ofensiva
seguridad wifi
pentesting wireless
WPA2

Seguridad WiFi: guía de pentesting wireless (WPA2/WPA3)

Guía de pentesting WiFi: recon con airodump-ng, crackeo de handshake WPA2 y PMKID con hashcat, WPA3 SAE, WPS, evil twin y defensa con 802.1X y WIDS.

Secra6 de julio de 202610 min de lectura

La seguridad WiFi sigue siendo uno de los puntos ciegos más habituales en la superficie de ataque corporativa. Una red inalámbrica mal configurada expone credenciales, permite pivotar hacia la red interna y ofrece un vector de entrada físico que no requiere atravesar el firewall perimetral. Esta guía de pentesting wireless recorre la metodología completa de auditoría de una red 802.11: reconocimiento, ataques a WPA2 y WPA3, WPS, puntos de acceso falsos (rogue AP y evil twin), ataques al plano Enterprise (EAP y 802.1X) y las defensas que realmente reducen el riesgo.

Lo esencial sobre pentesting wireless

  • La superficie de ataque 802.11 incluye tramas de gestión sin cifrar, el handshake de autenticación, WPS, la configuración del AP y el plano RADIUS/EAP.
  • Contra WPA2-PSK se captura el handshake de 4 vías o el PMKID y se crackea offline con hashcat (modo 22000).
  • WPA3-SAE elimina el crackeo offline clásico, pero abre nuevos vectores: downgrade en modo transición y los canales laterales de Dragonblood.
  • El evil twin y el rogue AP no son un truco puntual, sino una metodología para capturar credenciales PSK y Enterprise (MSCHAPv2).
  • La defensa efectiva combina 802.1X con EAP-TLS, PMF (802.11w), segmentación por VLAN y un WIDS/WIPS que detecte APs no autorizados.

Superficie de ataque 802.11 y metodología de auditoría

El estándar 802.11 separa el tráfico en tramas de gestión (beacons, probe, deauth, autenticación), de control (RTS/CTS, ACK) y de datos. El problema histórico es que las tramas de gestión viajan sin cifrar ni autenticar salvo que se active PMF (Protected Management Frames, 802.11w), lo que habilita la denegación por deauth y facilita el evil twin.

Una auditoría wireless seria sigue una secuencia repetible: reconocimiento pasivo del espectro, identificación de SSID y cifrado, selección del vector (PSK, WPS, Enterprise o rogue AP), explotación controlada y verificación de la segmentación una vez dentro. Esta metodología encaja con el pentesting de infraestructura interna y externa, porque comprometer el WiFi rara vez es el objetivo final: es el punto de apoyo para moverse hacia sistemas internos.

Reconocimiento: modo monitor y airodump-ng

El primer paso es poner la tarjeta en modo monitor, que permite capturar todas las tramas del medio y no solo las dirigidas a la NIC. Con la suite Aircrack-ng:

airmon-ng start wlan0
airodump-ng wlan0mon

airodump-ng muestra por cada red el BSSID, el canal, el cifrado (WPA2, WPA3), el cipher (CCMP, GCMP), el método de autenticación (PSK, SAE, MGT para Enterprise) y los clientes asociados. Para capturar handshakes se fija canal y BSSID:

airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w captura wlan0mon

En reconocimiento amplio, Kismet aporta detección pasiva multicanal y geolocalización de APs, y hcxdumptool está optimizado para capturar PMKID a escala. Toda esta fase es sniffing de radiofrecuencia, terreno que se solapa con qué es un sniffer y análisis de tráfico de red.

Ataques a WPA2-PSK: handshake y PMKID

WPA2 con clave precompartida deriva la clave de sesión (PTK) a partir de la PSK mediante PBKDF2-HMAC-SHA1 con 4096 iteraciones. El atacante no necesita romper el cifrado en tiempo real: le basta con capturar material suficiente para validar candidatos de contraseña offline.

Handshake de 4 vías

El handshake EAPOL de 4 vías (mensajes M1 a M4) intercambia los nonces (ANonce, SNonce) y un MIC derivado de la PTK, campos con los que se prueban contraseñas offline. Para forzar la reautenticación de un cliente y capturar el handshake, se envía una deauth dirigida:

aireplay-ng --deauth 5 -a AA:BB:CC:DD:EE:FF -c 11:22:33:44:55:66 wlan0mon

Cuando airodump-ng indica "WPA handshake" en la cabecera, el material está capturado. La deauth es intrusiva y ruidosa: con PMF activo (obligatorio en WPA3) deja de funcionar, lo que es una buena señal defensiva.

PMKID sin cliente

El ataque PMKID (Steube, 2018) elimina la necesidad de un cliente conectado. Muchos APs incluyen el PMKID en el primer mensaje EAPOL, calculado como HMAC-SHA1 sobre el PMK, la cadena "PMK Name", la MAC del AP y la del cliente. Capturarlo permite crackeo offline sin deauth ni víctima:

hcxdumptool -i wlan0mon -o dump.pcapng
hcxpcapngtool -o hash.22000 dump.pcapng

Solo funciona en APs que exponen el PMKID (habitual con roaming y 802.11r), pero cuando aplica es sigiloso y muy eficiente.

Crackeo con hashcat

Ambos vectores convergen en el formato unificado 22000 de hashcat, que sustituyó a los antiguos modos 2500 (EAPOL) y 16800 (PMKID):

hashcat -m 22000 hash.22000 rockyou.txt
hashcat -m 22000 hash.22000 -a 3 ?d?d?d?d?d?d?d?d

Como PBKDF2 es deliberadamente lento, el éxito depende de la calidad de la contraseña. Una PSK de router por defecto (patrones de MAC, 8 dígitos, nombre de operador) cae en minutos u horas. Una passphrase aleatoria de 16 caracteres o más es inviable con hardware realista. De ahí que la primera defensa sea longitud y entropía.

WPA3, SAE y ataques de downgrade

WPA3 sustituye el handshake PSK por SAE (Simultaneous Authentication of Equals, también llamado Dragonfly). SAE aporta autenticación mutua y forward secrecy, y elimina el handshake capturable que sostiene el crackeo offline: no hay un hash que llevarse a hashcat.

Eso no lo hace invulnerable. La investigación Dragonblood (Vanhoef y Ronen, 2019) documentó canales laterales de tiempo y caché que filtran información de la contraseña (CVE-2019-9494 y CVE-2019-9496), más una fuga de tiempo con curvas Brainpool (CVE-2019-13377). El vector más práctico en auditoría es el downgrade en modo transición: cuando una red anuncia WPA3 y WPA2 a la vez para mantener compatibilidad, un evil twin que solo ofrezca WPA2 fuerza a los clientes al protocolo débil, devolviendo el escenario al handshake crackeable. También conviene recordar KRACK (CVE-2017-13077 y siguientes), la reinstalación de claves en el handshake de 4 vías que afectó a WPA2 y que aún aparece en dispositivos IoT sin actualizar.

WPS: el eslabón que se olvida desactivar

WPS (Wi-Fi Protected Setup) usa un PIN de 8 dígitos que, por diseño, se valida en dos mitades con checksum, reduciendo el espacio real a unos 11.000 intentos. Reaver y Bully automatizan ese bruteforce online. Peor aún, el ataque Pixie Dust (con pixiewps) explota la generación débil de nonces (E-S1 y E-S2) en ciertos chipsets y recupera el PIN offline en segundos. Un PIN comprometido revela la PSK completa por robusta que sea, así que WPS debe estar desactivado en cualquier red corporativa.

Rogue AP y evil twin como metodología

El evil twin consiste en levantar un AP con el mismo SSID que el legítimo, forzar la desconexión de las víctimas con deauth y capturar el tráfico o las credenciales de quien se conecte al falso. No es un ataque aislado, sino una metodología completa que herramientas como airgeddon, eaphammer, hostapd-wpe y wifiphisher orquestan de principio a fin. Contra WPA2-PSK se combina con un portal cautivo clonado que solicita la contraseña, técnica que se cruza con el phishing y sus variantes. Contra el plano de red, el AP falso intercepta sesiones, exactamente el escenario de qué es un ataque man in the middle.

WPA2/WPA3-Enterprise: ataques a EAP y 802.1X

El modo Enterprise sustituye la PSK por autenticación 802.1X contra un servidor RADIUS mediante EAP. La seguridad depende del método EAP y, sobre todo, de si el cliente valida el certificado del servidor:

  • EAP-TLS: certificados en ambos extremos. Es el método fuerte y el objetivo defensivo.
  • PEAP-MSCHAPv2 y EAP-TTLS: autenticación basada en credenciales dentro de un túnel TLS. Vulnerables si el cliente no verifica el certificado del servidor.

El ataque canónico es un RADIUS falso montado con hostapd-wpe o eaphammer: el evil twin anuncia el SSID Enterprise y los clientes mal configurados entregan el challenge/response MSCHAPv2 al servidor del atacante. Ese material NetNTLM se crackea offline con hashcat -m 5500, o se rompe el DES subyacente con asleap. La raíz casi nunca es el protocolo: es un despliegue que no fuerza la validación de la CA del servidor en los suplicantes.

Defensa: segmentación, 802.1X y WIDS

Una red inalámbrica endurecida aplica varias capas de forma acumulativa:

  • WPA3-Enterprise con EAP-TLS y certificados de cliente, o el modo de 192 bits para alta seguridad. Si se mantiene WPA2, exigir passphrases de 16 caracteres o más y evitar el modo transición.
  • PMF (802.11w) obligatorio para neutralizar la deauth y dificultar el evil twin.
  • Validación estricta del certificado del servidor en cada suplicante Enterprise, con anclaje de la CA: es lo que anula el ataque a MSCHAPv2.
  • Segmentación por VLAN y aislamiento de clientes: la SSID de invitados nunca debe alcanzar la red interna, y el WiFi corporativo se trata como zona no confiable con NAC.
  • WPS desactivado en toda la flota de APs.
  • WIDS/WIPS para detectar rogue APs, patrones de deauth y evil twins, integrado con el SOC.

Validar todo esto en la práctica, no solo en la configuración, es el objetivo de nuestra auditoría de redes inalámbricas, donde reproducimos estos vectores en un alcance autorizado y entregamos un plan de remediación priorizado.

Preguntas frecuentes

¿Se puede crackear WPA3?

No con el crackeo offline clásico de WPA2, porque SAE no expone un handshake reutilizable. Los vectores reales son otros: downgrade en modo transición hacia WPA2, los canales laterales de Dragonblood (CVE-2019-9494) y errores de implementación en hostapd o wpa_supplicant sin parchear. Una red WPA3 pura y actualizada, sin modo transición, resiste el ataque de diccionario que hunde a WPA2-PSK.

¿Qué diferencia hay entre capturar el handshake y el PMKID?

El handshake de 4 vías requiere un cliente conectado al que forzar una reautenticación con deauth, lo que genera ruido. El PMKID se obtiene directamente del AP en el primer mensaje EAPOL, sin necesidad de víctima ni deauth, siempre que el AP lo incluya. Ambos terminan en el mismo formato 22000 de hashcat para el crackeo offline.

Sí, sobre infraestructura propia o con autorización expresa por escrito. Capturar tráfico o atacar redes de terceros sin permiso es delito en España (Código Penal, artículo 197) y en la mayoría de marcos europeos. Toda auditoría profesional parte de un alcance firmado que define redes, ventanas horarias y límites de intrusividad.

¿Qué tarjeta WiFi necesito para pentesting wireless?

Una que soporte modo monitor e inyección de paquetes. Los chipsets Atheros AR9271 y los basados en Realtek RTL8812AU (con soporte de 5 GHz) son opciones habituales, y hcxdumptool exige drivers compatibles para PMKID a escala. La banda de 6 GHz (WiFi 6E) es cada vez más relevante y no todos los adaptadores la cubren.

¿El evil twin funciona contra WPA3?

Es más difícil, porque SAE aporta autenticación mutua y PMF protege las tramas de gestión, lo que dificulta la deauth previa. El vector viable es el downgrade: si la red opera en modo transición WPA3/WPA2, el evil twin anuncia solo WPA2 y arrastra a los clientes al protocolo débil. Desactivar el modo transición cierra esa puerta.

Recursos relacionados

Auditoría WiFi con Secra

En Secra evaluamos redes inalámbricas reales dentro de un alcance autorizado: reconocimiento del espectro, pruebas contra WPA2 y WPA3, WPS, detección de rogue APs y validación de la segmentación tras comprometer el acceso. Entregamos evidencias reproducibles y un plan de remediación priorizado. Si necesitas medir la exposición real de tu WiFi corporativo, contáctanos y definimos el alcance a tu entorno.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo