¿Creías que tu vecino no puede ver tu historial de navegación? Tenemos malas noticias para ti.
Fallo en el estándar Wi‑Fi deja expuestos datos de usuarios
El Wi-Fi con el aislamiento de clientes habilitado se consideraba desde hace tiempo una protección fiable frente a los vecinos en la red. Pero los investigadores demostraron que dicha protección en muchos casos funciona solo en teoría. Casi todos los routers y puntos de acceso probados permiten eludir el aislamiento y capturar el tráfico de otros usuarios, incluidas redes corporativas y campus universitarios.
Los autores del trabajo sobre AirSnitch estudiaron cómo se implementa el aislamiento de clientes en redes Wi-Fi y lo comprobaron en la práctica. Resultó que el mecanismo no está estandarizado en el marco de IEEE 802.11, por lo que los fabricantes lo implementan a su manera. Como resultado, la protección a menudo resulta incompleta o solo se aplica en un nivel, por ejemplo en el enlace de datos, pero no en el nivel de red.
Los investigadores probaron cinco routers domésticos populares, dos firmware de código abierto y varios equipos corporativos. Todos los dispositivos resultaron vulnerables al menos a una forma de eludir el aislamiento. En varios casos el atacante pudo no solo enviar paquetes a la víctima, sino también interceptar su tráfico entrante y saliente, adoptando la posición «hombre en el medio».
Una de las técnicas clave está relacionada con la clave temporal de grupo que el punto de acceso emplea para tramas de difusión y de grupo. Todos los clientes de la red obtienen dicha clave. Un atacante puede conectarse a la misma red, conseguir la clave de grupo y forjar una trama como si la hubiera enviado el propio punto de acceso. El sistema operativo de la víctima acepta ese paquete y procesa los datos anidados, incluso si en su interior hay tráfico dirigido a un único destinatario. Como resultado, el aislamiento de clientes se elude a nivel de cifrado.
El trabajo describe otro método conocido como rebote de puerta de enlace. Incluso si el punto de acceso bloquea el intercambio directo de tramas entre clientes, el router sigue retransmitiendo paquetes IP. El atacante envía un paquete con la dirección IP de la víctima pero con la dirección MAC de la puerta de enlace. El router acepta la trama y la reenvía a la víctima. De este modo el atacante consigue entregar datos que eluden las restricciones a nivel de enlace.
La técnica más peligrosa resultó ser la basada en la suplantación de la dirección MAC. Si un atacante se conecta al mismo punto de acceso o a otro punto dentro de la misma red y usa la dirección MAC de la víctima, la tabla interna de conmutación puede «reasignar» la dirección al puerto del atacante. A partir de entonces el tráfico destinado a la víctima empieza a llegar al atacante. En algunos escenarios los investigadores observaron fuga de datos en texto claro a través de la red de invitados.
Los autores probaron las técnicas en dos redes universitarias con WPA2-Enterprise. Incluso usando credenciales individuales y autenticación mediante servidor, el atacante conectado a la red abierta de invitados pudo interceptar el tráfico descendente de su víctima de prueba. Para ello se utilizó una combinación de suplantación de la dirección MAC y características del funcionamiento de la infraestructura de distribución.
Además, el equipo demostró que los ataques permiten interceptar el tráfico de gestión entre el punto de acceso y el servidor RADIUS. En condiciones de laboratorio, los investigadores descubrieron un secreto compartido débil y desplegaron su propio servidor de autenticación falso, lo que abre la puerta a un compromiso posterior de la red.
Los autores concluyeron que el aislamiento de clientes no ofrece el nivel de protección esperado ni en redes domésticas ni en redes corporativas. Las causas radican en el uso de claves compartidas, la ausencia de una vinculación coherente de las direcciones MAC y IP con una sesión concreta, y en que los mecanismos de filtrado funcionan de forma fragmentada en distintos niveles. El código fuente de las herramientas para comprobar las vulnerabilidades está disponible públicamente.