Hackear los portales Wi-Fi de invitados en los puntos de acceso Linksys

Durante años ha habido un fallo en la forma en que algunos puntos de acceso Linksys facilitan el acceso a los usuarios invitados. Un poco de investigación revela quejas de este método que se remontan a 2013, y aparentemente el problema aún no se ha solucionado en algunos puntos de acceso Linksys modernos.

Casi todos los puntos de acceso del mercado anuncian un SSID protegido por WPA2-PSK para que los usuarios invitados se conecten. El administrador configuraría la clave precompartida y la proporcionaría a los usuarios invitados. Los usuarios utilizarían entonces la clave precompartida para autenticarse en el punto de acceso, un proceso que todos conocemos. La ventaja es obvia: toda la comunicación con el punto de acceso está cifrada, incluido el proceso de autenticación. (Bueno, al menos tan seguro como puede ser WPA2.)

Linksys, en algunos AP, ha optado por manejar esto de forma un poco diferente. En lugar de proporcionar un SSID con cifrado WPA2-PSK, el AP anuncia un SSID abierto y sin cifrar. Cuando los usuarios se conectan a este SSID, se les ofrece un portal de inicio de sesión para proporcionar una contraseña, que es una clave precompartida que se comparte entre todos los usuarios. El problema de esta implementación es que el portal web utilizado para aceptar esta clave no está cifrado ni con WPA2-PSK (ya que el SSID está abierto y sin cifrar) ni con HTTPS.

Otros puntos de acceso, incluidos los puntos de acceso proporcionados a los clientes de Comcast Xfinity, también ofrecen un SSID sin cifrar para proporcionar a los usuarios un portal web, pero al menos el portal está cifrado con SSL y no se transmiten contraseñas de texto plano a través del aire.

Espiando contraseñas sin cifrar en el aire

Nota: Si no estás familiarizado con el uso de los comandos airmon-ng y airodump-ng, puede que quieras revisar mi artículo anterior, que profundiza en la sintaxis de esas herramientas.

Como puedes imaginar, dado que la contraseña inalámbrica de los invitados se transmite por el aire sin cifrar, es muy fácil olfatear este tráfico y obtener acceso a Internet gratuito a través del portal de invitados. Los únicos requisitos de hardware y software incluyen un adaptador inalámbrico capaz de ponerse en modo monitor, y la suite de herramientas aircrack, que están disponibles por defecto en Kali Linux.

Desde Kali pondremos nuestro adaptador inalámbrico compatible en modo monitor.

airmon-ng start wlan0

A continuación, iniciaremos airodump para identificar nuestro SSID objetivo. Los datos importantes a recoger son el canal en el que está operando el punto de acceso, y el BSSID del SSID que se está anunciando. Esta información debería mostrarse en la pantalla de salida de airodump.

airodump-ng wlan0mon

Una vez que hemos reunido el canal y el BSSID si el SSID abierto, podemos empezar a olfatear el tráfico destinado a/desde ese SSID. Primero, querremos asegurarnos de que estamos en el directorio de trabajo de root en nuestra máquina Kali. Cuando comencemos a capturar datos con airodump, se crearán varios archivos, incluyendo un archivo de captura de paquetes que podemos analizar en Wireshark.

cd ~airodump-ng -c 6 --bssid DE:AD:BE:EF:00:00 -w LinksysCapture wlan0mon

En este comando el flag -c especifica el canal en el que está usando nuestro SSID objetivo, el flag -bssid especifica el BSSID del SSID que recogimos anteriormente, y el flag -w proporciona un nombre para nuestros archivos de salida.

Una vez ejecutado este comando seremos Abel para ver la salida de airodump para el SSID específico que especificamos. Bajo la columna STATION, podremos ver cuando una estación se conecta. Cuando una estación se conecta e introduce la contraseña inalámbrica de invitado, podremos utilizar Wireshark para exfiltrarla del archivo LinksysCapture-01.cap que airodump crea para nosotros.

Capturando la contraseña y evaluando con Wireshark

En este punto, es un juego de espera, ya que tendremos que esperar a que un usuario válido se conecte al SSID inseguro, e introduzca la contraseña de invitado. Una vez que un usuario se conecta, deberíamos poder ver su dirección MAC aparecer debajo de la columna STATION. El contador bajo la columna Frames se incrementa a medida que se comunican con el SSID y las tramas se pasan de un lado a otro.

Podemos tomar como instantánea del archivo mientras se captura abriendo un nuevo terminal y copiando el archivo .cap existente a otro archivo .cap. Por ejemplo:

cp LinksysCapture-01.cap cap.cap

Podemos usar esto para tomar una instantánea para evaluar en Wireshark mientras dejamos el escaneo inicial en marcha, por si acaso alguien se conectó pero no introdujo la contraseña correcta, o no intentó introducir una contraseña después de pensar que podría conseguir Internet gratis a través de un SSID abierto.

Abriremos la instantánea de nuestra salida, cap.cap, y utilizaremos un filtro de visualización en Wireshark, al que se puede acceder fácilmente escribiéndolo en la barra de filtros situada encima de la salida de la captura. Este filtro mostrará sólo las peticiones http POST, que es como la página web del portal de invitados proporciona los datos de la contraseña al AP de Linksys.

En la parte central de la ventana de Wireshark, si nos desplazamos hasta el fondo y expandimos el contenido de JavaScript Object Notation: application/json, podemos ver todos los objetos del objeto JSON, que incluye la dirección MAC del PC invitado, la dirección IP proporcionada por el AP y la contraseña del invitado en texto plano (que en esta captura es «password.»)

Conclusión

Si estás utilizando la función «Guest Access Portal» en un AP de Linksys que maneja los inicios de sesión de los invitados de esta manera, es posible que quieras considerar la posibilidad de reemplazar ese AP con un AP más seguro, o al menos deshabilitar la función si no quieres que la gente tenga un viaje gratis en tu conexión a Internet.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *