Así podrían espiarte si estás conectado a una red Wi-Fi pública suplantándola

Share this…

Estamos seguros que en muchas ocasiones os habéis conectado a una red Wi-Fi pública, y habéis navegado por Internet creyendo que todo el tráfico estará protegido gracias al uso de HTTPS. Existen ciertas técnicas para crear redes Wi-Fi “falsas”. Es decir, nos conectamos a la red y podemos acceder sin problemas a Internet, pero el problema surge cuando alguien está sniffando los paquetes que se envían y reciben a través de ese router. Hoy en RedesZone os vamos a hacer una demostración de lo fácil que es hacer esto, y cómo poder evitarlo para mantener tu seguridad y privacidad a salvo.

Para poder espiar una red Wi-Fi pública, lo primero que vamos a necesitar son dos tarjetas de red conectadas a un ordenador, de manera que una sirva de punto de acceso para que las víctimas se conecten, esta tarjeta de red debe ser obligatoriamente Wi-Fi. La otra tarjeta de red es para conectarnos nosotros a Internet, y puede ser tanto Wi-Fi como por cable, lo importante es que esta segunda tarjeta de red tenga la conexión a Internet. De esta forma, esta persona desde el ordenador podría estar viendo todos nuestros inicios de sesión, en qué páginas navegamos y lo peor de todo, que nos haga usar DNS modificados.

Cuando realizamos una búsqueda en internet normalmente ponemos una dirección como puede ser www.redeszone.net. Sin embargo, nuestro ordenador tiene que saber a qué servidor web se tiene que dirigir cuando realizamos esa búsqueda. Para ello existe el DNS que hace ese trabajo por nosotros transformando internamente el nombre del host (hostname) por una dirección IP, para que cuando nuestros paquetes de datos salgan a Internet sepan hacia dónde ir.www.redeszone.net. Sin embargo, nuestro ordenador tiene que saber a qué servidor web se tiene que dirigir cuando realizamos esa búsqueda. Para ello existe el DNS que hace ese trabajo por nosotros transformando internamente el nombre del host (hostname) por una dirección IP, para que cuando nuestros paquetes de datos salgan a Internet sepan hacia dónde ir.

Si esa persona que está capturando nuestros paquetes, cambia por ejemplo la IP asociada al dominio de www.google.es por otra, como por ejemplo, la IP local de la puerta de enlace predeterminada (192.168.0.1), entonces al escribir www.google.es, en vez lugar de estar accediendo al servidor web de Google, estaríamos accediendo a un servidor web alojado en su ordenador y en el que el atacante podría haber configurado una página con apariencia igual a la de Google. Una vez en esta página cualquier persona podría iniciar sesión y todos esos datos de inicio de sesión serían enviados al atacante. Por lo tanto, podría acceder a nuestro correo y otras cuentas vinculadas.www.google.es por otra, como por ejemplo, la IP local de la puerta de enlace predeterminada (192.168.0.1), entonces al escribir www.google.es, en vez lugar de estar accediendo al servidor web de Google, estaríamos accediendo a un servidor web alojado en su ordenador y en el que el atacante podría haber configurado una página con apariencia igual a la de Google. Una vez en esta página cualquier persona podría iniciar sesión y todos esos datos de inicio de sesión serían enviados al atacante. Por lo tanto, podría acceder a nuestro correo y otras cuentas vinculadas.

Además de realizar Phishing, también podrían ver las imágenes que estamos buscando, capturar paquetes IMAP, POP3 y SMTP que son los más utilizados para el envío y recibo de correos electrónicos. O por ejemplo utilizar SSLStrip para eliminar la seguridad SSL de páginas web y poder recibir directamente los datos de login de la gente que esté navegando en esas páginas a través de nuestro punto de acceso.

Desde hace unos años los buscadores han implementado métodos para impedir el acceso de cualquier dispositivo que bloquee la entrada de datos por el puerto 443 (SSL) impidiendo que estos accedan a las páginas web sin ese protocolo activado. Aún así, a día de hoy existen páginas web que no tienen implementado ningún certificado SSL.

La herramienta que va a ser utilizada en el vídeo de demostración es Wifi-Pumpkin. Este es un script diseñado para la distribución Kali Linux. Usaremos como tarjeta de red proveedora de la conexión a Internet un teléfono móvil conectado por USB al ordenador. Y utilizaremos la propia tarjeta de red del ordenador como punto de acceso para las víctimas. Por último, el ordenador desde el que vamos a conectarnos será un Mac. En él, al entrar a cualquier dirección web estaremos accediendo al servidor web que hemos configurado como atacantes.

¿Cómo podemos navegar seguros en una red Wi-Fi pública?

Lo primero que tenemos que comprobar al acceder a una red pública es que las páginas web que normalmente tienen seguridad SSL, la sigan teniendo. Lo segundo sería comprobar que la conexión no sea excesivamente lenta, ya que, si lo es, es muy probable que un atacante esté redirigiendo todo el tráfico. Por supuesto, el uso de VPN o algún método de tunneling con todo el tráfico cifrado se hace indispensable, como por ejemplo SSH Tunneling.

Fuente:https://www.redeszone.net/2018/02/24/asi-podrian-espiarte-estas-conectado-una-red-wi-fi-publica-suplantandola/