¿Qué es un ataque gemelo malvado?


¿Qué es un ataque gemelo malvado?

Los ataques de Evil Twin son principalmente el equivalente de Wi-Fi de las estafas de phishing. Un atacante configurará un punto de acceso Wi-Fi falso, y los usuarios se conectarán a este en lugar de uno legítimo. Cuando los usuarios se conectan a este punto de acceso, todos los datos que comparten con la red pasarán a través de un servidor controlado por el atacante..

gemelos malvados

Salta a…

¿Qué es un ataque gemelo malvado??

En términos simples, un Gemelo malvado, como su nombre indica, es un punto de acceso WiFi que parece legítimo pero está diseñado para espiar y espiar el intercambio inalámbrico de información y datos.

Un Ataque gemelo malvado aprovecha dos vulnerabilidades diferentes. La primera es la forma en que (la mayoría) de los dispositivos manejan las redes Wi-Fi. El segundo es la ignorancia de la mayoría de los usuarios cuando se trata de actualizar y configurar una red Wi-Fi..

Veamos primero la vulnerabilidad técnica. Los ataques de Evil Twin aprovechan el hecho de que la mayoría de las computadoras y teléfonos inteligentes no tienen tanta información sobre las redes a las que se conectan. En muchos casos, todo lo que su dispositivo sabe sobre una determinada red Wi-Fi es su nombre. Esto técnicamente se llama un SSID y se puede cambiar fácilmente.

Debido a que la mayoría de los dispositivos solo conocen el SSID de una red, tienen problemas reales para distinguir entre redes con el mismo nombre. Si está leyendo esto en casa, puede verlo fácilmente en este momento: use su teléfono inteligente para crear un punto de acceso Wi-Fi y asígnele el mismo nombre que su red doméstica. Ahora intente acceder a este punto de acceso en su computadora portátil. Se confundió, ¿verdad? Debido a que solo puede ver los nombres de las redes, cree que los dos puntos de acceso son la misma red.

Se pone peor. La mayoría de las redes grandes, como las que proporcionan Wi-Fi público, tendrán docenas (o quizás cientos) de puntos de acceso, todos con el mismo nombre. Esto significa que los usuarios no se confundirán cuando cambien a un punto de acceso diferente, pero también facilita que un atacante configure puntos de acceso falsos.

Puede instalar herramientas de red de “rastreo” que verán rápidamente la diferencia entre estas redes. Las opciones populares para esto son Wigle Wi-Fi o Kismet. Sin embargo, el usuario promedio no podrá distinguirlos. Combinado con un poco de ingeniería social, esto hace que sea relativamente fácil engañar a los usuarios para que proporcionen a un atacante la contraseña de acceso para una red determinada.

¿Cómo funciona un ataque gemelo malvado??

Echemos un vistazo a los detalles de cómo se produce un ataque Evil Twin típicamente. En la mayoría de los casos, el objetivo de estos ataques es engañar a un usuario para que proporcione a un atacante los detalles de autenticación para una red Wi-Fi. Con acceso de administrador a un enrutador u otro punto de acceso, un atacante puede tomar el control de la red. Luego pueden ver, leer y alterar cualquier tráfico de datos sin cifrar, o lanzar un ataque adicional (como un ataque de hombre en el medio) que les dará un mayor control y acceso.

Falso punto de acceso a la red

Para engañar a un usuario desprevenido para que proporcione una contraseña de Wi-Fi, un "Portal cautivo" se usa típicamente. Esta es una pantalla que probablemente haya visto cuando se conecta a Internet en una cafetería o en el aeropuerto. Por lo general, contiene mucha información que nadie lee y le pide al usuario que ingrese cierta información. Debido a que la mayoría de los usuarios están acostumbrados a ver estas pantallas y no saben cómo deberían verse, ingresarán con gusto cualquier información que un atacante solicite..

Para que hagan esto, un atacante primero configurará un punto de acceso Wi-Fi falso que tiene el mismo nombre que la red de destino. Esto es muy fácil de hacer, como vimos con el ejemplo de teléfono inteligente anterior. Para hacer que esta red sea visible para las víctimas, un atacante traerá su enrutador Wi-Fi, lo ejecutará desde una tarjeta de red en su computadora portátil o (si necesitan más alcance) usará una piña Wi-Fi.

Inundaciones de red

A continuación, deben expulsar a los usuarios de la red. Esto se hace inundando la red con "paquetes de autenticación". Esto hace que la red de destino sea esencialmente imposible de conectar normalmente, por lo que los dispositivos que ya están conectados a ella se descartarán. Los usuarios notarán esto, se molestarán y abrirán el menú de red en su dispositivo.

Pero adivina qué: en la lista de redes a las que se pueden conectar hay una red con el mismo nombre del que acaban de iniciar. El hacker controla esta red. Tampoco es seguro, pero el usuario promedio intentará conectarse de todos modos, asumiendo que la falta de seguridad está relacionada con el “problema de conexión” que acaban de tener.

Redireccionamiento

Después de conectarse a esta nueva red, se le enviará al usuario un portal cautivo diseñado por el atacante. Esto se verá como una página de inicio de sesión estándar, con un montón de información aburrida de aspecto técnico, y le pedirá al usuario que ingrese la contraseña de la red Wi-Fi. Si el usuario ingresa esto, el atacante ahora tiene la contraseña de administrador para la red Wi-Fi, y puede comenzar a tomar el control de la misma..

Cómo identificar ataques gemelos malvados?

Buena pregunta. La detección de un ataque de Evil Twin en progreso depende de que los usuarios vean que acaba de aparecer una nueva red no segura y la eviten.

Puede pensar que esto sería bastante fácil, pero tenemos malas noticias. No lo es Como ya mencionamos, la mayoría de los dispositivos estándar no tienen el tipo de herramientas de detección de redes que les permitan distinguir entre una red legítima y una configuración de un atacante..

Los atacantes también pueden ser inteligentes cuando se trata de hacer que la nueva red parezca confiable. Elegirán el mismo nombre SSID, por ejemplo, y esto a menudo es suficiente para confundir a un dispositivo estándar (¡y a un usuario estándar!).

Yendo más allá, pueden clonar la dirección MAC de la red de confianza. Esto hace que parezca que el nuevo punto de acceso es un clon de los puntos de acceso existentes en la red objetivo, lo que refuerza la ilusión de que es legítimo. Para redes públicas grandes, esto puede incluso hacer que el punto de acceso falso parezca más legítimo que los enrutadores reales, porque a veces los chicos de TI se vuelven vagos y se olvidan de clonar las direcciones MAC.!

La detección se hace aún más difícil por el hecho de que los atacantes no necesitan hardware grande y voluminoso para llevar a cabo un ataque Evil Twin. Pueden usar el adaptador de red en su computadora portátil para lanzar el ataque o llevar un pequeño enrutador como punto de acceso falso. Muchos ataques también hacen uso de una piña Wi-Fi. Este es un kit que tiene usos legítimos como herramienta de prueba de red, pero también se puede usar para crear una red Wi-Fi en un área extensa. Esto significa que un atacante no necesita estar en el mismo edificio, o incluso en la misma calle, para apuntar a una red en particular.

Otra técnica utilizada por los piratas informáticos es hacer que la señal de su red sea mucho más potente que la de la red de destino. Al aumentar la potencia de su señal de Wi-Fi, pueden abrumar a la red objetivo y hacer que sea casi indetectable..

Debido a todo esto, determinar si está conectado a una red legítima o su Evil Twin, puede ser extremadamente difícil. El mejor enfoque es evitar redes no seguras y sospechar de redes duplicadas.

Y, por supuesto, si alguna vez se enfrenta a una página de aspecto incompleto que le solicita detalles de autenticación, nunca ingrese estos!

¿Qué puedo hacer para protegerme de los puntos calientes de Evil Twin??

La detección de ataques de Evil Twin puede ser extremadamente difícil, incluso para usuarios avanzados, porque a veces es imposible distinguir la diferencia entre una red real y una “falsa”..

Para la mayoría de las personas, por lo tanto, la mejor defensa contra los ataques de Evil Twin se basa en dos factores. Una es tener cuidado de usar prácticas de seguridad razonables cuando esté en línea, y especialmente cuando se ve obligado a conectarse a redes públicas de Wi-Fi. El otro es asegurarse de que un atacante no pueda acceder a información personal o confidencial, incluso si logran piratear la red en la que se encuentra. Esto significa cifrar todo, preferiblemente usando una VPN.

Primero, es esencial limitar su exposición a los ataques de Evil Twin actuando de una manera que limite su vulnerabilidad a ellos:

Evite conectar WiFi sin garantía

Lo más importante, debe evitar conectarse a redes que parezcan sospechosas. Nunca, nunca se conecte a una red que no sea segura si tiene la opción, especialmente si tiene el mismo nombre que uno de su confianza!

Presta atención a las notificaciones

En una nota relacionada, debe prestar atención a las advertencias que genera su dispositivo cuando se conecta a ciertos tipos de red. Con demasiada frecuencia, los usuarios descartan estas advertencias como una molestia más, pero en realidad, su software está tratando de hacerle un favor manteniéndolo a salvo..

Evite usar cuentas sensibles

A veces, se verá obligado a conectarse a una red pública, y a veces incluso a una no segura. Si se trata de esto, hay un par de pasos que debe seguir para limitar su exposición. Obviamente, no debe usar una red como esta para iniciar sesión en cuentas importantes, incluidas sus fuentes de redes sociales, pero especialmente redes corporativas o servicios de banca por Internet. Si, como la mayoría de las personas, su teléfono inteligente se conecta continuamente a ciertas cuentas, debe cerrar sesión manualmente en su teléfono o no conectarlo a través de Wi-Fi.

Limite la conectividad automática

Otra técnica útil es limitar las redes a las que su dispositivo se conecta automáticamente y solicitar su aprobación cuando intenta conectarse a una nueva red. Hacer esto le permitirá revisar rápidamente la red a la que está a punto de conectarse y detectar si parece sospechoso.

La forma final de protegerse contra los ataques de Evil Twin es tan importante que vale la pena una sección propia. Si desea mantenerse a salvo en línea, contra los ataques de Evil Twin y muchas otras amenazas, realmente debería …

Usa una VPN

Los ataques de Evil Twin, como hemos visto, son difíciles de detectar. Además, debido a que el cifrado proporcionado por los protocolos de seguridad estándar de Wi-Fi como WPA y WPA2 solo comienza una vez que su dispositivo establece una conexión con un punto de acceso, no puede confiar en él para protegerlo contra la red maliciosa de un atacante.

Por lo tanto, la mejor manera de asegurarse de estar protegido es usar una Red Privada Virtual (VPN). Esta es una de las únicas formas sugeridas por la Alianza Wi-Fi para defenderse de los ataques de Evil Twin.

Una VPN funciona creando un túnel encriptado entre usted y un servidor VPN. Por lo general, un cliente VPN funcionará a través de su navegador, o incluso a nivel de su sistema operativo. Cada elemento de información que intercambia con la red más amplia está encriptado por su dispositivo, y solo puede ser desencriptado por su servidor VPN.

Como resultado, incluso si alguien logra interceptar los datos que envía y recibe, no podrá leerlos ni explotarlos. Las VPN más seguras utilizan protocolos de encriptación de grado militar que superan con creces la seguridad ofrecida por los protocolos de seguridad estándar de Wi-Fi y, por lo tanto, mantienen sus datos completamente seguros.

Conclusión

A medida que el número y la sofisticación de los ciberataques continúan creciendo, vale la pena mantenerse al tanto de los diferentes tipos de amenazas que podría enfrentar. Un ataque de Evil Twin es solo uno de estos, aunque es bastante común y puede ser devastadoramente efectivo contra víctimas desprevenidas..

La clave para evitar los ataques de Evil Twin es principalmente similar a las precauciones que debe tomar contra cualquier vulnerabilidad de seguridad. Asegúrese de saber a qué redes, servidores y aplicaciones web está conectado. Nunca, nunca envíe información confidencial a través de redes no seguras, o cuando use Wi-Fi público.

Y finalmente, encripte todo usando una VPN. Hacerlo no solo te protegerá contra los ataques de Evil Twin, sino que también derrotará a muchas otras variantes de ataque y también te mantendrá anónimo en línea..

Aquí hay algunas guías más sobre las amenazas WiFi:

Echa un vistazo a nuestras otras guías para asegurarte de que puedas detectar otros tipos de ataque..

  • Ataque de olfateo de paquetes
  • Guía de prevención de secuestro de sesiones
  • DNS Spoofing