{"id":32101,"date":"2026-05-08T13:25:53","date_gmt":"2026-05-08T11:25:53","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=32101"},"modified":"2026-05-08T13:27:52","modified_gmt":"2026-05-08T11:27:52","slug":"airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation\/32101\/","title":{"rendered":"AirSnitch: ataques al aislamiento de los clientes Wi-Fi y a las redes de invitados"},"content":{"rendered":"

En el Simposio NDSS 2026 celebrado en San Diego en febrero, un grupo de prestigiosos investigadores present\u00f3 un estudio que revelaba el ataque AirSnitch<\/a>, que elude la funci\u00f3n de aislamiento del cliente Wi-Fi, tambi\u00e9n conocida como aislamiento de red de invitados o de dispositivos. Este ataque permite conectarse a una \u00fanica red inal\u00e1mbrica a trav\u00e9s de un punto de acceso y, posteriormente, obtener acceso a otros dispositivos conectados, incluidos aquellos que utilizan identificadores de conjunto de servicios<\/a> (SSID) completamente diferentes en ese mismo hardware. Los dispositivos de destino podr\u00edan ejecutarse f\u00e1cilmente en subredes inal\u00e1mbricas protegidas por protocolos WPA2 o WPA3. El ataque, en realidad, no interrumpe el cifrado; en cambio, aprovecha la forma en que los puntos de acceso manejan las claves de grupo y el enrutamiento de paquetes.<\/p>\n

En t\u00e9rminos pr\u00e1cticos, esto significa que una red de invitados proporciona muy poca seguridad real. Si tus redes de invitados y de empleados se ejecutan en el mismo dispositivo f\u00edsico, AirSnitch permite que un atacante conectado inyecte tr\u00e1fico malicioso en los SSID vecinos. En algunos casos, incluso pueden llevar a cabo un ataque de intermediario<\/a> (MitM) completo.<\/p>\n

La seguridad de la red Wi-Fi y la funci\u00f3n del aislamiento<\/h2>\n

La seguridad Wi-Fi est\u00e1 en constante evoluci\u00f3n; cada vez que se produce un ataque pr\u00e1ctico contra la \u00faltima generaci\u00f3n de protecci\u00f3n, la industria se orienta hacia algoritmos y procedimientos m\u00e1s complejos. Este ciclo comenz\u00f3 con los ataques FMS<\/a> utilizados para descifrar las claves de cifrado WEP y contin\u00faa hasta el d\u00eda de hoy: ejemplos recientes incluyen los ataques KRACK<\/a> contra WPA2 y los FragAttacks<\/a>, que afectaron a todas las versiones de protocolos de seguridad desde WEP hasta WPA3.<\/p>\n

Atacar las redes Wi-Fi modernas de forma eficaz (y silenciosa) no es tarea f\u00e1cil. La mayor\u00eda de los profesionales coinciden en que el uso de WPA2\/WPA3 con claves complejas y la separaci\u00f3n de redes en funci\u00f3n de su finalidad suele ser suficiente para la protecci\u00f3n. Sin embargo, solo los especialistas saben realmente que el aislamiento del cliente nunca se ha estandarizado dentro de los protocolos IEEE 802.11. Los distintos fabricantes implementan el aislamiento de formas completamente diferentes: utilizando la capa\u00a02 o la capa\u00a03 de la arquitectura<\/a> de red; es decir, gestion\u00e1ndolo a nivel del router o del controlador Wi-Fi, lo que significa que el comportamiento de las subredes aisladas var\u00eda enormemente seg\u00fan el modelo espec\u00edfico de punto de acceso o router.<\/p>\n

Si bien el marketing sostiene que el aislamiento de clientes es perfecto para evitar que los comensales de restaurantes u hoteles se ataquen entre s\u00ed, o para garantizar que los visitantes corporativos no puedan acceder a nada m\u00e1s que a Internet, en realidad, el aislamiento a menudo depende de que la gente no intente vulnerarlo. Esto es exactamente lo que destaca la investigaci\u00f3n de AirSnitch.<\/p>\n

Tipos de ataques de AirSnitch<\/h2>\n

El nombre AirSnitch no se refiere solo a una \u00fanica vulnerabilidad, sino a toda una familia de fallos arquitect\u00f3nicos que se encuentran en los puntos de acceso Wi-Fi. Tambi\u00e9n es el nombre de una herramienta de c\u00f3digo abierto que se utiliza para probar los routers en busca de estas debilidades espec\u00edficas. Sin embargo, los profesionales de la seguridad deben tener en cuenta que la l\u00ednea que separa las pruebas de los ataques es muy delgada.<\/p>\n

El modelo para todos estos ataques es el mismo: un cliente malicioso est\u00e1 conectado a un punto de acceso (AP) donde el aislamiento est\u00e1 activo. Otros usuarios, los objetivos, est\u00e1n conectados al mismo SSID o incluso a diferentes SSID en ese mismo AP. Este es un escenario muy realista; por ejemplo, una red para invitados podr\u00eda estar abierta y sin cifrar, o un atacante podr\u00eda simplemente obtener la contrase\u00f1a de la red Wi-Fi para invitados haci\u00e9ndose pasar por un visitante real.<\/p>\n

Para ciertos ataques de AirSnitch, el atacante debe conocer de antemano la direcci\u00f3n MAC o IP de la v\u00edctima.\u00a0 En \u00faltima instancia, la eficacia de cada ataque depende del fabricante de hardware espec\u00edfico (m\u00e1s sobre esto a continuaci\u00f3n).<\/p>\n

Ataque GTK<\/h3>\n

Despu\u00e9s del protocolo de enlace WPA2\/WPA3, el punto de acceso y los clientes acuerdan una clave transitoria de grupo (GTK) para gestionar el tr\u00e1fico de difusi\u00f3n. En este escenario, el atacante envuelve los paquetes destinados a una v\u00edctima espec\u00edfica dentro de una c\u00e1psula de tr\u00e1fico de difusi\u00f3n. Luego, los env\u00eda directamente a la v\u00edctima mientras falsifican la direcci\u00f3n MAC del punto de acceso. Este ataque solo permite la inyecci\u00f3n de tr\u00e1fico, lo que significa que el atacante no recibir\u00e1 una respuesta. Sin embargo, incluso eso es suficiente para entregar anuncios maliciosos de enrutamiento ICMPv6 o mensajes DNS y ARP al cliente, sin pasar por el aislamiento. Esta es la versi\u00f3n m\u00e1s universal del ataque que funciona en cualquier red WPA2\/WPA3 que use una GTK compartida. Dicho esto, algunos puntos de acceso de nivel empresarial admiten la aleatorizaci\u00f3n de GTK para cada cliente individual, lo que hace que este m\u00e9todo espec\u00edfico sea ineficaz.<\/p>\n

Redirecci\u00f3n de paquetes de difusi\u00f3n<\/h3>\n

Esta versi\u00f3n del ataque ni siquiera requiere que el atacante se autentique primero en el punto de acceso. El atacante env\u00eda paquetes al AP con una direcci\u00f3n de destino de difusi\u00f3n (FF:FF:FF:FF:FF:FF) y el indicador ToDS establecido en 1.\u00a0 Como resultado, muchos puntos de acceso tratan este paquete como tr\u00e1fico de difusi\u00f3n leg\u00edtimo; lo cifran usando la GTK y lo transmiten a todos los clientes de la subred, incluida la v\u00edctima. Al igual que en el m\u00e9todo anterior, el tr\u00e1fico destinado espec\u00edficamente a una sola v\u00edctima puede venir encapsulado de antemano.<\/p>\n

Redireccionamiento del router<\/h3>\n

Este ataque aprovecha una brecha arquitect\u00f3nica entre la seguridad de la capa\u00a02 y la capa\u00a03 que se encuentra en el hardware de algunos fabricantes. El atacante env\u00eda un paquete al punto de acceso y establece la direcci\u00f3n IP de la v\u00edctima como destino en la capa de red (L3).\u00a0 Sin embargo, en la capa inal\u00e1mbrica (L2), el destino se establece en la propia direcci\u00f3n MAC del punto de acceso, por lo que el filtro de aislamiento no se dispara. El subsistema de enrutamiento (L3) luego enruta obedientemente el paquete de vuelta a la v\u00edctima y omite por completo el aislamiento L2. Al igual que los m\u00e9todos anteriores, este es otro ataque de solo transmisi\u00f3n en el que el atacante no puede ver la respuesta.<\/p>\n

Robo de puertos para interceptar paquetes<\/h3>\n

El atacante se conecta a la red usando una versi\u00f3n falsificada de la direcci\u00f3n MAC de la v\u00edctima e inunda la red con respuestas ARP que dicen \u201cesta direcci\u00f3n MAC est\u00e1 en mi puerto y mi SSID\u201d.\u00a0 El router de la red de destino actualiza sus tablas MAC y, en su lugar, comienza a enviar el tr\u00e1fico de la v\u00edctima a este nuevo puerto. En consecuencia, el tr\u00e1fico destinado a la v\u00edctima termina en manos del atacante, incluso si la v\u00edctima est\u00e1 conectada a una red Wi-Fi (SSID) completamente diferente.<\/p>\n

En un escenario en el que el atacante se conecta a trav\u00e9s de una red abierta y no cifrada, esto significa que el tr\u00e1fico destinado a un cliente en una red protegida con WPA2\/WPA3 en realidad se transmite por el aire sin protecci\u00f3n, donde no solo el atacante, sino cualquier persona cercana, puede interceptarlo.<\/p>\n

Robo de puertos para enviar paquetes<\/h3>\n

En esta versi\u00f3n, el atacante se conecta directamente al adaptador Wi-Fi de la v\u00edctima y lo bombardea con solicitudes ARP que falsifican la direcci\u00f3n MAC del punto de acceso. Como resultado, el ordenador de la v\u00edctima comienza a enviar su tr\u00e1fico saliente al atacante en lugar de a la red. Al ejecutar ambos ataques de robo simult\u00e1neamente, un atacante puede, en varios escenarios, ejecutar un ataque MitM completo.<\/p>\n

Consecuencias pr\u00e1cticas de los ataques de AirSnitch<\/h2>\n

Al combinar varias de las t\u00e9cnicas descritas anteriormente, un atacante puede realizar algunos movimientos bastante serios:<\/p>\n