Identificarse Crear Cuenta
Cargando
  1. Home
  2. Tutoriales
  3. Seguridad
  4. Montar un punto de acceso WiFi y espiar con Wireshark



Montar un punto de acceso WiFi y espiar con Wireshark

Te demostramos lo fácil que es que un atacante espíe tus datos en una red pública o compartida


jun 09 2016 12:21
Avanzado
jun 10 2016 10:17

¿Utilizas wifi pública o redes compartidas en los aeropuertos, centros comerciales, universidades, etc.? Entonces te interesará leer este artículo y descubrir que no es seguro su uso y que deberías evitarlas, o por lo menos no entrar en las páginas que requieran de tu usuario y contraseña.

 

Vamos a imaginar que estamos en el aeropuerto de Madrid, y compartimos nuestra red del móvil con el nombre Wifi – Aeropuerto Adolfo Suarez, y sin clave de acceso, "WiFi Gratis Aeropuerto". La opción para compartir tu red se encuentra dentro del apartado ajustes de tu móvil en conexiones (cada modelo variara).

 

 

Punto_Acceso_WIFI.jpg

 

 

Ahora conectamos nuestro PC a esa red y esperamos que la gente se conecte. Para "espiar" usaremos el programa Wireshark, que nos sirve para capturar los paquetes que pasan por la red (siempre que estén en el mismo segmento, en este caso lo van a estar ya que están en nuestra propia red).

 

Puedes aprender a fondo WireShark en este tutorial.

 

El programa lo puedes descargar desde el siguiente enlace.

 

 

Dentro de Wireshark podrás elegir la red donde capturar el tráfico, así que elegimos la red que hemos creado y le damos a empezar a capturar tráfico. El botón es el que puedes ver en la siguiente imagen (si no hay red señalada no saldrá activo):

 

 

wireshark2.jpg

 

 

Nota
El color y la colocación puede variar según la versión que uses.

 

Como podrás ver en la siguiente imagen tienes muchos paquetes capturados (depende del movimiento que haya en la red claro), así que habrá que aplicar filtros a Wireshark para encontrar el contenido deseado.

 

 

wireshark3(GRANDE).jpg
AMPLIAR

[color=#a9a9a9]Pulsa imagen para ampliarla[/color]

 

 

Hemos hecho una prueba controlada entre nosotros, entramos en una página web sin https, metemos nuestro usuario que es Testing y la contraseña es de las más fuertes 1234. Vamos a buscar cómo se vería el contenido, filtrando el tráfico HTTP con peticiones POST, para ello ponemos:

http.request.method == POST
En la imagen podemos apreciar que existen varios paquetes, si los observamos bien, tenemos un paquete enviado a la url de login, si buscamos encontraremos la contraseña.

 

 

wireshark5.jpg

 

 

wireshark6.jpg

 

 

Podíamos llegar al paquete también a través del siguiente filtro:

http contains login
Podemos filtrar por más protocolos, no solo de la capa de aplicación como http, podemos combinar filtros con el and (&&) o el or (||), el and nos mostrará paquetes que cumplan todas las condiciones y el or con que cumpla una de las que le demos nos filtrará el paquete, algunos ejemplos:
tcp contains web
http ​contains web && http.request.method == POST
http contains web || http.request.method == POST
smtp.req.command == AUTH
El último de los ejemplos anteriores nos sirve para buscar credenciales en el protocolo SMTP.

 

Este tutorial no está dirigido a incitarte a obtener datos personales de otras personas, se explica para que te des cuenta de lo fácil que pueden espiarte, robar tus credenciales, etc. Siempre que te registres o hagas login en una página comprueba que use https, ya que si usa http los nombres de usuario y contraseñas van en claro. En las siguientes imágenes puedes ver la diferencia en la URL al usar http o https.

 

 

solvetic_http.jpg

 

 

solvetic_https.jpg

 

 

¿Lo qué se envía a través de https es totalmente seguro?
No, algunas capturas de paquetes de tráfico https son descifrables, pero complicas el trabajo a un atacante que quiera robar tus datos. Además existe un programa para Linux llamado SSLStrip,que remplaza todas las peticiones https por peticiones http, aunque será necesario realizar un Man in the Middle a la conexión entre víctima y servidor, esto queda fuera del alcance de este tutorial.


¿Te ayudó este Tutorial?


6 Comentarios


Cesar Marquez
jun 11 2016 12:41

Gracias Josué!!! me ha encantado esta práctica mostrada de forma clara y entretenida.

Te sigo. saludos.


manu
jun 14 2016 10:47

Está muy bien. Pero si alguien escribe un usuario y contraseña en https no es posible verlo verdad?? hay algo para esto??


Josué
jun 14 2016 12:54

Está muy bien. Pero si alguien escribe un usuario y contraseña en https no es posible verlo verdad?? hay algo para esto??

 

Sí, es posible que alguien te descifre el tráfico https,  no siempre se podrá descifrar, dependerá del algoritmo de cifrado, servidor, navegador, vulnerabilidades, etc. Aunque también existen herramientas también que te convierten el tráfico https en http (por ejemplo la que pongo en el tutorial SSL Strip). Pero bueno al final es más difícil que te roben datos.


Valerio Cabanillas
jun 15 2016 09:06

Muy bueno, gracias.


Anonimo Lolo
jun 26 2016 17:04
voy a mirarme ssl strip a ver q se puede hacer ^^

cesaraugustofc
jul 11 2016 01:34

Execelente post. Soy nuevo en seguridad de redes.

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X
Identificarse

Formulario para iniciar sesión, si necesitas una cuenta Regístrate!

  He olvidado mi contraseña
IDENTIFICARSE
  Realizar Pregunta
¿Sigues sin solución a tu pregunta? Realiza una nueva: Crear Pregunta