MÉTODO DE AUTENTICACIÓN 

WI-FI

CLAVES IMPORTANTES

🛑 Ataques Comunes y Riesgos:

1. WPA2-PSK → vulnerable a ataques de diccionario y captura de handshake.

2. Modo transición WPA3 → permite downgrade a WPA2 → ¡riesgo crítico!

3. PSKs compartidas → imposibilidad de trazar responsabilidades individualmente.

4. RADIUS mal configurado → puede dejar huecos críticos en la autenticación EAP.

Buenas prácticas:

• Usar WPA3-SAE siempre que sea posible.

• Evitar el modo de transición WPA3-WPA2.

• Cambiar periódicamente las claves PSK si aún se usan.

• Migrar a WPA2-Enterprise o WPA3-Enterprise en entornos corporativos.

• Auditar el funcionamiento del servidor RADIUS: puertos, logs, certificados.

Recomendación Purple Team:

• 💡 Usa wpa_supplicant, hostapd o hcxtools para simular autenticaciones reales.

• 💬 Configura el SIEM para detectar handshakes sospechosos o reintentos masivos.

• 🔁 Evalúa los logs del RADIUS en tiempo real para crear alertas inteligentes.

• 🔬 Diseña pruebas de stress del sistema EAP-TLS bajo MITM o certificados expirados.

EJEMPLOS

• Open Casa sin cerradura Todos entran sin preguntar
• WPA2-PSK Llave maestra compartida Una llave perdida pone en peligro todo
• WPA3-SAE Cerradura regenerativa La puerta se refuerza sola cada vez
• Enterprise (802.1X) Tarjeta con acceso biométrico individual Solo tú puedes abrir tu puerta
• RADIUS Portero con lista VIP + libro de visitas Verifica, deja entrar y anota tu paso 

🔐 Métodos de Autenticación Wi-Fi - Purple Team Arquitect Vision

🧱 1. Arquitectura de Seguridad (Blue Team)

1. 🔓 Autenticación Abierta

• Uso permitido solo en entornos públicos con acceso segmentado.

• Seguridad nula.

• 🔧 Recomendación: Red aislada, acceso web cautivo, VLAN separada, sin acceso a activos internos.

2. 🔑 WPA2-PSK (clave precompartida)

• Clave compartida entre todos los usuarios.

• Proceso:

  • Contraseña → PBKDF2 → PMK (256 bits) → 4-Way Handshake.

• 🔧 Buenas prácticas:

  • Contraseñas aleatorias ≥ 14 caracteres.

  • Cambios frecuentes de clave.

  • Filtrado MAC solo como capa disuasoria.

  • Registro y monitoreo de conexiones en el AP.

  • Desactivación de WPS.

3. 🛡️ WPA3-SAE (Autenticación Simultánea de Iguales)

• Reemplaza PSK con protocolo Dragonfly (ECDH + hash).

• Mejora frente a ataques offline.

• 🔧 Configuración recomendada:

  • Solo WPA3.

  • Desactivar modo de transición WPA2/WPA3.

  • Firmware actualizado para evitar vulnerabilidades recientes.

4. 🧭 WPA2/WPA3-Enterprise + 802.1X

• Credenciales únicas por usuario.

• Integración con RADIUS + EAP (TLS, TTLS, PEAP).

• Gestión dinámica de claves + trazabilidad.

• 🔧 Recomendaciones clave:

  • EAP-TLS (con certificados cliente-servidor).

  • Validación estricta de certificados del servidor.

  • Revocación de acceso inmediata (RADIUS + NAC).

  • Auditoría de logs RADIUS (puertos 1812 y 1813).

  • Segmentación por VLAN tras autenticación (por rol/dispositivo).

🧨 2. Superficie de Ataque (Red Team)

🎯 Ataques comunes por método

Método Ataque Herramientas comunes

• Abierto Sniffing, MitM, Rogue AP Wireshark, Bettercap, Evil Twin
• WPA2-PSK Captura handshake + diccionario o fuerza bruta Aircrack-ng, Hashcat, hcxdumptool
• WPA3-SAE Ataques de downgrade (modo transición) Dragonblood, WPA Downgrade scripts
• Enterprise Evil Twin + certificado falso, Captive portal Eaphammer, hostapd-wpe, FreeRADIUS-WPE

🔺 Exploits frecuentes:

• Reutilización de handshakes PSK (WPA2).

• Captura de tráfico EAP sin verificación de certificado.

• Uso de contraseñas débiles en diccionarios.

• Servidores RADIUS mal configurados (falta de logs, claves débiles, sin cifrado entre RADIUS y LDAP/AD).

3. Coordinación Purple (Visión integral)

🧪 Test de Intrusión Coordinado (Purple):

1. Fase de reconocimiento:

   • Identificar SSIDs, BSSID, canal, tipo de autenticación.

   • Herramientas: airodump-ng, kismet, wifite.

2. Fase de ataque controlado:

   • Si WPA2: capturar handshake → crackeo offline (uso de diccionario corporativo filtrado en breaches).

   • Si Enterprise: montar Evil Twin + certificado falso → observar reacciones.

   • Si WPA3 en modo transición: forzar downgrade.

3. Fase defensiva:

   • Monitoreo del SIEM con correlaciones RADIUS y logs del controlador.

   • Alertas por:

     • Nuevas estaciones no autorizadas.

     • Repetidos fallos de login.

     • Handshakes sospechosos (por sniffers).

     • MACs falsas o clonado de dispositivos.

4. Respuesta:

   • Segmentación inmediata vía NAC.

   • Blacklist temporal desde el controlador.

   • Generación automática de informes desde SIEM (ej. correlación QRadar/Splunk).

🧰 4. Herramientas recomendadas por equipo

• Red Team Aircrack-ng, hcxdumptool, Eaphammer, Bettercap, hostapd-wpe
• Blue Team RADIUS Server (FreeRADIUS, Windows NPS), NAC (Cisco ISE, Aruba ClearPass), WPA3-SAE config, Cisco Wireless Controller
• Purple Team SIEM (QRadar, Splunk), WIDS (AirMarshal, WIPS), scripts de detección de rogue APs, dashboards NAC

5. Claves maestras y curiosidades

• WPA3-SAE mejora la confidencialidad hacia adelante al generar claves de sesión efímeras por conexión.

• WPA3 en modo de transición es una trampa: habilita ataques tipo downgrade → ¡debe desactivarse!

• RADIUS y AAA no son solo para Wi-Fi: también protegen VPNs, switches y firewalls (modelo unificado de identidad).

• EAP-TLS es lo más robusto, pero requiere PKI (infraestructura de claves públicas) bien gestionada.

• El "cliente RADIUS" no es el usuario: es el NAS (el punto de acceso, switch o gateway).

CURIOSIDADES Y CLAVES IMPORTANTES SOBRE MÉTODOS DE AUTENTICACIÓN WI-FI

🔐 1. La frase de contraseña en WPA2-PSK nunca se transmite

Aunque se use una frase de contraseña (passphrase), nunca se envía directamente por el aire. Se utiliza para derivar una clave maestra (PMK) que luego se usa para establecer claves de sesión. Sin embargo, si capturas el handshake, puedes hacer ataques offline.

🧠 Clave técnica: PBKDF2 se usa para generar la PMK, con 4096 iteraciones por defecto. Esto hace más lento el ataque por diccionario, pero no lo bloquea si la clave es débil.

🧬 2. WPA3 y el "Dragonfly Handshake"

SAE (Simultaneous Authentication of Equals) de WPA3 introduce el Dragonfly Key Exchange, que añade:

• Confidencialidad hacia adelante (perfect forward secrecy).

• Intercambio mutuo sin exponer la clave.

• Protección contra ataques offline.

💥 Pero atención: si el modo de transición WPA2/WPA3 está activado, se puede forzar a un dispositivo a usar WPA2 y atacar como siempre.

🔥 3. El protocolo EAP es una caja de herramientas

EAP (Extensible Authentication Protocol) no es un solo método de autenticación, sino un marco que permite muchos:

• EAP-TLS: certificado cliente + servidor.

• PEAP y EAP-TTLS: solo certificado servidor.

• EAP-SIM y EAP-AKA: autenticación basada en tarjetas SIM (como en redes móviles).

🧠 Curiosidad: Algunos routers permiten cambiar entre EAP-TLS y PEAP manualmente. PEAP es más fácil de implementar, pero menos seguro.

🧪 4. Hostapd-wpe: la herramienta de pesadilla para redes enterprise

hostapd-wpe es una modificación del software hostapd que simula un AP con soporte 802.1X. Cuando un dispositivo intenta conectarse usando EAP, captura el intercambio y permite:

• Crackear MSCHAPv2.

• Obtener credenciales corporativas.

🧠 Tip ofensivo: Si el cliente no valida el certificado del servidor, ¡caerá directamente en tu trampa Evil Twin!

🛑 5. WPS nunca fue seguro

Aunque está pensado para simplificar la conexión de dispositivos al Wi-Fi, WPS ha sido históricamente vulnerable. Su PIN de 8 cifras se divide en dos bloques:

• Primer bloque de 4 dígitos → 10⁴ posibilidades.

• Segundo bloque de 3 dígitos (más checksum) → 10³ posibilidades.

💥 Resultado: ¡brute force en horas!

🛡️ Claves de defensa:

• Desactiva WPS en todos los dispositivos.

• Algunos AP no lo desactivan aunque la GUI diga lo contrario. Verifica en CLI o firmware.

📱 6. WPA3 Easy Connect y el futuro del IoT

Easy Connect (basado en DPP - Device Provisioning Protocol) busca resolver el problema de configurar dispositivos sin pantalla (IoT). Escaneas un QR o usas NFC desde tu móvil para:

• Compartir claves públicas.

• Establecer una conexión segura sin introducir contraseñas.

🧠 Tip arquitectónico: En redes corporativas de IoT, Easy Connect con DPP y WPA3 puede ser una solución limpia y escalable.

🌐 7. ¿Sabías que un AP puede tener múltiples métodos activos?

Un mismo punto de acceso puede estar configurado para aceptar conexiones WPA2-Enterprise y WPA2-PSK al mismo tiempo, o incluso WPA3+WPA2 en modo transición.

⚠️ Pero esto introduce riesgos:

• Posibilidad de downgrade attacks.

• Malas prácticas en entornos sensibles.

🛡️ Recomendación: Segmentar SSID por método de autenticación. Ejemplo:

• CORP_WIFI_SECURE: WPA2/WPA3-Enterprise

• GUEST_WIFI: WPA2-PSK aislado en VLAN

💻 8. Ataques de lado cliente en Wi-Fi son más comunes de lo que crees

Muchos dispositivos recuerdan redes abiertas o redes WPA2 conocidas. Los atacantes pueden explotar esto creando un Evil Twin con el mismo SSID. Si el cliente no valida el certificado o no solicita intervención del usuario, se conectará automáticamente.

💥 Ejemplo real: "Free_WiFi_Café" en un aeropuerto puede ser replicado por un atacante con un AP portátil.

🛡️ Contramedida: Configurar dispositivos para no reconectarse automáticamente a redes públicas.

🔄 9. El protocolo 802.1X también se usa en cableado

Aunque lo asociamos a Wi-Fi, 802.1X puede aplicarse en switches Ethernet para:

• Autenticación de endpoints cableados.

• Control de acceso en puertos físicos.

• Integración con NAC (Network Access Control).

🧰 Clave de diseño: usar 802.1X en toda la LAN mejora la postura Zero Trust.

🧱 10. Los logs RADIUS son oro para el Blue Team

Toda actividad de autenticación, rechazo, error y contabilidad queda registrada. Analizar estos logs puede revelar:

• Ataques de fuerza bruta.

• Dispositivos que intentan reconectar múltiples veces.

• Usuarios comprometidos.

• Errores de configuración.

🧠 Consejo: integrar logs RADIUS en el SIEM, con correlaciones por dirección MAC, usuario, ubicación y hora.

🧠 1. Mentalidad Estratégica: No te obsesiones solo con la Wi-Fi

Una profesional excelente entiende la Wi-Fi como un vector de entrada más dentro del ecosistema. Tu visión debe ser siempre global:

• La Wi-Fi es una puerta de entrada, pero ¿qué hay detrás?

• ¿Dónde aterriza el usuario que entra por la red inalámbrica? ¿Hay segmentación? ¿MFA? ¿Auditoría?

• ¿Qué tráfico puede escanear o interceptar? ¿Hay DLP? ¿Hay NAC?

• ¿Podría pivotar hacia otros sistemas tras el primer acceso?

🔮 Clave profesional: No defiendas solo el castillo: estudia el mapa completo del reino.

⚔️ 2. Pensamiento Red Team: cómo romper lo que proteges

Para anticiparte, necesitas pensar como atacante. Algunos escenarios reales:

• Ataques Evil Twin + Captura de credenciales PEAP usando hostapd-wpe.

• Ataques de downgrade: forzar a un cliente WPA3 a usar WPA2 para facilitar el cracking.

• Ataques con Wi-Fi Deauther (ESP8266): expulsar clientes y hacer que se reconecten al Evil Twin.

• Ataques contra dispositivos IoT mal configurados (que aceptan cualquier red abierta o sin validación de certificado).

• Ataques con Kismet o Airgeddon para mapear el entorno, crear clones de APs, y falsificar handshakes.

🛠️ Herramientas que deberías dominar:

• aircrack-ng suite

• wifite2

• bettercap

• hostapd-wpe

• Kismet

• Wireshark para tráfico Wi-Fi

• Eaphammer para ataques contra WPA2-Enterprise

🛡️ 3. Pensamiento Blue Team: diseño defensivo robusto

🔐 Diseño seguro de WLAN (buenas prácticas):

1. SSID oculto ≠ seguridad: no es una defensa real. Mejor usar aislamiento de red.

2. WPA3-Enterprise + EAP-TLS es el estándar oro, pero requiere gestión de certificados. Si no, usa PEAP + RADIUS con credenciales únicas.

3. Segmenta por VLAN:

   • SSID Corporativo → VLAN segura, acceso total

   • SSID BYOD → VLAN aislada, NAC y microsegmentación

   • SSID Invitados → VLAN restringida, solo salida a Internet

4. Habilita rogue AP detection en tu WLC o sistema de monitorización.

5. Auditoría y correlación con SIEM de todas las conexiones Wi-Fi.

6. Política de rotación de claves PSK si aún usas redes compartidas (cada X semanas o por evento).

🔬 4. Nivel Técnico: protocolos y detalles que importan

📌 No pases por alto esto:

• El handshake de WPA2 (4-way) es vulnerable a captura y ataques offline → usa contraseñas de al menos 14 caracteres con entropía.

• EAPoL (EAP over LAN) es el protocolo clave para autenticación 802.1X → aprende a identificarlo en Wireshark.

• No todos los dispositivos soportan WPA3 aún → testea compatibilidad antes de migrar en entornos reales.

• Firmware de APs: muchos bugs y vulnerabilidades están en el firmware. ¡Siempre actualiza!

• APIs en controladoras (como Cisco, Aruba): aprende a automatizar tareas de seguridad con scripts si quieres ser arquitecta/red teamer de alto nivel.

• Ataques de DoS Wi-Fi: aunque simples, pueden colapsar una red entera sin tocar un endpoint.

🧰 5. Extra: Toolset Purple Wi-Fi recomendado

🔧 Defensa (Blue Team):

• Cisco Prime Infrastructure o Aruba Central

• WiFi Explorer / Ekahau / NetSpot para mapas de calor

• RADIUS logs + Syslog al SIEM

• WIDS/WIPS: sistema de detección/preención de intrusiones inalámbricas

🎯 Ataque (Red Team):

• Aircrack-ng, Eaphammer, hostapd-wpe

• Wireshark para inspección de handshakes

• Fluxion, Wifiphisher, bettercap

• Dispositivo ESP8266 Deauther

✨ Bonus de Mentalidad: ¿Cómo liderar en esto?

Para convertirte en referente, trabaja en esto:

1. Domina las normas 802.11 (a/b/g/n/ac/ax) como si fueran tu lengua materna.

2. Estudia escenarios reales de ataques inalámbricos (p.ej., DEFCON Wi-Fi Village).

3. Haz pruebas en entornos controlados (tu casa, lab virtual, router viejo).

4. Diseña tu propia arquitectura WLAN Zero Trust, con políticas de acceso y aislamiento.

🔴 RED TEAM – 4 preguntas clave para romper redes inalámbricas

1. ¿Cómo puedo capturar el handshake WPA2 de una red protegida?

• Utilizo airodump-ng para monitorear el canal y capturar el handshake cuando un cliente se reconecta.

• Si no hay clientes activos, lanzo un ataque de deautenticación con aireplay-ng para forzar la reconexión y capturar el handshake.

2. ¿Cómo puedo crackear una clave WPA2-PSK a partir del handshake?

• Utilizo aircrack-ng junto con un diccionario potente (como rockyou.txt).

• Si el handshake es limpio, el ataque de diccionario intenta diferentes contraseñas hasta encontrar una coincidencia con la PMK derivada.

3. ¿Cómo lanzo un ataque Evil Twin?

• Creo un punto de acceso falso con hostapd o Airgeddon clonando el SSID.

• Desconecto a los clientes del AP legítimo (deauth attack) y los atraigo al mío para capturar credenciales o redirigir tráfico malicioso.

4. ¿Cómo puedo explotar la vulnerabilidad WPS?

• Uso herramientas como Reaver o Bully.

• Si el AP tiene WPS habilitado y no ha implementado medidas de defensa (timeout o lock), puedo forzar el PIN en pocas horas y obtener la PSK.

🔵 BLUE TEAM – 4 preguntas clave para proteger redes inalámbricas

1. ¿Cómo puedo mitigar los ataques de deautenticación?

• Implemento WPA3 (resistente a deauth).

• Habilito Protected Management Frames (PMF) si mi AP lo soporta.

• Monitorizo con un WIDS para alertar sobre paquetes deauth sospechosos.

2. ¿Qué debo hacer para evitar ataques Evil Twin?

• Despliego detección de APs falsos con mi solución WIDS.

• Activo certificados y validación de servidor en EAP-TLS/PEAP para evitar que clientes se conecten a un servidor falso.

3. ¿Cómo aseguro la autenticación en modo empresarial?

• Uso WPA2/WPA3 Enterprise + RADIUS + EAP-TLS o PEAP.

• Emito credenciales únicas para cada usuario y activo rotación automática de claves.

4. ¿Qué hago para proteger mi red de WPS?

• Deshabilito WPS por completo desde la consola del AP.

• Verifico con herramientas como wash si el AP aún responde al protocolo.

• Si uso WPA3, migrar a Easy Connect (DPP) es una mejor alternativa.

🟣 PURPLE TEAM – 4 preguntas para dominar el entorno inalámbrico como arquitecta

1. ¿Cómo diseño una WLAN segmentada por riesgo?

• Creo múltiples SSID, cada uno con su propia VLAN:

  • SSID corporativo (acceso total con EAP-TLS)

  • SSID BYOD (acceso limitado con NAC)

  • SSID invitados (salida solo a Internet)

• Aplico políticas de firewall entre VLANs y monitorización.

2. ¿Cómo correlaciono eventos Wi-Fi con el SIEM?

• Envío logs de RADIUS, WLC, y detección de intrusos inalámbricos al SIEM (Splunk, ELK, AlienVault).

• Busco patrones como:

  • Múltiples fallos de autenticación

  • Asociaciones a APs no autorizados

  • Cambios de canal o SSID sospechosos

3. ¿Qué testeo en un pentest inalámbrico interno?

• Captura y crack de handshakes

• Rogue AP / Evil Twin

• Ataques de DoS con deauth

• Exfiltración por red de invitados

• Pruebas contra clientes (IoT o dispositivos antiguos)

4. ¿Cómo evalúo la seguridad de mis puntos de acceso?

• Audito el firmware → ¿hay vulnerabilidades conocidas?

• Reviso configuración: ¿PMF habilitado?, ¿SSID oculto?, ¿WPS desactivado?, ¿canales solapados?

• Pruebo con herramientas como WiFi Explorer, NetSpot, Ekahau Heatmapper.