El vecino que se conectaba a mi red wifi.

En ocasiones a más de uno le habrá pasado que alguien se ha conectado a su red wifi. Si bien no es fácil detectar "a simple vista" quién se ha conectado a nuestra red wifi (el síntoma único es que nuestra velocidad de conexión baja considerablemente, y eso tiene otras múltiples posibles causas [que alguien que esté conectado de manera legítima a nuestra red esté descargando películas o escuchando música por streamming, por ejemplo]), se puede averiguar de forma fehaciente. Para ello necesitaremos simplemente tres programas:




  1. SoftPerfect WifiGuard (http://www.softperfect.com/products/wifiguard/): Este programa nos permitirá saber si hay algún ordenador desconocido conectado a nuestra red wifi.

  2. Wireshark (http://www.wireshark.org/): Este programa nos permitirá analizar el tráfico de red que proviene o que va hasta la dirección IP del ordenador desconocido conectado a nuestra red wifi. Adicionalmente también nos permite averiguar su actividad en nuestra red.

  3. Nmap (http://nmap.org/): Nmap es el escáner de red por excelencia, y nos permitirá obtener información muy detallada acerca del ordenador desconocido conectado a nuestra red wifi.


Detectando al intruso.

Como el único síntoma que tiene el que alguien se conecte a nuestra red wifi es la disminución de la velocidad de nuestra conexión, y dado que eso puede deberse a otras múltiples causas, lo primero que debemos de hacer cuando notemos que nuestra velocidad de conexión ha bajado considerable y repentinamente es comprobar que la causa no sea ninguna otra, como por ejemplo, que alguien de nuestra familia esté viendo una película por streamming (es decir, a través de Internet).

Una vez comprobado que la causa de ésa lentitud no es ninguna otra entonces es que efectivamente tenemos un intruso en nuestra red wifi. El problema de que alguien se conecte a nuestra red wifi sin nuestro conocimiento ni consentimiento es el uso que le puede dar, que va desde algo tan inocente como ver su correo electrónico a algo mucho más serio como es el realizar cualquier tipo de delito informático, en cuyo caso la primera parada de la Policía va a ser nuestra casa.

Es por ello por lo que lo más prudente (y más inteligente) que podemos hacer es expulsar al intruso de nuestra red. Lo primero que dedemos de hacer en este caso es ejecutar el programa SoftPerfect Wifi Guard, el cual nos mostrará todos los dispositivos (ordenadores, smartphones, tablets, etc.) que estén conectados a nuestra red y los identificará con dos círculos de colores: círculo verde para los dispositivos conocidos y círculo rojo para los dispositivos desconocidos (la primera vez que lo ejecutemos solamente nos marcará como conocidos el ordenador en el que lo hayamos instalado y nuestro router, tendremos que ser nosotros los que le indiquemos el resto de dispositivos conocidos).

[caption id="attachment_163" align="aligncenter" width="300"]¡¡¡Intruso detectado!!! Pues se va a enterar... ¡¡¡Intruso detectado!!! Pues se va a enterar...[/caption]

Una vez detectado el intruso apuntamos su dirección IP y su dirección MAC. Ahora cerramos SoftPerfect Wifi Guard, ya que no nos va a volver a hacer falta, y ejecutamos el programa Nmap para obtener una información más detallada acerca de nuestro intruso (puertos que tiene abiertos y servicios que están corriendo en ellos, sistema operativo, tipo de dispositivo del que se trata, etc.). Lo podemos hacer de dos formas: haciendo doble clic sobre el icono de Nmap o a través de consola (Windows) / terminal (Linux); lo hacemos de la forma que más nos guste y lo configuramos para que muestre la información de la forma más detallada posible, mostrándonos además el sistema operativo del ordenador de nuestro intruso; y para que realice un escaneo a todos los puertos TCP y UDP del intruso sin hacer ping (esto es muy importante, ya que de esta manera no haremos "ruido" en la red; lo que nos hará indetectables).

detección_intrusos_wifi1

detección_intrusos_wifi2

Guardamos esta información en un archivo de texto y lo cerramos. Por último ejecutamos el programa Wireshark para extraer toda la información de qué es lo que ha hecho el intruso en nuestra red (páginas web que ha visitado, franja horaria en la que ha habido mayor tráfico desde o hacia su dirección IP, etc.) y lo configuramos en modo de captura promíscuo para nuestro adaptador wifi, dejándolo capturando paquetes durante algún tiempo (con 30 minutos es suficiente), configurando además alguno de los múltiples filtros de Wireshark para que capture sólo el tráfico de la dirección IP que nos interesa; el cual podremos afinar un poco más después. Para ver esa información simplemente tendremos que escoger un paquete de los que hayamos capturado y reconstruirlo (para hacerlo más cómodamente podemos guardar todo el tráfico capturado en un fichero, de forma tal que podremos analizarlo en cualquier otro momento en caso de que tengamos alguna otra cosa que hacer).

detección_intrusos_wifi3

detección_intrusos_wifi4

detección_intrusos_wifi5

detección_intrusos_wifi6

detección_intrusos_wifi7

[caption id="attachment_171" align="aligncenter" width="300"]Franja horaria en la que el intruso ha tenido más tráfico. Franja horaria en la que el intruso ha tenido más tráfico.[/caption]

 

detección_intrusos_wifi9

 


Echando al intruso de nuestra red.


Ahora lo único que nos queda es echar al intruso de nuestra red wifi (en caso, obviamente, de que sólo haya hecho algo inocente; en caso contrario lo que debemos de hacer es poner una denuncia ante la Policía lo antes posible aportando toda la información que hemos obtenido), para lo cual simplemente tendremos que introducir su dirección IP en la lista de acceso denegado de nuestro router. De esta manera el intruso no podrá volverse a conectarse a nuestra red.

Comentarios

  1. Análisis de malware con Whireshark. | El rincón de la seguridad informática.1 de febrero de 2015, 9:08

    […] programa del que ya hablamos en El vecino que se conectaba a mi red wifi y en Kali linux, una distro Linux orientada a la seguridad informática, es un analizador del […]

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

¿Mujeres hermosas de Europa del Este que se enamoran de tí rapidísimamente por Internet? Eso no es amor... son scammers.

¿Has recibido un correo electrónico de una chica guapísima de Europa del Este que dice que está interesadisima en conocerte? ¿La chica en cuestión se ha enamorado de ti rapidísimamente? ¿O quizás has recibido uno en el que aparece el link de una página de contactos donde puedes conocer a chicas hermosas del Este de Europa? Si es así y piensas que has triunfado, que hoy es tu día de suerte... estás muy equivocado. Este tipo de correos electrónicos, llamados scam , constituyen uno de los tipos de fraude online más extendidos en la actualidad; y a las personas que están detrás de ellos se les da el nombre de scammers . Los scammers se hacen pasar por chicas rusas, por lo general muy, pero muy atractivas, envian correos electrónicos indiscriminadamente diciendo "me gusta tu perfil, quiero algo serio contigo, me gustaría conocerte, ando buscando un amor real y puro, blablabla", estos correos nos llegan desde las redes sociales que podemos estar inscritos (facebook, hi5, tagged, m
Leer más

Anatomía de un ataque informático.

Imagen
Existen dos tipos de ataques informáticos: ataques a sistemas y ataques de red. Los ataques a sistemas presentan la siguiente estructura: Fase 1: Búsqueda de información acerca de la víctima. Esta fase es la más sencilla de realizar, y también la más crucial. Se realiza consultando toda la información referente al nombre de dominio de nuestra víctima en alguna de las bases de datos existentes en Internet ( Whois , etc.) o en la página nic del país al que pertenezca nuestra víctima (una página nic es una página donde cada país registra los dominios registrados en él); en el caso de España, ésta página sería http://www.nic.es. En Linux se emplea el comando whois seguido del nombre de d ominio. Ejemplo: whois dominiointeresante.es . Fase 2: Búsqueda de un vector de ataque. Esta fase es la más larga y más tediosa. Consiste en obtener más información acerca de nuestra víctima partiendo de la información obtenida en la 1ª fase. En esta fase se utilizan diversas técnicas: transferencia
Leer más

¿Qué es un ataque Man in the Browser (MiTB)?

Un ataque Man in The Browser o MiTB es un tipo de ataque informático derivado del ataque Man In The Midle o MITM y que está orientado al robo de datos bancarios.  Un ataque Man in The Browser se produce cuando un código malicioso infecta un navegador web. El código modifica las acciones que realiza el usuario del ordenador y, en algunos casos, es capaz de iniciar acciones independientemente de éste. Cuando un usuario entra en su cuenta bancaria, basta con que utilice un navegador infectado para que se pongan en marcha acciones ilícitas que den lugar a un robo online. http://www.youtube.com/watch?v=cm0wqPUv6mQ ¿Cuál es el riesgo inherente a los ataques MiTB? Los ataques Man-in-the-Browser son especialmente difíciles de detectar y, en muchos casos, logran provocar daños de forma totalmente insospechada. Éstas son algunas de las formas en que se producen los ataques MITB y una explicación de por qué plantean un riesgo tan alto. Los ordenadores se infectan fácilmente: La forma más habi
Leer más