Consideraciones para la Instalación de Redes Inalámbricas 

Wireless Deployment Considerations (WDC)

Este tema es clave en la arquitectura de red, especialmente desde la visión Purple, ya que una mala instalación o configuración de Wi-Fi puede abrir puertas invisibles al atacante.


1️. ¿Qué es? ¿Cómo funciona? ¿Por qué es importante?

📶 Wireless Deployment Considerations – Consideraciones para la Instalación de Redes Inalámbricas (WDC)

¿Qué son?
Son los factores técnicos, físicos y de seguridad que se deben tener en cuenta al instalar, configurar y mantener una red Wi-Fi corporativa o doméstica.
Incluyen el tipo de banda (2.4GHz / 5GHz), elección de canal, ubicación del WAP, potencia de transmisión, medidas anti-interferencia y estudios de cobertura.

¿Por qué es importante?
Una red inalámbrica mal diseñada puede:

  • Ser fácilmente atacable (Evil Twin, sniffing, DoS)

  • Tener zonas ciegas o superposición de canales

  • Exponer la red interna por mala segmentación

  • Sufrir interferencias o caídas constantes

📖 Analogía realista:
Es como instalar cámaras de seguridad: si las colocas en los ángulos incorrectos o con zonas oscuras, el intruso puede pasar sin ser visto. Lo mismo con el Wi-Fi: la mala cobertura o el exceso de señal puede dejar "puertas" abiertas o puntos muertos.


2️. Ejemplos prácticos

🏢 Oficinas corporativas

  • Puntos de acceso colocados demasiado cerca → canales se solapan, interferencias.

  • Un WAP expuesto al exterior (cerca de la ventana) → accesible desde la calle.

  • Canal 6 usado en múltiples WAPs en la misma planta → colisiones de señal.

  • Uso de 2.4GHz con dispositivos de cocina cerca → interferencias de microondas.

  • No se aplicó segmentación → red de invitados con acceso a la red interna.

🏠 Entornos domésticos

  • WAP con contraseña débil y WPA2-PSK → fácil objetivo para cracking con diccionario.

  • Repetidores mal ubicados generan latencia y fallos.

  • Red 5GHz con buena velocidad pero baja cobertura → no llega al dormitorio.


3️. Herramientas y soluciones reales

Herramienta Función -- Comentario
Ekahau / NetSpot / AirMagnet Estudios de sitio y mapas de calor -- Profesionales
WiFi Analyzer / WiFi Explorer / Lizard Systems Análisis de canales y potencia de señal -- Intermedias
Kismet / Airodump-ng Detección de redes y puntos de acceso sospechosos -- Avanzadas (Red Team)
Unifi Controller / Aruba Central / Cisco Meraki Gestión centralizada de WAPs, canales y potencia -- Empresas
Wireless Intrusion Detection System (WIDS) Detección de ataques inalámbricos -- Blue Team/Purple


4️. Visión Red / Blue / Purple Team

🔴 Red Team

  • Lanza Evil Twin: copia el SSID, usa mayor potencia → engaña a usuarios para que se conecten.

  • Escanea con Kismet o Airodump-ng para encontrar redes mal protegidas o canalizadas.

  • Usa ataques de DoS inalámbrico (deauth flood) para forzar reconexiones.

  • Ubica WAPs mal posicionados y realiza ataques desde el exterior del edificio.

🔵 Blue Team

  • Realiza estudios de sitio antes de desplegar puntos de acceso.

  • Configura los WAP con:

    • WPA3-Enterprise (EAP-TLS)

    • Canal adecuado (no solapado)

    • Potencia ajustada para evitar fugas fuera del perímetro

  • Segmenta red Wi-Fi de invitados/IoT con VLAN y firewall

  • Aplica detección de WAPs no autorizados con WIDS

🟣 Purple Team

  • Evalúa si los controles actuales detectan puntos de acceso no autorizados.

  • Simula ataques Evil Twin y mide detección + respuesta.

  • Automatiza análisis de canales con scripts y genera mapas de calor con NetSpot o Ekahau.

  • Corrige el plan de despliegue inalámbrico según lecciones del Red Team y el monitoreo.


5️. Resumen práctico

Una red inalámbrica segura requiere:

  • Planificación basada en mapa de calor

  • Configuración correcta de canales y bandas

  • Ubicación estratégica de los WAPs

  • Medidas de seguridad como WPA3, VLAN y monitoreo continuo

El Wi-Fi es el punto de entrada más fácil para un atacante si no se cuida con precisión quirúrgica.


6️. Conceptos Clave con Resumen

WAP – Wireless Access Point (Punto de acceso inalámbrico)

Dispositivo que conecta clientes Wi-Fi a una red cableada. Actúa como puente entre medios.

SSID – Service Set Identifier

Nombre visible de una red Wi-Fi. Puede ser ocultado, aunque no recomendado como único mecanismo de seguridad.

BSSID – Basic Service Set Identifier

Dirección MAC única que identifica al punto de acceso en una red Wi-Fi.

2.4GHz vs 5GHz

  • 2.4GHz: Mayor cobertura, menos velocidad, más interferencias.

  • 5GHz: Más velocidad, menor alcance, menos saturación de canales.

Canales Wi-Fi

Frecuencias dentro de una banda. Deben configurarse de forma no solapada (1, 6, 11 en 2.4GHz) para evitar interferencias.

Channel Bonding – Canal enlazado

Permite usar múltiples canales al mismo tiempo para aumentar el ancho de banda, pero aumenta las interferencias.

Estudio de Sitio – Site Survey

Proceso técnico para planificar la ubicación de WAPs mediante análisis de señal, interferencia y uso del canal.

Mapa de calor – Heatmap

Representación visual de la intensidad de señal en un plano. Ayuda a ajustar la cobertura inalámbrica.

WIDS – Wireless Intrusion Detection System

Sistema que monitoriza el espectro inalámbrico para detectar APs no autorizados, ataques de deauth, o suplantación de SSID.

💡 CURIOSIDADES Y CLAVES IMPORTANTES – REDES INALÁMBRICAS

1. 🧲 Demasiada cobertura = más riesgo

  • Muchas empresas piensan: "Mejor que sobre señal a que falte".

  • Pero una señal que rebasa el perímetro físico del edificio permite ataques desde el parking, la calle o la cafetería de enfrente.

  • Solución: Ajustar la potencia de emisión de los WAP y usar mapas de calor para reducir la fuga de señal al exterior.


2. 🎭 Evil Twin no necesita que rompas la clave

  • En ataques de Evil Twin, el atacante no necesita descifrar la contraseña si el usuario ya la conoce.

  • Solo necesita:

    • Copiar el SSID

    • Usar más potencia

    • Esperar que el cliente se conecte (o forzarlo con deauth flood)

  • Así captura cookies, tokens o redirige a portales falsos.


3. 📶 El canal por defecto (ej. 6) es el más atacado

  • Muchos routers y puntos de acceso vienen configurados en el canal 6 (2.4GHz).

  • Si no se cambia, se genera colisión de señales y es más fácil de encontrar para escaneadores.

  • ¡Y el atacante ya sabe que estás ahí sin esfuerzo!


4. 🔥 El microondas y el Wi-Fi usan la misma frecuencia

  • El microondas opera en 2.4GHz, igual que muchas redes Wi-Fi.

  • Si hay uno cerca del WAP, cada vez que se usa genera interferencias brutales.

  • En entornos industriales también pasa con motores, luces LED o refrigeración.


5. 🛠️ El mejor diseño de Wi-Fi... ¡no se ve!

  • Si todo está bien hecho:

    • No hay zonas muertas

    • No hay WAPs visibles desde la calle

    • No se ve saturación de canales

    • No necesitas reiniciar el router cada 3 días

  • El Wi-Fi silencioso es el más seguro.


6. 📲 BYOD + Wi-Fi = pesadilla sin segmentación

  • Si empleados o invitados usan la red principal, su dispositivo puede:

    • Estar comprometido

    • Hacer sniffing

    • Servir como pivot para ataques internos

  • Solución:

    • VLAN de invitados

    • Portal cautivo

    • Filtrado MAC o mejor: 802.1X + NAC


7. 🔒 WPA2-PSK ≠ Seguridad real

  • Aunque uses WPA2 con clave fuerte, la red sigue siendo vulnerable a ataques pasivos:

    • Captura de handshake → fuerza bruta offline

    • Reutilización de PSK en varios dispositivos

    • Compartición no controlada de la clave

🧠 Pro Tip:
WPA3-Enterprise (con RADIUS + certificados) = verdadera seguridad Wi-Fi corporativa.


8. 🎨 Mapas de calor: arte y ciencia

  • Los mejores mapas de calor:

    • Se hacen caminando con herramientas profesionales

    • Tienen en cuenta obstáculos físicos reales

    • Evalúan canales, intensidad y solapamientos

  • Existen herramientas para pruebas predictivas antes de instalar nada:

    • Dibujas el plano → colocas WAPs virtuales → simulas cobertura


9. 🧱 Las paredes no son iguales para el Wi-Fi

  • Una pared de pladur atenúa poco.

  • Una de ladrillo, más.

  • Una de hormigón armado, o un ascensor metálico = casi bloqueo total.

⚠️ Hay lugares donde necesitarás sí o sí otro WAP o repetidor bien configurado (¡y segmentado!).


10. 🚷 Red inalámbrica ≠ libre para todos

  • Muchas organizaciones conectan todo a la Wi-Fi:

    • Portátiles

    • Móviles

    • Cámaras

    • Alexa, Smart TV, Impresoras, IoT...

⚠️ Esto crea una jungla sin control, ideal para pivoting y reconocimiento de atacantes internos.

💡 Solución:

  • Separar tráfico por VLANs

  • Monitorizar tráfico anómalo

  • Aplicar política de acceso mínima (Zero Trust inalámbrico)


🎯 CLAVE MAESTRA PURPLE

Una red Wi-Fi mal configurada es como una puerta abierta invisible.
Solo un estudio profesional y una arquitectura bien segmentada puede cerrar los caminos que el atacante ya conoce.

🧪 EJERCICIOS PURPLE TEAM – REDES INALÁMBRICAS

EJEMPLO 1 – Nivel Avanzado

Escenario: Oficina con WAP mal ubicado y canal solapado

🔴 Red Team

  1. Detecta una red Wi-Fi con SSID visible cerca de la calle.

  2. Escanea con Airodump-ng y encuentra que el canal 6 está sobresaturado.

  3. Lanza un ataque de Evil Twin usando airbase-ng con el mismo SSID pero mayor potencia.

  4. Usa Wireshark para capturar cookies de sesión al forzar desconexiones con aireplay-ng -0 10.

🔵 Blue Team

  1. Detecta múltiples conexiones fallidas y fluctuaciones inusuales en logs del controlador Wi-Fi.

  2. Revisa el mapa de calor y descubre que el WAP está mal posicionado (muy cerca de ventanas).

  3. Cambia canal al menos solapado (1 o 11), reubica el WAP más al interior y reduce la potencia de emisión.

  4. Habilita WIDS para alertar sobre SSIDs duplicados en el aire.

🟣 Purple Team

  1. Lanza simulaciones Evil Twin mensuales para comprobar detección.

  2. Usa Kismet + Wazuh para centralizar eventos sospechosos de Wi-Fi.

  3. Genera informes comparativos de cobertura antes y después con NetSpot.

  4. Integra monitoreo continuo en el SIEM para correlacionar eventos Wi-Fi con usuarios.


EJEMPLO 2 – Nivel Experto

Escenario: Red de invitados sin segmentación ni control de acceso

🔴 Red Team

  1. Se conecta a la red Wi-Fi "Invitados" con clave conocida.

  2. Descubre que tiene acceso completo al resto de la red interna (no está segmentada).

  3. Usa nmap -sn para descubrir dispositivos activos.

  4. Explora servicios internos con nmap -sV y lanza ataque de contraseña sobre SMB (CrackMapExec).

🔵 Blue Team

  1. Audita la red y descubre que la VLAN de invitados está puenteada a la interna.

  2. Reconfigura WAPs para asignar SSID "Invitados" a una VLAN separada con ACLs restrictivas.

  3. Aplica reglas de firewall:

    • Solo acceso a Internet

    • DNS controlado

    • Logs de tráfico activados

  4. Habilita portal cautivo y aislamiento de clientes en la red de invitados.

🟣 Purple Team

  1. Valida que el acceso desde la VLAN de invitados a recursos internos genera alerta inmediata.

  2. Realiza pruebas de fuga (exfiltración desde red invitada) con curl, dnslookup, etc.

  3. Implementa pruebas periódicas para validar segmentación L2 y L3.

  4. Genera un reporte técnico con:

    • Tabla de reglas de firewall aplicadas

    • Pruebas de conectividad bloqueada

    • Alertas capturadas


 3 – Nivel Maestro

Escenario: Infraestructura Wi-Fi corporativa mal planificada, sin mapas de calor ni detección de APs falsos

🔴 Red Team

  1. Con Kismet, descubre SSIDs repetidos en la misma planta.

  2. Detecta canales 1, 6 y 11 usados en exceso → genera colisión de señales.

  3. Lanza un WAP falso (Evil Twin) con SSID "EmpresaX_5G", clona BSSID y utiliza mayor potencia.

  4. Usuarios se conectan automáticamente → realiza ataque Captive Portal phishing con Wifiphisher.

🔵 Blue Team

  1. Analiza logs de desconexiones masivas y aumento de errores de autenticación.

  2. Descubre que no hay WIDS y que varios WAPs están mal canalizados y sobrelapados.

  3. Implementa estudio de sitio profesional con Ekahau para rediseñar cobertura y canales.

  4. Instala WIDS con alertas automáticas en caso de:

    • SSID duplicado

    • Deauth flood

    • Cambio de BSSID sospechoso

🟣 Purple Team

  1. Integra detección automática de APs falsos en el SIEM (integración WIDS + Elastic / Graylog).

  2. Automatiza reportes semanales de canales utilizados y cobertura real.

  3. Establece simulacros de phishing inalámbrico y valida entrenamiento del personal.

  4. Documenta y audita los cambios post-mapa de calor:

    • Ubicación nueva de WAPs

    • Canales asignados

    • Potencia optimizada

    • Reducción de zonas ciegas o de fuga de señal


RESULTADOS DEL ENTRENAMIENTO

  • Detectas configuraciones Wi-Fi mal diseñadas y zonas vulnerables.

  • Proteges redes inalámbricas con segmentación, canalización y monitoreo activo.

  • Simulas ataques realistas de Red Team y refinas la arquitectura Wi-Fi a través de mapas de calor.

  • Automatizas vigilancia y refuerzo continuo de la red inalámbrica desde la visión Purple.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar