas desde donde se detectan SSID corporativos.

  • Medir señal en áreas internas y externas autorizadas.
  • Identificar cobertura en estacionamientos o espacios públicos.
  • Ajustar potencia de transmisión si corresponde.
  • Revisar ubicación física de AP.
  • Relacionar cobertura con riesgo de ataque cercano.

23.16 Monitoreo inalámbrico

Las redes Wi-Fi deben monitorearse para detectar rogue AP, cambios de configuración, clientes sospechosos y eventos anómalos.

Evento Riesgo Respuesta esperada
AP no autorizado Entrada no controlada a la red Investigar ubicación y desconectar
SSID duplicado Posible evil twin Validar BSSID, ubicación y certificados
Muchos fallos de autenticación Intentos de acceso o configuración incorrecta Alertar y correlacionar
Cliente en red incorrecta Segmentación o perfiles mal aplicados Revisar políticas y MDM

23.17 Dispositivos cliente

La seguridad Wi-Fi también depende de los clientes. Un dispositivo mal configurado puede conectarse a redes falsas o exponer información sobre redes conocidas.

  • Perfiles Wi-Fi gestionados por MDM.
  • Validación de certificado en WPA-Enterprise.
  • Desactivar conexión automática a redes inseguras.
  • Eliminar redes antiguas o innecesarias.
  • Aplicar VPN o controles adicionales fuera de redes confiables.

23.18 Evidencia en auditorías Wi-Fi

La evidencia debe demostrar configuración, exposición o riesgo sin capturar tráfico sensible de terceros.

  • SSID, BSSID, canal y cifrado observado.
  • Ubicación y fecha de observación.
  • Capturas de configuración autorizada.
  • Mapa de cobertura o intensidad de señal.
  • Prueba de segmentación de red invitada.
  • Evidencia de AP no autorizado, si corresponde.
  • Resultados enmascarados de pruebas de autenticación.
No es necesario capturar contenido de usuarios para demostrar que una red está mal segmentada o usa cifrado débil.

23.19 Remediación

Las correcciones deben fortalecer autenticación, segmentación y monitoreo.

  • Usar WPA3 o WPA2 robusto según compatibilidad.
  • Preferir WPA-Enterprise en entornos corporativos.
  • Deshabilitar WEP, WPA antiguo y WPS.
  • Separar redes corporativas, invitadas, IoT y administración.
  • Validar certificados en clientes 802.1X.
  • Rotar claves precompartidas cuando sea necesario.
  • Monitorear rogue AP y evil twin.
  • Ajustar cobertura y potencia de AP.

23.20 Errores frecuentes

  • Auditar redes vecinas por estar visibles.
  • Ejecutar desautenticación sin autorización explícita.
  • Considerar SSID oculto como control fuerte.
  • Confiar en filtrado MAC como defensa principal.
  • Usar clave compartida corporativa sin rotación.
  • No validar segmentación de red invitada.
  • No revisar certificados en WPA-Enterprise.
  • No documentar ubicación física de hallazgos.

23.21 Flujo práctico de auditoría Wi-Fi

Un flujo responsable puede ser:

  1. Confirmar SSID, ubicaciones, horarios y técnicas autorizadas.
  2. Identificar redes visibles y separar autorizadas de terceros.
  3. Registrar cifrado, BSSID, canales y cobertura.
  4. Validar WPA/WPA2/WPA3 y configuración enterprise si aplica.
  5. Revisar WPS, SSID oculto y filtrado MAC.
  6. Probar segmentación de red invitada con bajo impacto.
  7. Buscar rogue AP y SSID sospechosos.
  8. Evaluar riesgos de evil twin solo si está autorizado.
  9. Documentar evidencia sin capturar datos sensibles.
  10. Recomendar mejoras de autenticación, segmentación y monitoreo.

23.22 Qué debes recordar de este tema

  • Wi-Fi requiere alcance físico y técnico claramente autorizado.
  • WPA-Enterprise ofrece mejor control corporativo que claves compartidas.
  • Rogue AP y evil twin son riesgos distintos, pero ambos afectan confianza inalámbrica.
  • La red de invitados debe estar aislada de recursos internos.
  • Ocultar SSID y filtrar MAC no son controles fuertes por sí solos.
  • La evidencia debe evitar capturar tráfico o datos de terceros.

23.23 Conclusión

La seguridad Wi-Fi combina cifrado, autenticación, segmentación, configuración de clientes, monitoreo y control físico de cobertura. Una auditoría responsable permite detectar accesos no autorizados, configuraciones débiles y exposición innecesaria.

En el próximo tema veremos pentesting de APIs REST, GraphQL y servicios expuestos, donde el foco estará en objetos, autorización, tokens, endpoints y abuso de lógica de backend.

Volver al índice