Las redes Wi-Fi son esenciales en la actualidad para acceder a Internet. Con múltiples dispositivos dependiendo de esta tecnología, cualquier inconveniente puede representar un problema significativo. En este artículo, informamos sobre un nuevo ataque AirSnitch que puede eludir el aislamiento del punto de acceso Wi-Fi, poniendo en riesgo una red de invitados que hayas configurado. Aquí te contamos todos los detalles.
La red de invitados se puede establecer para que cualquier visitante en tu hogar pueda conectarse. También podrías usarla para otros dispositivos, como los de domótica, manteniéndolos separados de la red principal. Esta red tendrá un nombre y contraseña distintos, lo que facilita su distinción. El propósito es mejorar la seguridad, asegurando que, si un dispositivo se ve comprometido, la red principal no se afecte.
Nueva amenaza que compromete la seguridad del Wi-Fi
Un grupo de investigadores, compuesto por Xin’an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy y Mathy Vanhoef, de la Universidad de California, ha identificado una nueva amenaza llamada AirSnitch, que puede comprometer la seguridad de las redes Wi-Fi en hogares, empresas y oficinas. Este hallazgo fue presentado en la NDSS 2026, una conferencia de ciberseguridad celebrada entre el 23 y el 27 de febrero en San Diego, California.
Es importante destacar que AirSnitch no es un software específico ni un malware que comprometa un dispositivo. Se trata de una serie de técnicas de ataque que pueden aplicarse a redes Wi-Fi, explotando vulnerabilidades en la gestión y aislamiento de dispositivos. Esto no implica que un atacante pueda robar tu contraseña de Wi-Fi, ya sea WPA2 o WPA3, los protocolos más recientes en el mercado.
La investigación sugiere que el cifrado es incapaz de garantizar el aislamiento del cliente, que es esencial para evitar la comunicación directa entre dispositivos conectados, una característica presente en todos los routers. Esto se conoce como aislamiento de clientes o AP Isolation. Un atacante conectado a la misma red Wi-Fi podría interceptar y redirigir el tráfico de otros dispositivos en esa red.
Los investigadores explican en su informe que AirSnitch podría anular eficazmente ese aislamiento. Han realizado pruebas que demuestran su funcionamiento en routers de marcas muy reconocidas, como Netgear, D-Link, Ubiquiti y Cisco, así como en aquellos que utilizan DD-WRT y OpenWrt.
A continuación, se presenta la lista de los 11 routers que han sido evaluados:
- Netgear Nighthawk x6 R8000
- Tenda RX2 Pro
- D-LINK DIR-3040
- TP-LINK Archer AXE75
- ASUS RT-AX57
- DD-WRT v3.0-r44715
- OpenWrt 24.10
- Ubiquiti AmpliFi Alien Router
- Ubiquiti AmpliFi Router HD
- LANCOM LX-6500
- Cisco Catalyst 9130
Como se puede observar, se ha comprobado en modelos bastante populares y en firmwares utilizados por miles de usuarios.
Cómo funciona el ataque
Primero, es importante señalar que el atacante debe estar conectado a esa red Wi-Fi, lo que significa que conoce la contraseña. Por lo tanto, esto reduce considerablemente el riesgo de que alguien pueda comprometer tu red inalámbrica, siempre y cuando esté adecuadamente protegida y no haya intrusos conectados. Es decir, si tu red Wi-Fi está abierta y sin ningún tipo de autenticación, entonces estás expuesto.
Utilizando técnicas de suplantación de direcciones MAC, que son únicas para cada dispositivo, el atacante podría hacer que el punto de acceso lo asocie con la dirección que en realidad pertenece a otro dispositivo. Normalmente, el «aislamiento del AP» impide que dos dispositivos conectados a la red de invitados se comuniquen entre sí si se habilita el AP Isolation. AirSnitch engaña al «switch interno» del punto de acceso, haciendo que asocie la dirección MAC de la víctima con el puerto del atacante.
Esto permite redirigir el tráfico legítimo que debería ir al dispositivo correspondiente hacia el atacante, dándole control sobre dicha información. A partir de aquí, el atacante podría estar espiando. Este método se asemeja a un ataque Man in The Middle, donde el intruso se coloca entre el punto de acceso y el dispositivo para interceptar el tráfico. Todos esos paquetes que, en teoría, estaban protegidos por el aislamiento de clientes, quedan expuestos. Muchos routers Wi-Fi aplican esta misma lógica de conmutación interna para las redes privadas y de invitados, por lo que también se verían afectados. Un atacante en la red de invitados podría comprometer la red privada.
Según los investigadores de seguridad, los atacantes pueden interceptar el tráfico, incluso cuando se utiliza HTTPS, para ver los dominios visitados y usar el envenenamiento de caché DNS, lo que les permitiría redirigir el tráfico de un sitio legítimo a uno falso. Por ejemplo, si la víctima accede a su banco, podrían redirigirla a un sitio web fraudulento para robar sus credenciales. Este ataque MitM es bidireccional mediante técnicas avanzadas, ya que el atacante puede falsificar y restaurar la MAC original de manera muy rápida, lo que podría resultar en la pérdida de algunos paquetes.
Además, mencionan que AirSnitch ofrece capacidades que no eran viables con otros ataques anteriores contra Wi-Fi, como el ataque KRACK, que emergió en 2017 y puso en riesgo muchos routers vulnerables que utilizaban WPA2 como cifrado.
A quién afecta
Este ataque parece ser efectivo solo si la red Wi-Fi de invitados o el atacante se encuentran en la misma VLAN. Esto representa un problema para las redes Wi-Fi de invitados en hogares, que suelen estar en la misma VLAN que la principal (misma subred). Muchas marcas de routers asignan la red Wi-Fi de invitados a la subred 192.168.1.0/24, que es donde radica el problema. En configuraciones empresariales, lo habitual es crear una VLAN por SSID, asumiendo que todos en la misma VLAN tienen el mismo nivel de confianza, así que aquí no tendríamos riesgo, salvo que el atacante esté conectado a la misma red Wi-Fi (conozca la contraseña o se autentique mediante un servidor RADIUS).
Este problema podría afectar a hogares, oficinas y redes públicas de cualquier tipo. Sin embargo, como mencionamos, el atacante necesita tener acceso a la red Wi-Fi, a diferencia de ataques anteriores como los WEP, que solo requerían estar dentro del alcance de la red. Es decir, es imprescindible que el atacante esté conectado a la red Wi-Fi como los demás clientes.
En redes inalámbricas donde la contraseña sea pública o ampliamente compartida, así como en aquellas sin clave, cualquier persona podría convertirse en un potencial atacante. Probablemente has estado en un restaurante con un cartel que muestra la contraseña del Wi-Fi, por ejemplo.
Qué supone este ataque
Como se ha mencionado, este ataque no implica que tu Wi-Fi esté en peligro y que cualquier vecino pueda acceder. No significa que puedan descifrar el WPA2 o WPA3 y descubrir tu contraseña de red Wi-Fi. Lo que sí implica, considerando lo que se ha explicado y la necesidad de que el atacante esté en la red, es que rompe la regla de que dos dispositivos dentro de una red protegida no pueden atacarse entre sí al habilitar el AP Isolation.
Esto significa que un ataque exitoso permite que un atacante intercepte el tráfico interno de la misma VLAN, a pesar de tener habilitado el aislamiento de clientes. Esto puede resultar en el robo de información, cookies, redirigir a la víctima a un sitio web falso, etc. Además, como indican los investigadores, este problema afecta a redes de todo tipo, tanto domésticas como empresariales.
Qué hacer para protegerte
Si te preocupa ser víctima de este tipo de ataque, es crucial que estés debidamente protegido. Siempre es fundamental evitar intrusos en la red, por lo que contar con una buena contraseña para el Wi-Fi es esencial. Asegúrate de que sea robusta, lo que implica que debe ser completamente aleatoria, con una longitud adecuada (12 o más caracteres) y debe incluir letras (mayúsculas y minúsculas), números y otros símbolos especiales.
Asimismo, los investigadores que elaboraron este informe sugieren mejorar el aislamiento de la red. Los BSSID no confiables (como la red de invitados creada en tu router) pueden colocarse en una VLAN diferente. Estas VLAN pueden minimizar el impacto, ya que separan los segmentos de red y evitan que un atacante en una VLAN pueda enviar paquetes o espiar en otra VLAN.
La opción más segura, como explican los investigadores, es implementar la confianza cero. Esto implica que se va a desconfiar de cada nodo de una red como si fuera una posible amenaza hasta que se demuestre su fiabilidad. Como usuario doméstico, puedes aplicar esto al desconfiar de cualquier red pública que encuentres. Utilizar una buena VPN para cifrar tu tráfico te ayudará en situaciones donde necesites conectarte en aeropuertos o hoteles, por ejemplo.
Puedes consultar el informe completo en su página oficial. También puedes revisar toda la documentación en GitHub.
Preguntas frecuentes
¿Este ataque implica que podrían averiguar mi contraseña del Wi-Fi?
No, no es un ataque que permita a un posible atacante robar la clave de tu red Wi-Fi, independientemente de si utiliza cifrado WPA2 o WPA3.
¿Qué redes son las más susceptibles a este ataque?
Principalmente, este problema puede afectar a redes públicas, como cafeterías, hoteles, centros comerciales o aeropuertos.
Si tengo una VLAN en la red de invitados, ¿me afecta a la red principal?
No, este ataque no puede comprometer otras VLAN. Por ello, en entornos empresariales, lo más habitual es separar la red Wi-Fi de invitados y asignarla a una VLAN específica, completamente separada del resto del tráfico.
