AirSnitch: ataques al aislamiento de los clientes Wi-Fi y a las redes de invitados

Cómo la familia de vulnerabilidades AirSnitch amenaza las redes corporativas y qué cambios debes realizar en la arquitectura y la configuración de tu red para mantener tu protección.

Cómo proteger tu organización de las vulnerabilidades de Wi-Fi de AirSnitch

En el Simposio NDSS 2026 celebrado en San Diego en febrero, un grupo de prestigiosos investigadores presentó un estudio que revelaba el ataque AirSnitch, que elude la función de aislamiento del cliente Wi-Fi, también conocida como aislamiento de red de invitados o de dispositivos. Este ataque permite conectarse a una única red inalámbrica a través de un punto de acceso y, posteriormente, obtener acceso a otros dispositivos conectados, incluidos aquellos que utilizan identificadores de conjunto de servicios (SSID) completamente diferentes en ese mismo hardware. Los dispositivos de destino podrían ejecutarse fácilmente en subredes inalámbricas protegidas por protocolos WPA2 o WPA3. El ataque, en realidad, no interrumpe el cifrado; en cambio, aprovecha la forma en que los puntos de acceso manejan las claves de grupo y el enrutamiento de paquetes.

En términos prácticos, esto significa que una red de invitados proporciona muy poca seguridad real. Si tus redes de invitados y de empleados se ejecutan en el mismo dispositivo físico, AirSnitch permite que un atacante conectado inyecte tráfico malicioso en los SSID vecinos. En algunos casos, incluso pueden llevar a cabo un ataque de intermediario (MitM) completo.

La seguridad de la red Wi-Fi y la función del aislamiento

La seguridad Wi-Fi está en constante evolución; cada vez que se produce un ataque práctico contra la última generación de protección, la industria se orienta hacia algoritmos y procedimientos más complejos. Este ciclo comenzó con los ataques FMS utilizados para descifrar las claves de cifrado WEP y continúa hasta el día de hoy: ejemplos recientes incluyen los ataques KRACK contra WPA2 y los FragAttacks, que afectaron a todas las versiones de protocolos de seguridad desde WEP hasta WPA3.

Atacar las redes Wi-Fi modernas de forma eficaz (y silenciosa) no es tarea fácil. La mayoría de los profesionales coinciden en que el uso de WPA2/WPA3 con claves complejas y la separación de redes en función de su finalidad suele ser suficiente para la protección. Sin embargo, solo los especialistas saben realmente que el aislamiento del cliente nunca se ha estandarizado dentro de los protocolos IEEE 802.11. Los distintos fabricantes implementan el aislamiento de formas completamente diferentes: utilizando la capa 2 o la capa 3 de la arquitectura de red; es decir, gestionándolo a nivel del router o del controlador Wi-Fi, lo que significa que el comportamiento de las subredes aisladas varía enormemente según el modelo específico de punto de acceso o router.

Si bien el marketing sostiene que el aislamiento de clientes es perfecto para evitar que los comensales de restaurantes u hoteles se ataquen entre sí, o para garantizar que los visitantes corporativos no puedan acceder a nada más que a Internet, en realidad, el aislamiento a menudo depende de que la gente no intente vulnerarlo. Esto es exactamente lo que destaca la investigación de AirSnitch.

Tipos de ataques de AirSnitch

El nombre AirSnitch no se refiere solo a una única vulnerabilidad, sino a toda una familia de fallos arquitectónicos que se encuentran en los puntos de acceso Wi-Fi. También es el nombre de una herramienta de código abierto que se utiliza para probar los routers en busca de estas debilidades específicas. Sin embargo, los profesionales de la seguridad deben tener en cuenta que la línea que separa las pruebas de los ataques es muy delgada.

El modelo para todos estos ataques es el mismo: un cliente malicioso está conectado a un punto de acceso (AP) donde el aislamiento está activo. Otros usuarios, los objetivos, están conectados al mismo SSID o incluso a diferentes SSID en ese mismo AP. Este es un escenario muy realista; por ejemplo, una red para invitados podría estar abierta y sin cifrar, o un atacante podría simplemente obtener la contraseña de la red Wi-Fi para invitados haciéndose pasar por un visitante real.

Para ciertos ataques de AirSnitch, el atacante debe conocer de antemano la dirección MAC o IP de la víctima.  En última instancia, la eficacia de cada ataque depende del fabricante de hardware específico (más sobre esto a continuación).

Ataque GTK

Después del protocolo de enlace WPA2/WPA3, el punto de acceso y los clientes acuerdan una clave transitoria de grupo (GTK) para gestionar el tráfico de difusión. En este escenario, el atacante envuelve los paquetes destinados a una víctima específica dentro de una cápsula de tráfico de difusión. Luego, los envía directamente a la víctima mientras falsifican la dirección MAC del punto de acceso. Este ataque solo permite la inyección de tráfico, lo que significa que el atacante no recibirá una respuesta. Sin embargo, incluso eso es suficiente para entregar anuncios maliciosos de enrutamiento ICMPv6 o mensajes DNS y ARP al cliente, sin pasar por el aislamiento. Esta es la versión más universal del ataque que funciona en cualquier red WPA2/WPA3 que use una GTK compartida. Dicho esto, algunos puntos de acceso de nivel empresarial admiten la aleatorización de GTK para cada cliente individual, lo que hace que este método específico sea ineficaz.

Redirección de paquetes de difusión

Esta versión del ataque ni siquiera requiere que el atacante se autentique primero en el punto de acceso. El atacante envía paquetes al AP con una dirección de destino de difusión (FF:FF:FF:FF:FF:FF) y el indicador ToDS establecido en 1.  Como resultado, muchos puntos de acceso tratan este paquete como tráfico de difusión legítimo; lo cifran usando la GTK y lo transmiten a todos los clientes de la subred, incluida la víctima. Al igual que en el método anterior, el tráfico destinado específicamente a una sola víctima puede venir encapsulado de antemano.

Redireccionamiento del router

Este ataque aprovecha una brecha arquitectónica entre la seguridad de la capa 2 y la capa 3 que se encuentra en el hardware de algunos fabricantes. El atacante envía un paquete al punto de acceso y establece la dirección IP de la víctima como destino en la capa de red (L3).  Sin embargo, en la capa inalámbrica (L2), el destino se establece en la propia dirección MAC del punto de acceso, por lo que el filtro de aislamiento no se dispara. El subsistema de enrutamiento (L3) luego enruta obedientemente el paquete de vuelta a la víctima y omite por completo el aislamiento L2. Al igual que los métodos anteriores, este es otro ataque de solo transmisión en el que el atacante no puede ver la respuesta.

Robo de puertos para interceptar paquetes

El atacante se conecta a la red usando una versión falsificada de la dirección MAC de la víctima e inunda la red con respuestas ARP que dicen “esta dirección MAC está en mi puerto y mi SSID”.  El router de la red de destino actualiza sus tablas MAC y, en su lugar, comienza a enviar el tráfico de la víctima a este nuevo puerto. En consecuencia, el tráfico destinado a la víctima termina en manos del atacante, incluso si la víctima está conectada a una red Wi-Fi (SSID) completamente diferente.

En un escenario en el que el atacante se conecta a través de una red abierta y no cifrada, esto significa que el tráfico destinado a un cliente en una red protegida con WPA2/WPA3 en realidad se transmite por el aire sin protección, donde no solo el atacante, sino cualquier persona cercana, puede interceptarlo.

Robo de puertos para enviar paquetes

En esta versión, el atacante se conecta directamente al adaptador Wi-Fi de la víctima y lo bombardea con solicitudes ARP que falsifican la dirección MAC del punto de acceso. Como resultado, el ordenador de la víctima comienza a enviar su tráfico saliente al atacante en lugar de a la red. Al ejecutar ambos ataques de robo simultáneamente, un atacante puede, en varios escenarios, ejecutar un ataque MitM completo.

Consecuencias prácticas de los ataques de AirSnitch

Al combinar varias de las técnicas descritas anteriormente, un atacante puede realizar algunos movimientos bastante serios:

  • Intercepción completa del tráfico bidireccional para un ataque MitM. Esto significa que pueden interceptar y modificar los datos que se transmiten entre la víctima y el punto de acceso sin que la víctima se entere.
  • Cambio entre SSID. Un atacante que se encuentra en una red de invitados puede llegar a los hosts de una red corporativa bloqueada si ambos se ejecutan desde el mismo punto de acceso físico.
  • Ataques contra RADIUS. Dado que muchas empresas utilizan la autenticación RADIUS para su Wi‑Fi corporativo, un atacante puede falsificar la dirección MAC del autenticador para interceptar los paquetes iniciales de autenticación RADIUS. A partir de ahí, pueden realizar un ataque de fuerza bruta contra la clave compartida. Una vez que lo tienen, pueden activar un servidor RADIUS no autorizado y un punto de acceso para secuestrar datos de cualquier dispositivo que se conecte a él.
  • Exposición de datos no cifrados de subredes “seguras”: el tráfico que se supone debe enviarse a un cliente bajo la protección de WPA2/WPA3 se puede retransmitir a una red abierta para invitados, donde esencialmente se transmite para que cualquiera lo escuche.

Para llevar a cabo estos ataques de manera efectiva, el atacante necesita un dispositivo capaz de transmitir y recibir datos simultáneamente tanto con el adaptador de la víctima como con el punto de acceso. En un escenario del mundo real, esto generalmente significa un ordenador portátil con dos adaptadores Wi-Fi que ejecutan controladores de Linux configurados específicamente. Cabe destacar que el ataque no es precisamente silencioso: requiere una avalancha de paquetes ARP, puede provocar breves fallos en la conexión Wi-Fi al comenzar y la velocidad de la red podría desplomarse hasta alrededor de 10 Mbps. A pesar de estas señales de alerta, sigue siendo una amenaza práctica en muchos entornos.

Dispositivos vulnerables

Como parte del estudio, se pusieron a prueba varios puntos de acceso y routers empresariales y domésticos. La lista incluía productos de Cisco, Netgear, Ubiquiti, Tenda, D-Link, TP-Link, LANCOM y ASUS, así como routers que ejecutan firmware de la comunidad popular como DD-WRT y OpenWrt. Todos los dispositivos probados fueron vulnerables al menos a algunos de los ataques descritos aquí. Lo que es aun más preocupante, los dispositivos D-Link DIR-3040 y LANCOM LX-6500 fueron susceptibles a todas las variantes de AirSnitch.

Curiosamente, algunos routers estaban equipados con mecanismos de protección que bloqueaban los ataques, a pesar de que los fallos arquitectónicos subyacentes aún estaban presentes. Por ejemplo, Tenda RX2 Pro desconecta automáticamente a cualquier cliente cuya dirección MAC aparezca en dos BSSID simultáneamente, lo que impide eficazmente el robo de puertos.

Los investigadores enfatizan que cualquier administrador de red o equipo de seguridad de TI que se tome en serio la defensa debe probar sus propias configuraciones específicas. Esa es la única forma de identificar exactamente qué amenazas son relevantes para la configuración de tu organización.

Cómo proteger tu red corporativa de AirSnitch

La amenaza es más inmediata para las organizaciones que ejecutan redes Wi-Fi corporativas y para invitados en los mismos puntos de acceso sin segmentación de VLAN adicional. También existen riesgos importantes para las empresas que utilizan RADIUS con configuraciones obsoletas o claves compartidas débiles para la autenticación inalámbrica.

La conclusión es que debemos dejar de ver el aislamiento del cliente en un punto de acceso como una medida de seguridad real y comenzar a verlo solo como una función práctica. La seguridad real debe manejarse de manera diferente:

  • Segmenta la red mediante VLAN. Cada SSID debe tener su propia VLAN, con un estricto etiquetado de paquetes 802.1Q desde el punto de acceso hasta el firewall o router.
  • Implementa una inspección de paquetes más estricta a nivel de enrutamiento, según las capacidades del hardware. Funciones como la inspección dinámica de ARP, el rastreo DHCP y la limitación de la cantidad de direcciones MAC por puerto permiten proteger contra la suplantación de IP/MAC.
  • Activa claves GTK individuales para cada cliente si tu equipo lo admite.
  • Usa configuraciones RADIUS y 802.1X más resilientes, incluidos conjuntos de cifrado modernos y secretos compartidos robustos.
  • Registra y analiza las anomalías de autenticación EAP/RADIUS en tu SIEM. Esto permite rastrear muchos intentos de ataque, más allá de AirSnitch. Otros indicadores de alerta para tener en cuenta incluyen la aparición de la misma dirección MAC en diferentes SSID, picos en las solicitudes ARP o clientes que saltan rápidamente entre BSSID o VLAN.
  • Aplica medidas de seguridad en los niveles superiores de la topología de red. Muchos de estos ataques pierden efectividad si la organización ha implementado universalmente TLS y HSTS para todo el tráfico de aplicaciones empresariales, requiere una VPN activa para todas las conexiones Wi-Fi o ha adoptado por completo una arquitectura de confianza cero.
Consejos
  • Para el resto de países