Cargando

Ir a contenido


 


Montar un punto de acceso WiFi y espiar con Wireshark

Te demostramos lo fácil que es que un atacante espíe tus datos en una red pública o compartida


Escrito por el jun 09 2016 11:21 wifi wireshark


¿Utilizas wifi pública o redes compartidas en los aeropuertos, centros comerciales, universidades, etc.? Entonces te interesará leer este artículo y descubrir que no es seguro su uso y que deberías evitarlas, o por lo menos no entrar en las páginas que requieran de tu usuario y contraseña.

 

Vamos a imaginar que estamos en el aeropuerto de Madrid, y compartimos nuestra red del móvil con el nombre Wifi – Aeropuerto Adolfo Suarez, y sin clave de acceso, "WiFi Gratis Aeropuerto". La opción para compartir tu red se encuentra dentro del apartado ajustes de tu móvil en conexiones (cada modelo variara).

 

 

 

 

Ahora conectamos nuestro PC a esa red y esperamos que la gente se conecte. Para "espiar" usaremos el programa Wireshark, que nos sirve para capturar los paquetes que pasan por la red (siempre que estén en el mismo segmento, en este caso lo van a estar ya que están en nuestra propia red).

 

Puedes aprender a fondo WireShark en este tutorial.

 

El programa lo puedes descargar desde el siguiente enlace.

 

 

Dentro de Wireshark podrás elegir la red donde capturar el tráfico, así que elegimos la red que hemos creado y le damos a empezar a capturar tráfico. El botón es el que puedes ver en la siguiente imagen (si no hay red señalada no saldrá activo):

 

 

 

 

Nota
El color y la colocación puede variar según la versión que uses.

 

Como podrás ver en la siguiente imagen tienes muchos paquetes capturados (depende del movimiento que haya en la red claro), así que habrá que aplicar filtros a Wireshark para encontrar el contenido deseado.

 

 

Pulsa imagen para ampliarla

 

 

Hemos hecho una prueba controlada entre nosotros, entramos en una página web sin https, metemos nuestro usuario que es Testing y la contraseña es de las más fuertes 1234. Vamos a buscar cómo se vería el contenido, filtrando el tráfico HTTP con peticiones POST, para ello ponemos:

http.request.method == POST
En la imagen podemos apreciar que existen varios paquetes, si los observamos bien, tenemos un paquete enviado a la url de login, si buscamos encontraremos la contraseña.

 

 

 

 

 

 

Podíamos llegar al paquete también a través del siguiente filtro:

http contains login
Podemos filtrar por más protocolos, no solo de la capa de aplicación como http, podemos combinar filtros con el and (&&) o el or (||), el and nos mostrará paquetes que cumplan todas las condiciones y el or con que cumpla una de las que le demos nos filtrará el paquete, algunos ejemplos:
tcp contains web
http ​contains web && http.request.method == POST
http contains web || http.request.method == POST
smtp.req.command == AUTH
El último de los ejemplos anteriores nos sirve para buscar credenciales en el protocolo SMTP.

 

Este tutorial no está dirigido a incitarte a obtener datos personales de otras personas, se explica para que te des cuenta de lo fácil que pueden espiarte, robar tus credenciales, etc. Siempre que te registres o hagas login en una página comprueba que use https, ya que si usa http los nombres de usuario y contraseñas van en claro. En las siguientes imágenes puedes ver la diferencia en la URL al usar http o https.

 

 

 

 

 

 

¿Lo qué se envía a través de https es totalmente seguro?
No, algunas capturas de paquetes de tráfico https son descifrables, pero complicas el trabajo a un atacante que quiera robar tus datos. Además existe un programa para Linux llamado SSLStrip,que remplaza todas las peticiones https por peticiones http, aunque será necesario realizar un Man in the Middle a la conexión entre víctima y servidor, esto queda fuera del alcance de este tutorial.

¿Te ha gustado y ayudado este Tutorial?
Puedes premiar al autor pulsando este botón para darle un punto positivo
  • -
  • 0
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado jun 09 2016 11:21
  •   Actualizado jun 10 2016 09:17
  •   Visitas 23.6K
  •   Nivel
    Avanzado



Tutoriales Relacionados


6 Comentarios


Cesar Marquez
jun 11 2016 11:41

Gracias Josué!!! me ha encantado esta práctica mostrada de forma clara y entretenida.

Te sigo. saludos.

Está muy bien. Pero si alguien escribe un usuario y contraseña en https no es posible verlo verdad?? hay algo para esto??

Está muy bien. Pero si alguien escribe un usuario y contraseña en https no es posible verlo verdad?? hay algo para esto??

 

Sí, es posible que alguien te descifre el tráfico https,  no siempre se podrá descifrar, dependerá del algoritmo de cifrado, servidor, navegador, vulnerabilidades, etc. Aunque también existen herramientas también que te convierten el tráfico https en http (por ejemplo la que pongo en el tutorial SSL Strip). Pero bueno al final es más difícil que te roben datos.


Valerio Cabanillas
jun 15 2016 08:06

Muy bueno, gracias.


Anonimo Lolo
jun 26 2016 16:04
voy a mirarme ssl strip a ver q se puede hacer ^^

cesaraugustofc
jul 11 2016 00:34

Execelente post. Soy nuevo en seguridad de redes.

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
Demuestra que eres experto!
  ESCRIBIR TUTORIAL
Suscribirse