📶 Fortalecimiento de Wi-Fi, Tethering y Redes Personales (PAN)

Nivel: Intermedio | Contexto: Seguridad móvil empresarial (Purple Team)

1. 🔐 Seguridad Wi-Fi en entornos corporativos

1.1. Wi-Fi corporativo seguro: WPA3

  • Los dispositivos móviles priorizan Wi-Fi frente a datos móviles si hay redes disponibles.

  • Conexiones a redes corporativas protegidas con WPA3 (o WPA2-Enterprise) ofrecen:

    • Autenticación fuerte.

    • Cifrado de datos en tránsito.

    • Protección contra ataques MitM.

Recomendado: Establecer políticas MDM para:

  • Aceptar solo redes corporativas preconfiguradas.

  • Deshabilitar la conexión a redes abiertas o desconocidas.

  • Registrar intentos de conexión a redes Wi-Fi no autorizadas.

1.2. Amenaza: Puntos de acceso falsos (Rogue AP)

🧨 Un atacante crea un AP con el mismo nombre (SSID) que el Wi-Fi corporativo.

  • Si el usuario se conecta, puede ser víctima de:

    • Suplantación DNS (DNS spoofing).

    • Interceptación de credenciales.

    • Ataques MitM, incluso sobre HTTPS (si fuerza HTTP downgrade o usa certificados falsos).

🛡️ Medida defensiva: Usar certificados de servidor y validación estricta del certificado (SSL pinning) en las apps móviles corporativas.

2. 🔗 Redes de Área Personal (PAN)

2.1. PANs y conexiones ad hoc

  • Incluyen:

    • Conexión por Bluetooth.

    • Conexión Wi-Fi Direct (punto a punto sin router).

    • Redes ad hoc entre dispositivos.

⚠️ Riesgo: Un atacante puede explotar una conexión PAN abierta o mal configurada para:

  • Saltar a la red corporativa.

  • Robar datos del dispositivo.

  • Propagar malware.

Recomendación: Deshabilitar estas funciones en dispositivos corporativos a través del MDM o políticas de seguridad móvil.

2.2. Wi-Fi Direct y su riesgo

  • Wi-Fi Direct convierte un dispositivo en un punto de acceso improvisado (SoftAP).

  • Utiliza WPS, que es vulnerable a ataques de fuerza bruta y MitM.

No se recomienda su uso en entornos empresariales.
Política MDM: Bloquear Wi-Fi Direct y restringir comunicación peer-to-peer.

3. 📱 Tethering y Hotspots

3.1. ¿Qué es el tethering?

  • Compartir conexión de datos del móvil con otros dispositivos:

    • Por Wi-Fi (funciona como hotspot).

    • Por USB o Bluetooth (conexión directa).

⚠️ Riesgo principal:
Permite a usuarios evadir la red corporativa y sus controles:

  • Políticas DLP (prevención de fuga de datos).

  • Filtros de contenido.

  • Auditoría de tráfico y conexiones.

3.2. Medidas de control y bloqueo

Desde el MDM:

  • Deshabilita hotspot y tethering.

  • Detecta eventos de activación de punto de acceso.

  • Aplica bloqueo contextual si el dispositivo no está en la oficina.

Desde el EDR/SIEM:

  • Correlaciona actividad sospechosa desde dispositivos móviles.

  • Detecta picos de tráfico que puedan indicar "salida" de información fuera del túnel corporativo.

4. 🧰 Herramientas de gestión útiles

  • Microsoft Intune / Jamf / VMware Workspace ONE Deshabilitar Wi-Fi Direct, tethering, PAN
  • MobileIron / IBM MaaS360 Políticas de acceso a redes Wi-Fi seguras
  • Zscaler / Cisco Umbrella Protección DNS contra spoofing en redes públicas
  • NAC (Network Access Control) Bloqueo de conexiones no autorizadas a la red

5. 🧪 Reto práctico (Purple Team)

🎯 Simula un entorno con tethering y rogue AP para probar las defensas

  1. Activa un hotspot Wi-Fi en tu móvil con el mismo SSID que la red corporativa.

  2. Intenta que otro dispositivo se conecte y acceda a sitios corporativos.

  3. Usa Wireshark para capturar tráfico (¿puedes ver datos?).

  4. Luego, crea una política MDM que bloquee el tethering y repite.

  5. Verifica si el SIEM genera alertas por actividad inusual en la red.

Claves técnicas, curiosidades y errores comunes

1. 🔐 Claves técnicas para entender los riesgos reales

1.1. Un AP falso puede tener más señal que tu red real

  • En una oficina, un atacante puede crear un Rogue AP con el mismo SSID que el Wi-Fi legítimo.

  • Los móviles suelen conectarse al AP con mayor señal, no al más seguro.

  • Resultado: el atacante intercepta tráfico, fuerza DNS falsos, falsifica portales de login.

🧠 Clave Purple Team:
Como Red Team, simula Rogue AP y ataques de downgrade HTTPS.
Como Blue Team, fuerza validación de certificados en apps + bloquea conexiones automáticas a SSIDs duplicados.

1.2. Tethering = puerta trasera móvil

  • Un empleado puede activar su hotspot, conectarse con su portátil y sortear el firewall corporativo.

  • No pasa por el proxy, ni por el DLP, ni por el SIEM.

🛡️ Medida:
Restringe hotspot/tethering vía MDM y supervisa consumo de batería/datos inusuales.
Activa alertas por puertos TCP comunes (80, 443) abiertos en interfaces Wi-Fi locales no autorizadas.

1.3. Wi-Fi Direct y WPS: vulnerabilidad histórica

  • Wi-Fi Direct usa WPS (Wi-Fi Protected Setup), que es vulnerable a:

    • Reaver: fuerza PIN WPS y obtiene contraseña WPA.

    • Pixie Dust: ataca implementaciones débiles de WPS offline.

🔒 Recomendación Blue Team:

  • Desactiva WPS desde el MDM.

  • Bloquea Wi-Fi Direct si no es estrictamente necesario.

2. 📚 Curiosidades que todo arquitecto Purple debe conocer

📍 iOS no usa Wi-Fi Direct, sino un sistema propio

  • Apple usa Multipeer Connectivity Framework (MCF).

  • No compatible con Wi-Fi Direct de Android → menor riesgo de conexión directa P2P.

📱 Algunos dispositivos pueden actuar como puente de red

  • Ejemplo: un móvil conectado por USB a un PC puede actuar como puente Wi-Fi–USB → riesgo de bypass.

🎯 Ataques comunes:

  • Bridge attack para saltar VLANs.

  • Network sharing desde móvil para que otros dispositivos accedan a la red corporativa.

🔧 Tethering por Bluetooth = canal invisible

  • Menos común, pero más difícil de detectar.

  • Puede usarse para exfiltrar datos lentamente sin levantar alertas de tráfico.

🧠 Purple Tip: simula un ataque con Bluetooth tethering y mide si tu SIEM lo detecta.

3. ❌ Errores comunes

❌ "Mi Wi-Fi tiene contraseña, así que es seguro"

  • WPA2 con contraseña débil = fácilmente crackeable con captura de handshake + diccionario.

  • WPA3 o WPA2-Enterprise es lo mínimo aceptable para empresas.

❌ "Desactivé el Wi-Fi Direct en Android, ya estoy protegido"

  • Muchos fabricantes no permiten desactivarlo completamente sin root o políticas avanzadas de MDM.

  • Algunos dispositivos siguen emitiendo frames de descubrimiento (¡sí!).

❌ "Los empleados no pueden hacer tethering si no lo ven en ajustes"

  • Hay apps de terceros que activan tethering oculto o por comandos ADB.

  • Solo el MDM puede realmente bloquear esta función a bajo nivel.

4. 🔎 Revisión para arquitectos Purple

✅ ¿La red Wi-Fi usa WPA3 o WPA2-E con RADIUS?
✅ ¿Las apps móviles validan los certificados de servidor (SSL pinning)?
✅ ¿El tethering y hotspot están deshabilitados y monitoreados?
✅ ¿Wi-Fi Direct está bloqueado?
✅ ¿El SIEM detecta conexiones externas desde interfaces no autorizadas?
✅ ¿Se realizan simulaciones periódicas de Rogue AP + DLP bypass?

5. 🧪 Mini reto Purple Team

🎯 Objetivo: Testear si puedes exfiltrar datos desde el móvil al exterior usando Wi-Fi Direct o tethering.

Pasos:

  1. Conecta tu móvil a un PC sin pasar por la red corporativa (ej. tethering).

  2. Envía datos (PDF, CSV, etc.) a un servidor externo usando HTTP simple.

  3. ¿El EDR/Firewall lo detecta? ¿Saltaste controles?

  4. Crea una política MDM que bloquee esta exfiltración.

  5. Repite y verifica que ahora no sea posible.

Parte 2 – Curiosidades, claves técnicas y detalles que marcan la diferencia

Tema: Fortalecimiento de Wi-Fi, Tethering y Redes Personales (PAN)

🔐 Nivel: Purple Team Intermedio → Avanzado
📌 Enfoque: Vigilancia contextual + prevención invisible + políticas MDM a nivel quirúrgico

1. 📡 Curiosidades técnicas

1.1. Los móviles recuerdan SSIDs eternamente

  • Los móviles almacenan los SSIDs a los que se han conectado.

  • Esto permite ataques Karma (conexiones automáticas a redes con SSIDs conocidos).

  • Herramientas como WiFi Pineapple explotan esto creando múltiples AP falsos a la vez.

🔒 Solución Blue Team:

  • Políticas MDM que borran redes conocidas automáticamente tras su uso.

  • Configurar que solo se pueda conectar a redes preautorizadas.

1.2. Una red "abierta" puede simular seguridad

  • Un AP malicioso puede imitar a una red corporativa, pero sin cifrado.

  • El atacante puede servir un portal falso de login (phishing captivo).

⚠️ Algunas apps móviles se conectan sin verificar el certificado → se expone el tráfico.
✅ Solución: SSL pinning obligatorio en todas las apps de la empresa.

1.3. El Wi-Fi puede filtrar la ubicación sin GPS

  • Aunque el GPS esté desactivado, Android/iOS puede estimar la ubicación por triangulación Wi-Fi.

  • Las apps pueden pedir "ubicación aproximada", obtener SSIDs cercanos y consultar bases de datos públicas (como Google Location Services).

🧠 Esto tiene implicaciones graves para:

  • Privacidad del usuario.

  • Exposición geográfica de dispositivos corporativos.

✅ Solución: política MDM que revoca permisos de geolocalización a apps no necesarias.

2. 🔗 Claves de protección para el Purple Team

2.1. El Wi-Fi puede ser un canal oculto de comando y control

  • Un atacante puede usar Wi-Fi Direct + app maliciosa para establecer un canal C2 entre dispositivos móviles.

  • Algunos malwares modernos ya integran esta funcionalidad para no depender de Internet.

🛡️ Acción Blue Team:

  • Usa EDR que monitoree interfaces activas en tiempo real.

  • Configura alertas para conexiones peer-to-peer activas.

2.2. Bluetooth no es solo para auriculares

  • Se puede usar para:

    • Transferir archivos.

    • Acceder a contactos, SMS, ubicación.

    • Abrir redes PAN ocultas.

🔥 Ejemplo de ataque: BlueBorne permite ejecución remota de código por Bluetooth incluso sin emparejamiento.
✅ Protección:

  • Desactivar Bluetooth si no es estrictamente necesario.

  • Aplicar reglas de visibilidad oculta.

  • Forzar emparejamiento solo por PIN largo.

2.3. El tethering USB es una puerta trasera elegante

  • Si no se controla, un empleado puede:

    • Compartir Internet del móvil a un PC que no debería tenerlo.

    • Enviar datos fuera de la red (saltándose DLP).

    • Usar un canal alternativo para recibir comandos desde el exterior.

✅ Protección:

  • Desactivar tethering en ajustes y forzarlo vía MDM.

  • Aplicar restricciones a puertos USB (modo solo carga).

  • Supervisar conexiones de red con orígenes USB.

3. ❌ Errores comunes que debes eliminar

Error - Por qué es crítico: Solución inmediata

  • Permitir redes abiertas con contraseña débil Fáciles de crackear Obligar WPA3/WPA2-E con RADIUS
  • No bloquear Wi-Fi Direct Permite conexiones directas invisibles Política MDM: bloquear Wi-Fi Direct
  • Dejar Wi-Fi activo cuando no se usa Permite rastreo, ataques de respuesta Apagar automáticamente fuera del horario
  • Usar tethering "solo por hoy" Crea un canal no supervisado MDM: bloquear permanentemente
  • Usar WPS en dispositivos antiguos Vulnerabilidad conocida Reemplazar o deshabilitar por completo

4. 🧪 Mini reto Purple

🎯 Objetivo: Simula un entorno con múltiples vectores Wi-Fi inseguros y mide detección

  1. Activa un AP falso con el nombre de una red legítima.

  2. Intenta que un móvil se conecte automáticamente (ataque Karma).

  3. Captura tráfico con Wireshark.

  4. Activa tethering en el móvil y conecta un PC.

  5. Intenta enviar un archivo fuera del perímetro.

  6. Aplica políticas MDM una por una y mide si lo puedes repetir.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar