Wi‑Fi Pineapple: qué es y por qué puede ser peligroso en manos de ciberdelincuentes

Wi‑Fi Pineapple: qué es y por qué puede ser peligroso en manos de ciberdelincuentes

Wi-Fi Pineapple — un dispositivo compacto para auditar redes inalámbricas que, en manos de un atacante, se convierte en una trampa. Colocado en una cafetería, aeropuerto o pasillo de oficina, la «piña» se hace pasar por un punto de acceso legítimo e intercepta el tráfico. Analizaremos cómo funciona y cómo no caer en la trampa.

Qué es Wi-Fi Pineapple

El Pineapple original lo vende la empresa Hak5. El primer prototipo (Mark I) se presentó en DEF CON 16 en 2008; hoy la versión vigente es Mark VII: un mini-router de doble banda con el firmware PineAP, interfaz web y módulos como DNS Spoof o Deauth. Ataques similares pueden implementarse en un portátil o en un Raspberry Pi usando las utilidades aircrack-ng, Karma y hostapd.

Esquemas clásicos de ataques de Pineapple

  • Evil Twin. El atacante clona el SSID (y si lo desea, también la dirección MAC) del router «original», pero emite una señal más potente o elimina la contraseña. El dispositivo de la víctima considera la red conocida, compara el perfil guardado y se conecta automáticamente. El atacante enruta el tráfico de internet a través de sí mismo, actuando como intermediario; así ve todo lo no cifrado, puede degradar HTTPS mediante la sustitución de certificados e inyectar páginas maliciosas.
  • KARMA. El Pineapple escucha pasivamente el espectro y registra las peticiones Probe del teléfono («¿Está aquí mi Wi‑Fi doméstico?»). A cualquier petición de ese tipo el dispositivo responde afirmativamente, abriendo la sesión al instante. El teléfono, sin verificar el cifrado, se conecta al punto "amistoso" y todo el tráfico posterior pasa por la «piña».
  • Rogue AP. Se juega con la confianza: se crea una red abierta «Free Airport WiFi» o «Coffee-Guest». El usuario la selecciona manualmente buscando internet gratis y acaba en la misma situación de man-in-the-middle (o persona en el medio) que en el Evil Twin, solo que sin la «magia» técnica de la conexión automática.
  • Deauth Flood. El Pineapple envía tramas De-Authentication falsificadas, forzando a los clientes a desconectarse del AP legítimo. Al perder la conexión, los dispositivos buscan inmediatamente una alternativa; la más cercana suele ser un Evil Twin o un punto KARMA. Así, el atacante redirige forzosamente a las víctimas hacia sí mismo sin su participación.
  • DNS Spoof / Captive Portal Hijack. Al asumir el papel de intermediario, la «piña» falsifica las respuestas DNS y redirige el navegador de la víctima a sitios falsos o a un portal de autenticación falso. La persona escribe «facebook.com» pero obtiene la dirección IP del servidor del atacante, introduce usuario y contraseña y en realidad entrega las credenciales al atacante.

Consecuencias para el usuario

El tráfico interceptado permite leer sitios no cifrados, recopilar cookies y —en caso de una sustitución exitosa de certificados— interceptar inicios de sesión. Incluso si HTTPS no se ve comprometido, el atacante conoce qué dominios visita la víctima y puede imponer software malicioso mediante descargas de «actualizaciones» o archivos APK.

Riesgo adicional para empresas

Si se conecta un Pineapple a una toma Ethernet libre o se obtiene el PSK corporativo, el atacante queda dentro de la red y accede a servicios internos y credenciales (táctica MITRE TA0006 «Acceso a credenciales»). CISA considera estos puntos como amenazas de WLAN clave.

Cómo protegerse los usuarios particulares

  1. Evite el Wi‑Fi público: comparta internet desde su teléfono inteligente.
  2. Use una VPN con «kill switch»: si se corta el túnel, todo el tráfico queda bloqueado.
  3. Habilite DNS-over-HTTPS: esto dificulta la falsificación de DNS.
  4. Verifique el SSID y desactive la conexión automática a redes públicas.
  5. Dirección MAC aleatoria reduce la «huella» de las solicitudes Probe.
  6. Atento a las advertencias HTTPS y no ignore los errores de certificado.

Cómo proteger la red doméstica

  • Cambie el SSID y la contraseña de administrador predeterminados.
  • Active WPA3 (o al menos WPA2-AES) y deshabilite WPS.
  • Configure una red de invitados y una VLAN para dispositivos IoT.
  • Active Protected Management Frames (PMF) para complicar los ataques de deauth.

Recomendaciones para empresas

  1. Implemente WIDS/WIPS: sistemas de detección y prevención de intrusiones inalámbricas.
  2. Escanee regularmente la oficina en busca de SSID «no autorizados» y dispositivos desconocidos.
  3. Implemente 802.1X con certificados en lugar de una contraseña compartida.
  4. Active el aislamiento de clientes y la segmentación de la red.
  5. Utilice NAC —control de acceso a la red— que bloquee dispositivos no registrados.
  6. Capacite al personal para identificar puntos de phishing y reaccionar ante las advertencias del navegador.

En resumen

Wi‑Fi Pineapple — una herramienta legal para auditores que en manos ajenas se convierte en un arma potente. Minimice la confianza en las redes públicas, cifre el tráfico y verifique con atención cualquier punto «gratuito». Para las empresas, el monitoreo, la segmentación y la autenticación estricta son críticas: esto constituye una barrera fiable contra la «piña».

*La empresa Meta y sus productos han sido reconocidos como extremistas; su actividad está prohibida en el territorio de la Federación Rusa.

Alt text
article-title

Techno Lady