Sammi De Blas | Knowledge Base

Dominio 1 - WIFI y BLE

Se lee en 18 min

WiFi Marauder es un firmware de código abierto para dispositivos basados en ESP32 (como placas para Flipper Zero) que permite escanear, capturar paquetes y realizar pruebas de seguridad en redes WiFi, enfocado en auditorías éticas y educativas.

Se usa principalmente para identificar vulnerabilidades en entornos controlados, como evaluar la fortaleza de contraseñas WPA/WPA2 mediante captura de handshakes y análisis posterior.

Fundamentos Teóricos

WiFi Marauder opera en el nivel de enlace de datos del modelo OSI, explotando protocolos IEEE 802.11 para monitoreo pasivo y activo:

  • Escaneo de redes (Scan/APs): Detecta SSIDs, BSSID, canales, encriptación (WEP/WPA/WPA2/WPA3) y potencia de señal (RSSI).

  • Captura de paquetes (Sniff): Registra tráfico en modo promiscuo, incluyendo beacons, probes y handshakes de autenticación.

  • Ataques de prueba: Deautenticación (deauth) para forzar reconexiones y capturar handshakes 4-way, sin crackear en tiempo real (requiere herramientas externas como Hashcat).
    No es un cracker directo; su rol es recolectar datos para análisis offline, respetando leyes como solo probar redes propias o con permiso explícito.

Configuración Práctica (Hardware y Software)

  1. Hardware requerido:

    • Placa ESP32-S2 o similar (ej. Wi-Fi Devboard para Flipper Zero, ~20-50€ en AliExpress).

    • Flipper Zero con módulo WiFi compatible (firmware Marauder preinstalado en algunos kits).

    • Conexión USB para firmware y extracción de datos.

  2. Instalación:

    • Descarga firmware desde repositorios oficiales (GitHub justcalluselazy/wifi-marauder).

    • Flashea via esptool.py: esptool.py —chip esp32s2 write_flash 0x0 marauder.bin.

    • En Flipper Zero: Instala app Marauder desde qFlipper o firmware oficial.

Uso Práctico Paso a Paso para Auditoría

Sigue este flujo ético en tu red de prueba (crea una red controlada con wpa_supplicant o router dedicado).[1]

  1. Escaneo inicial:

    • Entra a Marauder > Scan > APs.

    • Lista redes: Nota SSID objetivo, canal y clientes conectados.

  2. Captura de paquetes:

    • Selecciona red > Sniff (modo RW para handshakes).

    • Ejecuta deauth: Target > Deauth (envía frames de desconexión para forzar reautenticación).

    • Captura ~5-10 handshakes (4-way EAPOL evidentes en logs).

  3. Extracción y análisis:

    • Exporta .pcap via USB/SD.

    • Abre en Wireshark: Filtro eapol para handshakes; verifica PMKID o MIC.

  4. Crackeo offline con Hashcat:

    • Convierte pcap a hash: hcxpcapngtool -o hash.hc22000 capture.pcap.

    • Ataque diccionario: hashcat -m 22000 hash.hc22000 rockyou.txt.

    • Muestra clave: hashcat -m 22000 hash.hc22000 —show.

    • Usa listas como rockyou.txt; prueba masks para fuerza bruta (GPU recomendada).[1]

Herramienta Rol en Comando Ejemplo Auditoría

Marauder Escaneo/Deauth scan > sniff > deauth

Wireshark Análisis eapol or wlan.fc.type_subtype == paquetes 0x0c

Hashcat Crack WPA2 -m 22000 hash.hc22000 dict.txt[1]

Consejos Actualizados (2023-2026) y Mejores Prácticas

  • Ética legal: Solo en redes propias/autorizadas; evita PMKID si WPA3 (más resistente).[1]

  • Limitaciones: No efectivo vs WPA3-SAE; usa Evil Portal para phishing simulado (credenciales falsas).

  • Actualizaciones: Verifica forks en GitHub (ESP32 optimizado para 2025); integra con Bettercap para ataques avanzados.

  • Protecciones recomendadas post-auditoría: WPA3, contraseñas >20 chars (entropía alta), desactiva WPS, oculta SSID, MAC filtering.

  • Profundiza: Repositorio oficial GitHub (wifi-marauder), docs ESP-IDF para custom; practica en lab con routers vulnerables (ej. old TP-Link).

Esta base te permite escalar a escenarios reales; prueba en VM con hostapd para simular redes.

Guía Técnica: WiFi Marauder en ESP32 con Pantalla Capacitiva

Introducción: Fundamentos del Ecosistema

WiFi Marauder en ESP32 con pantalla capacitiva (Sunton/Yellow Display) es un firmware de código abierto que implementa herramientas de análisis y prueba de seguridad en redes 802.11.

Antes de profundizar, es crítico entender que todas las operaciones descritas deben realizarse únicamente en redes propias o con autorización explícita escrita. Las leyes de ciberdelito (CFAA en EE.UU., RGPD en Europa) penaliza el acceso no autorizado.

Conceptos Previos Esenciales

Modo Promiscuo: Estado en el que la tarjeta WiFi captura TODOS los paquetes en el aire, no solo los dirigidos a su MAC address. Marauder opera aquí constantemente.

Tramas de Gestión (Management Frames): Paquetes de control 802.11 (beacons, probes, deauth) que no contienen datos de usuario, solo metadatos de red.

EAPOL (Extensible Authentication Protocol Over LAN): Protocolo de autenticación que encapsula el handshake WPA/WPA2 en 4 pasos (4-Way Handshake), visible en capturas como paquetes EAPOL.

PMKID (Pairwise Master Key Identifier): Hash derivado de la contraseña, capturado en el primer frame del handshake sin necesidad de desconectar usuarios.

CAPA 1: RECONOCIMIENTO (SCAN)

1.1 Preparación del Hardware y Firmware

Hardware requerido:

  • ESP32 (38 pines mínimo, ej. ESP32-WROOM o ESP32-S2)

  • Pantalla capacitiva Sunton/Yellow Display (3.5” típicamente)

  • Tarjeta microSD (para logs y capturas)

  • Cable USB para flasheo

  • Antena externa (opcional pero recomendada para +6dBi ganancia)

Instalación del firmware paso a paso:

Descarga y preparación:

  • Clona el repositorio: git clone https://github.com/justcalluselazy/esp32-marauder.git

  • Extrae la carpeta esp32_marauder a tu directorio de proyectos Arduino.

  • Elimina las carpetas build/, deira/ y previous_versions/ para evitar conflictos.

  • Instalación del núcleo ESP32 en Arduino IDE:

  • Abre Arduino IDE → Archivo → Preferencias.

  • En “Gestor de URLs adicionales de tarjetas”, pega: https://raw.githubusercontent.com/espressif/arduino-esp32/gh-pages/package_esp32_index.json

  • Aceptar. Luego: Herramientas → Placa → Gestor de placas → Busca “esp32” → Instala la versión estable.

  • Configuración de archivos críticos:

  • Abre configs.h (línea 13): Comenta define MARAUDER_FLIPPER si usas pantalla Sunton.

  • Descomenta línea 15: define MARAUDER_SUNTON (o MARAUDER_YELLOW_DISPLAY).

  • Línea 112: Ajusta según tu pantalla (ej. define DISPLAY_WIDTH 480).

  • Configuración de SD Card:

  • Abre SD_interface.cpp (líneas 9-19): Verifica pines de conexión SPI.

  • Típicamente: MOSI→D23, MISO→D19, CLK→D18, CS→D5 (ajusta según tu esquema).

  • Compilación y flasheo:

  • Herramientas → Placa: Selecciona ESP32 Dev Module.

  • Herramientas → Partition Scheme: Minimal SPIFFS (1.9MB APP with OTA, 190KB SPIFFS).

  • Herramientas → Puerto: Selecciona tu puerto COM (ej. COM3).

  • Sketch → Subir. Presiona el botón BOOT cuando veas “Connecting…”.

  • Espera ~2 minutos. Verás “Hash of data verified” cuando termine.

1.2 Interfaz Principal y Navegación

Al encender, Marauder muestra:

Barra de estado superior: Satélites GPS (si conectado), canal WiFi actual, estado SD card.

Menú principal: WiFi, Bluetooth, General, Device Info.

Pantalla táctil: Toca para seleccionar, desliza para navegar.

1.3 Scan APs vs. Scan Stations: Diferencias Técnicas

Scan APs (Access Points)

Qué hace: Escanea todas las redes WiFi (puntos de acceso) en el rango.

Proceso técnico:

  • Marauder envía Probe Requests en todos los canales (1-14 en 2.4GHz, 36-165 en 5GHz).

  • Los APs responden con Probe Responses o Beacons (enviados cada ~100ms).

  • Captura: SSID, BSSID (MAC del AP), canal, encriptación (WEP/WPA/WPA2/WPA3), RSSI (potencia en dBm).

Información vital:

  • SSID: Nombre de la red (puede estar oculto → aparece como "").

  • BSSID: Dirección MAC del AP (ej. AA:BB:CC:DD:EE:FF). Único identificador.

  • Canal: 1-14 (2.4GHz) o 36-165 (5GHz). Crítico para dirigir ataques.

  • RSSI: Potencia de señal (-30dBm = excelente, -90dBm = débil). Indica proximidad.

  • Encriptación: WPA2-PSK (vulnerable a PMKID), WPA3-SAE (resistente a PMKID).

Paso a paso en Marauder:

  • Menú Principal → WiFi → Sniffers → Scan APs

  • [Espera 10-15 segundos mientras detecta redes]

  • Toca pantalla para salir → Back

  • Por qué es vital: Identifica objetivos potenciales y sus características. Un RSSI fuerte (-50dBm) indica proximidad; WPA2 indica vulnerabilidad a PMKID.

  • Scan Stations (Clientes Conectados)

  • Qué hace: Detecta dispositivos (teléfonos, laptops, IoT) conectados a APs

Proceso técnico:

  • Monitorea Data Frames (tramas de datos) entre AP y clientes.

  • Captura MAC addresses de clientes (origen/destino de paquetes).

  • Asocia clientes a APs por análisis de tráfico.

Información vital:

  • MAC del cliente: Dirección única del dispositivo.

  • AP asociado: BSSID del punto de acceso al que está conectado.

  • Potencia de señal: RSSI del cliente (indica si está cerca o lejos).

Paso a paso en Marauder:

  • Menú Principal → WiFi → Sniffers → Scan Stations

  • [Detecta clientes activos en rango]

  • Por qué es crítico antes de atacar:

  • Sin clientes conectados: PMKID sigue siendo capturable (ataque silencioso).

  • Con clientes conectados: Puedes forzar desconexión (deauth) para capturar 4-Way Handshake.

  • Identifica objetivos: Si ves 10 clientes en una red, hay más probabilidad de capturar handshakes válidos

1.4 Tabla Comparativa: Scan APs vs. Stations

Aspecto Scan APs Scan Stations

Objetivo Detectar redes disponibles Detectar usuarios conectados

Tramas capturadas Beacons, Probe Responses Data Frames, ACKs

Información clave SSID, BSSID, Canal, Encriptación MAC cliente, AP asociado, RSSI

Uso táctico Identificar objetivos Decidir si usar deauth o PMKID

Tiempo típico 10-15 segundos 5-10 segundos (continuo)

CAPA 2: CAPTURA PASIVA (SNIFFING) - PMKID

2.1 ¿Qué es PMKID y por qué es el ataque preferido en 2026?

PMKID (Pairwise Master Key Identifier) es un hash de 16 bytes derivado de:

PMKID = HMAC-SHA1(PMK, “PMK Name” || MAC_AP || MAC_Cliente)

Donde:

PMK (Pairwise Master Key): Derivado de la contraseña WiFi.

MAC_AP: Dirección del punto de acceso.

MAC_Cliente: Dirección del dispositivo conectado.

Ventajas en 2026:[4]

No requiere usuarios conectados: Se captura en el primer frame del handshake (EAPOL Message 1), incluso si no hay clientes activos.

Totalmente silencioso: No envía deauth, no desconecta a nadie, no genera alertas WIDS.

Captura rápida: 1-5 minutos vs. 30+ minutos esperando handshakes.

Compatible con WPA2: Funciona en redes WPA2-PSK (la mayoría aún en 2026).

Offline cracking: Se crackea con Hashcat modo 22000 (GPU acelerado).

Limitaciones:

No funciona en WPA3-SAE: WPA3 usa Simultaneous Authentication of Equals, resistente a PMKID.

Requiere AP vulnerable: Algunos APs modernos desactivan PMKID (RFC 8110).

2.2 Proceso Técnico: Captura de PMKID

Flujo de captura:

Marauder entra en modo promiscuo en el canal del AP objetivo.

Monitorea beacons y probe responses para detectar PMKID en el campo RSN Information Element.

Captura el PMKID sin interacción con clientes.

Guarda en archivo .pcap en la SD card.

Diferencia con 4-Way Handshake:

PMKID: 1 frame, silencioso, rápido.

4-Way Handshake: 4 frames, requiere desconexión de cliente, detectable.

2.3 Paso a Paso: Captura de PMKID en Marauder

Menú Principal → WiFi → Sniffers → Scan APs

[Identifica red objetivo, anota BSSID y canal]

Back → General → Select APs

[Selecciona el AP objetivo]

Back → WiFi → Sniffers → Sniff (RW mode)

[Espera 5-10 minutos. Marauder captura PMKID automáticamente]

Indicadores visuales:

LED parpadeante: Captura activa.

Pantalla muestra: “Sniffing on channel X” + contador de paquetes.

Archivo generado: /sd/marauder/pmkid_BSSID.pcap (automático).

2.4 Archivo .pcap: Estructura y Contenido

¿Qué es .pcap?

Formato estándar de captura de paquetes (Packet Capture). Contiene:

Encabezado global: Versión, zona horaria, snaplen (tamaño máximo de paquete).

Registros de paquetes: Cada paquete capturado con timestamp, tamaño, datos.

Contenido en nuestro caso:

[Beacon Frame]

├─ Frame Control (tipo: Management, subtipo: Beacon)

├─ Timestamp

├─ Beacon Interval

├─ Capability Info

└─ Information Elements

├─ SSID

├─ Supported Rates

└─ RSN (Robust Security Network)

└─ PMKID (16 bytes) ← AQUÍ ESTÁ EL HASH

Guardado en SD:

Ruta: /sd/marauder/ (creada automáticamente).

Nombre: pmkid_AA_BB_CC_DD_EE_FF.pcap (BSSID del AP).

Tamaño: ~100KB-1MB (depende de duración).

CAPA 3: ATAQUE ACTIVO (DEAUTH/HANDSHAKE)

3.1 ¿Qué es el 4-Way Handshake?

Proceso de autenticación WPA2:

Cliente AP

| |

|--- (1) EAPOL Message 1 ---→ | (Contiene ANonce)

| |

|← (2) EAPOL Message 2 ------- | (Contiene SNonce, MIC)

| |

|--- (3) EAPOL Message 3 ---→ | (Contiene GTK encriptado)

| |

|← (4) EAPOL Message 4 ------- | (Confirmación)

Por qué es valioso:

Contiene MIC (Message Integrity Code): Hash que verifica la contraseña.

Permite crackeo offline: Hashcat intenta contraseñas hasta que el MIC coincida.

3.2 Desautenticación Selectiva (Deauth)

¿Qué es deauth?

Envío de tramas de gestión 802.11 que desconectan un cliente del AP.

Trama deauth:

Frame Control: Management, Subtype: Deauthentication

Destination: MAC del cliente

Source: MAC del AP (spoofed)

Reason Code: 7 (Class 3 frame received from nonauthenticated station)

Efecto:

Cliente recibe deauth → se desconecta.

Cliente intenta reconectarse automáticamente.

Durante reconexión: 4-Way Handshake visible en el aire.

Marauder captura los 4 frames EAPOL.

3.3 Paso a Paso: Deauth Selectivo en Marauder

Escenario: Red objetivo con clientes conectados.

Paso 1: Identificar objetivo

├─ Menú Principal → WiFi → Sniffers → Scan APs

├─ Anota: BSSID (ej. AA:BB:CC:DD:EE:FF), Canal (ej. 6)

└─ Back

Paso 2: Seleccionar AP

├─ General → Select APs

├─ Toca el AP objetivo

└─ Back

Paso 3: Identificar clientes

├─ WiFi → Sniffers → Scan Stations

├─ Anota MACs de clientes conectados

└─ Back

Paso 4: Iniciar captura de handshake

├─ WiFi → Sniffers → Sniff (RW mode)

├─ Espera a que Marauder esté listo

└─ [Pantalla muestra “Sniffing on channel X”]

Paso 5: Ejecutar deauth

├─ WiFi → Attacks → Deauth

├─ Selecciona cliente específico (o “Broadcast” para todos)

├─ Marauder envía ~10-20 frames deauth

└─ [Cliente se desconecta, reconecta automáticamente]

Paso 6: Capturar handshake

├─ Marauder continúa sniffing automáticamente

├─ Espera 10-30 segundos (hasta 4 frames EAPOL)

├─ Pantalla muestra: “Handshake captured!” (si exitoso)

└─ Archivo guardado: /sd/marauder/handshake_BSSID.pcap

3.4 Archivo .pcap: Estructura del Handshake

Contenido capturado:

[EAPOL Message 1]

├─ Key Information: 0x0089 (Pairwise, MIC, Secure)

├─ Key Nonce (ANonce): 32 bytes aleatorios del AP

└─ Timestamp

[EAPOL Message 2]

├─ Key Information: 0x0109 (Pairwise, MIC, Secure, Error)

├─ Key Nonce (SNonce): 32 bytes aleatorios del cliente

├─ MIC: HMAC-MD5(PTK, EAPOL frame) ← CRÍTICO PARA CRACK

└─ Timestamp

[EAPOL Message 3]

├─ Key Information: 0x13C9 (Pairwise, Install, MIC, Secure)

├─ GTK (Group Temporal Key) encriptado

└─ Timestamp

[EAPOL Message 4]

├─ Key Information: 0x0309 (Pairwise, MIC, Secure)

└─ Confirmación

Guardado en SD:

Ruta: /sd/marauder/.

Nombre: handshake_AA_BB_CC_DD_EE_FF.pcap.

Tamaño: ~5-20KB (solo 4 frames).

3.5 Indicadores de Éxito

Indicador Significado

“Handshake captured!” 4 frames EAPOL completos capturados

Archivo .pcap creado Datos guardados en SD

Tamaño >5KB Suficiente para crackeo

Wireshark muestra 4 EAPOL Validación manual (ver Capa 5)

CAPA 4: INGENIERÍA SOCIAL (EVIL PORTAL)

4.1 ¿Qué es un Evil Portal?

Portal Cautivo (Captive Portal) es una página web que intercepta conexiones HTTP/HTTPS para mostrar un login antes de permitir acceso a internet.

Evil Portal en Marauder: Crea un AP falso que:

Imita el SSID de una red legítima.

Muestra página de login falsa.

Captura credenciales ingresadas por usuarios.

Registra contraseñas en archivo de texto.

4.2 Relación entre DNS Hijacking y Evil Portal

Flujo técnico:

Usuario conecta a Evil Portal

Marauder actúa como AP + DHCP server

Asigna IP al cliente (ej. 192.168.1.100)

Usuario abre navegador, intenta acceder a google.com

DNS Hijacking: Marauder intercepta query DNS

Responde: “google.com = 192.168.1.1” (IP del Evil Portal)

Navegador se redirige a página falsa en Marauder

Usuario ve login falso (ej. “Conectar a WiFi”)

Ingresa contraseña → Marauder la captura

Archivo: /sd/marauder/evil_portal_passwords.txt

Diferencia clave:

Portal Cautivo normal: Redirige a página legítima (ej. Starbucks WiFi).

Evil Portal: Redirige a página falsa que imita login de red objetivo.

4.3 Configuración de Evil Portal en Marauder

Limitación importante: Marauder v1.0.0 en ESP32 tiene capacidad limitada para Evil Portal (requiere servidor web integrado). La mayoría de versiones requieren:

Crear página HTML falsa (en PC):

html

Copy

<!DOCTYPE html>

<html>

<head>

<title>WiFi Login</title>

</head>

<body>

<h1>Conectar a WiFi</h1>

<form action=“/login” method=“POST”>

<input type=“password” name=“password” placeholder=“Contraseña WiFi”>

<button type=“submit”>Conectar</button>

</form>

</body>

</html>

Transferir a SD card de Marauder:

Ruta: /sd/marauder/portal/index.html.

Marauder sirve esta página en http://192.168.1.1.

Activar Evil Portal en Marauder:

Menú Principal → WiFi → Attacks → Evil Portal

Selecciona SSID objetivo

Marauder crea AP falso + DHCP + DNS hijacking

Captura de credenciales:

Archivo: /sd/marauder/evil_portal_passwords.txt.

Formato: timestamp | IP_cliente | password_ingresada.

4.4 Defensa contra Evil Portal

Verificar certificado HTTPS: Navegadores modernos advierten sobre certificados inválidos.

No conectar a redes desconocidas: Especialmente en espacios públicos.

Usar VPN: Encripta tráfico, evita DNS hijacking.

CAPA 5: POST-PROCESAMIENTO

5.1 Transferencia de Archivos: SD Card → PC

Método 1: Lector de tarjeta microSD

Apaga Marauder.

Extrae tarjeta microSD.

Inserta en lector USB.

Conecta a PC.

Copia archivos desde /marauder/ a carpeta local (ej. C:\captures\).

Método 2: Conexión USB directa (si Marauder soporta MTP)

Conecta ESP32 a PC via USB.

Abre “Mi PC” → Busca dispositivo.

Navega a /sd/marauder/.

Copia archivos.

Archivos esperados:

/sd/marauder/

├─ pmkid_AA_BB_CC_DD_EE_FF.pcap (PMKID capture)

├─ handshake_AA_BB_CC_DD_EE_FF.pcap (4-Way Handshake)

├─ evil_portal_passwords.txt (credenciales capturadas)

└─ logs/ (registros de actividad)

5.2 Análisis con Wireshark: Verificación de Handshakes

Instalación: Descarga desde wireshark.org.

Paso a paso:

1. Abre Wireshark

2. File → Open → Selecciona handshake_AA_BB_CC_DD_EE_FF.pcap

3. Aplica filtro: eapol

4. Verifica 4 frames EAPOL en orden:

├─ Frame 1: Key Info = 0x0089 (ANonce)

├─ Frame 2: Key Info = 0x0109 (SNonce + MIC)

├─ Frame 3: Key Info = 0x13C9 (GTK)

└─ Frame 4: Key Info = 0x0309 (Confirmación)

Filtros útiles en Wireshark:

Filtro Propósito

eapol Muestra solo frames EAPOL (handshake)

wlan.fc.type_subtype == 0x0c Deauth frames

wlan.ssid == “NombreRed” Filtra por SSID

wlan.bssid == “AA:BB:CC:DD:EE:FF” Filtra por BSSID

wlan.rsn.pmkid Muestra PMKID (si presente)

Validación de handshake:

✅ 4 frames EAPOL presentes.

✅ Mismo BSSID y MAC cliente en todos.

✅ Timestamps en orden cronológico.

✅ MIC presente en frames 2 y 3.

5.3 Crackeo Offline con Hashcat: Modo 22000

Instalación de Hashcat:

bash

Copy

# Windows: Descarga desde hashcat.net

# Linux: sudo apt install hashcat

# macOS: brew install hashcat

Conversión de .pcap a hash (22000):

Primero, instala hcxtools:

bash

Copy

# Linux

comando:: sudo apt install hcxtools

# macOS

brew install hcxtools

# Windows: Descarga desde github.com/ZerBea/hcxtools

Convierte el archivo:

bash

Copy

hcxpcapngtool -o hash.hc22000 handshake_AA_BB_CC_DD_EE_FF.pcap

Salida esperada:

WPA*02*PMKID*BSSID*SSID*… ← Hash en formato 22000

Crackeo con diccionario:

bash

Copy

hashcat -m 22000 hash.hc22000 rockyou.txt -o cracked.txt

Parámetros:

-m 22000: Modo WPA2-PSK (PBKDF2-SHA1) / WPA3-SAE (PBKDF2-SHA256).

rockyou.txt: Diccionario de contraseñas (~14 millones de palabras).

-o cracked.txt: Archivo de salida.

Crackeo con fuerza bruta (mask):

bash

Copy

# Contraseña de 8 caracteres alfanuméricos

hashcat -m 22000 hash.hc22000 -a 3 ?a?a?a?a?a?a?a?a

# Contraseña de 8 dígitos

hashcat -m 22000 hash.hc22000 -a 3 ?d?d?d?d?d?d?d?d

# Contraseña: 4 letras + 4 dígitos

hashcat -m 22000 hash.hc22000 -a 3 ?l?l?l?l?d?d?d?d

Máscaras disponibles:

?l: Letra minúscula (a-z)

?u: Letra mayúscula (A-Z)

?d: Dígito (0-9)

?s: Símbolo especial

?a: Cualquier carácter

Visualizar resultados:

bash

Copy

hashcat -m 22000 hash.hc22000 —show

Salida:

WPA*02*PMKID*…:micontraseña123

5.4 Tabla: Métodos de Crackeo Comparados

Método Velocidad Precisión Tiempo (8 chars)

Diccionario (rockyou.txt) Muy rápido Alta si contraseña común 5-30 min

Fuerza bruta (8 dígitos) Lento 100% 2-4 horas (GPU)

Reglas (John the Ripper) Rápido Alta 10-60 min

Combinación (dict + rules) Medio Muy alta 30-120 min

CAPA 6: TÉCNICAS DE SIGILO Y ÉTICA

6.1 Evasión de Sistemas WIDS (Wireless Intrusion Detection Systems)

¿Qué es WIDS?

Sistema que monitorea actividad inalámbrica anómala:

Deauth masivos.

Cambios de canal frecuentes.

Múltiples PMKID captures.

Patrones de ataque conocidos.

Técnicas de sigilo en Marauder:

Técnica Implementación Efectividad

PMKID en lugar de deauth Usar Sniff (RW) sin deauth ⭐⭐⭐⭐⭐ (silencioso)

Deauth selectivo Deauth a 1-2 clientes, no broadcast ⭐⭐⭐⭐ (menos detectable)

Cambios de canal lentos Esperar 30+ segundos entre canales ⭐⭐⭐ (evita patrones)

Usar antena débil Reduce RSSI, parece cliente legítimo ⭐⭐⭐ (menos visible)

Horarios off-peak Atacar 2-4 AM (menos monitoreo) ⭐⭐⭐⭐ (contexto)

Spoofing de MAC Cambiar MAC a dirección legítima ⭐⭐⭐⭐ (evita blacklist)

Indicadores que WIDS detecta:

❌ >50 deauth frames en 1 minuto.

❌ Cambios de canal cada 5 segundos.

❌ Múltiples PMKID captures del mismo AP.

❌ MAC desconocido enviando deauth.

6.2 Limitaciones frente a WPA3 y PMF (Protected Management Frames)

WPA3 es el estándar IEEE 802.11w actualizado (ratificado 2018, dominante en 2026), que reemplaza vulnerabilidades de WPA2 con mecanismos resistentes a ataques pasivos y activos.[1][2][3] PMF (Protected Management Frames) es una extensión obligatoria en WPA3 que cifra y autentica tramas de gestión (beacons, deauth, probe), previniendo spoofing.

Diferencias Críticas vs. WPA2

Característica WPA2 (Vulnerable) WPA3 (Resistente)

Handshake 4-Way EAPOL (crackeable offline) SAE (Dragonfly): Autenticación mutua con intercambio de elementos finitos, resistente a diccionarios offline[1][3] PMKID Capturable en beacons Desactivado por defecto; usa Protected Management Frames[1] Deauth Funciona (frames no protegidos) Bloqueado por PMF: Deauth requiere MIC válido, Marauder no puede spoofear[1][2] Contraseñas débiles Crackeables con diccionario Forward Secrecy: Cada sesión tiene claves únicas, incluso si contraseña se compromete[3] Modo transicional WPA2/WPA3 mixto Vulnerable a downgrade attacks: Atacante fuerza WPA2 vía deauth[1][2]

Impacto en WiFi Marauder (2026)

  1. PMKID falla sistemáticamente:

    • WPA3 no expone PMKID en RSN IE (Information Element).

    • Resultado: hcxpcapngtool genera hashes vacíos o inválidos para modo 22000.

  2. Deauth ineficaz:

    • PMF cifra tramas de gestión con BIP (Broadcast/Multicast Integrity Protocol).

    • Marauder envía deauth → AP/cliente lo descarta (MIC inválido).

    • Síntoma en pantalla: “Deauth failed” o contador de paquetes = 0.

  3. Evil Portal limitado:

    • SAE resiste downgrade; clientes WPA3 no caen en AP falso.

    • Solo afecta dispositivos legacy en modo mixto.

Prueba práctica en Marauder:

Scan APs → Identifica red WPA3 (RSN: SAE)

→ Sniff (RW): No PMKID

→ Deauth: “PMF protected” o silencio

Estrategias de Mitigación (Auditoría Ética)

Si encuentras WPA3 puro:

  • Documenta como seguro: “Red resistente a PMKID/deauth”.

  • ⚠️ Verifica modo mixto: Muchos routers (ASUS, FRITZ!, D-Link) usan WPA2/WPA3 por compatibilidad, vulnerable a downgrade.[1][2]

  • 🔍 Busca dispositivos legacy: Scan Stations → clientes WPA2 conectados = vectores.

Recomendaciones de hardening:

  1. WPA3-Personal puro (no mixto): Máxima seguridad, pero verifica compatibilidad (IoT antiguo falla).[1][3]

  2. PMF obligatorio: Activa en router (bloquea deauth).

  3. Contraseñas fuertes: >20 chars, evita diccionarios.

  4. Opcional: OCU SSID (SSID oculto + WPA3).

Tabla: Efectividad de Ataques Marauder vs. Protocolos

Ataque WPA2 WPA2/WPA3 Mixto WPA3 Puro

PMKID ⭐⭐⭐⭐⭐ ⭐⭐⭐ (downgrade) ❌

Deauth ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ❌ (PMF)

Handshake ⭐⭐⭐⭐⭐ ⭐⭐⭐ ❌ (SAE)

Evil Portal ⭐⭐⭐⭐ ⭐⭐⭐ ⭐ (solo legacy)

Conclusión práctica: En 2026, ~70% redes domésticas usan mixto por compatibilidad (IoT, impresoras).[1][2] WPA3 puro es “no vulnerable” a Marauder; enfócate en educación sobre hardening. Para auditorías avanzadas, migra a herramientas como airgeddon o hostapd-wpe en Linux.

1. Marauder: Tu “Telescopio” de Radiofrecuencia

Marauder es una ventana al espectro de 2.4GHz. Para familiarizarte sin riesgo, olvida el menú de Attacks y céntrate en estos tres:

  • WiFi > Sniffers > Packet Monitor: Es la mejor forma de “ver” el aire. Te mostrará un gráfico de barras por cada canal (1 al 14). Verás picos de actividad. Si alguien está viendo Netflix, el canal de su WiFi se pondrá al máximo. No capturas datos, solo ves la “densidad” del tráfico.

  • WiFi > Sniffers > Beacon Sniff: Aquí verás cómo Marauder empieza a listar todos los SSIDs (nombres de red) que “escucha”. Es puramente pasivo. Es fascinante ver cómo redes ocultas o dispositivos cercanos se anuncian constantemente.

  • WiFi > General > Channel Analyzer: Te da una visión técnica de qué canales están más saturados. En auditoría, esto te sirve para saber dónde hay más “ruido” y dónde es más probable encontrar objetivos.

Vista Gráfica

Retroenlaces