¿Tienes un intruso en tu red? Averigua fácilmente si alguien se ha colado en tu WiFi

¿Tienes un intruso en tu red? Averigua fácilmente si alguien se ha colado en tu WiFi
Facebook Twitter Flipboard E-mail

Es posible que en alguna ocasión hayamos tenido la sospecha de que hay un intruso en nuestra red, pero no hemos sabido cómo comprobarlo fácilmente. En este tutorial aprenderemos a buscar entre los registros del router cualquier prueba que nos confirme un acceso ilegítimo a nuestra red. De esta manera evitaremos cambiar la contraseña, y por consiguiente, tener que configurar todos los dispositivos de nuestra red sin tener alguna prueba

Antes de comenzar debemos hacer unas aclaraciones previas. Este tutorial está orientado a principiantes, por lo que usuarios más experimentados conocerán ya el contenido del mismo. Por otro lado, la gran cantidad de routers disponibles en el mercado hace imposible describir detalladamente el procedimiento en todos y cada uno de ellos, por este motivo, los pasos explicados en este tutorial no serán válidos para todos, aun así podéis tomaros este tutorial como una referencia y buscar los diferentes apartados en vuestro router.

Como ejemplo, veremos cómo acceder a los registros del router Comtrend VR-3025UN. Explicaremos cómo ver la tabla ARP del router, las direcciones asignadas por el servidor DHCP y ver los clientes conectados al router. De esta manera, si un intruso estuviese conectado a nuestra red aparecería en al menos uno de estos registros.

Acceder al router VR-3025UN


Como cada vez que necesitamos comprobar algún dato o configurar el router, necesitamos acceder a su interfaz web (aunque hay varias formas, no necesariamente web). Lo primero es introducir la dirección IP del router en nuestro navegador favorito. Generalmente el router recibe la dirección [192.168.1.1](https://www.xatakamovil.com/tutoriales/192-168-1-1-como-entrar-en-el-router-y-configurar-la-conexion), aunque también puede tener la 192.168.0.1.

Nos pedirá iniciar sesión con un usuario y contraseña, en nuestro caso son:

Usuario: admin
Contraseña: admin

En caso de no ser esos, podemos probar con los siguientes pares usuario/contraseña: admin/1234, 1234/1234, 1234/(en blanco). Una vez hayamos iniciado sesión llegaremos a una página similar a esta:

Interfaz web

Tabla ARP


Sin entrar en detalle, para poder pasar directamente al grano, diremos que para que dos máquinas se puedan comunicar, deben saber primero qué dirección física (MAC) tienen. El protocolo ARP (Address Resolution Protocol) permite precisamente eso. Básicamente consiste en preguntar en todas las subredes disponibles con el fin de que el dispositivo con el que queremos comunicarnos lo reciba y responda facilitando al emisor su dirección.

Para no tener que estar preguntando constantemente, las direcciones se guardan en la llamada “tabla ARP”, de modo que en dicha tabla deben aparecer todos los dispositivos conectados a la red, ya que todos en algún momento habrán tenido que comunicarse con el router. De modo que si encontramos más dispositivos en la tabla de los que tenemos, o alguno que no coincide con los nuestros es que alguien ha accedido a nuestra red.

La tabla la encontramos en: Device Info -> ARP

ARP

Tabla DHCP


En xataka ON ya hemos hablado detenidamente sobre el protocolo DHCP, por lo que ya es de sobra conocido por nosotros. Así que iremos directamente a la parte que nos incumbe, la tabla con las direcciones IP asignadas por el router.

Cada dirección IP asignada por el router tiene un período de validez de una semana (este tiempo puede ser modificado), aunque el router las almacena algún tiempo después de expirar. Si un intruso entró en nuestra red y obtuvo una dirección IP durante la semana (recordemos que este tiempo puede ser modificado), aparecerá en la lista. ¿Cuál es el problema? Si el atacante configuró su IP manualmente, no aparecerá en la lista.

Un parámetro que nos ayudará a detectar intrusos es el nombre del dispositivo, el cual se almacena junto a la dirección que le fue asignada, por lo que no tendremos que recordar la dirección MAC de todos los dispositivos, aunque a veces es posible que dicho nombre aparezca en blanco, generalmente esto se debe a que el nombre del dispositivo es demasiado largo.

La tabla con las direcciones IP se encuentra en : Device Info -> DHCP

DHCP

Clientes conectados


En esta ocasión comprobaremos la tabla que muestra los dispositivos conectados al router en este preciso instante. En esta tabla no se nos informa de la dirección IP asignada a cada cliente, por lo que tendremos que conocer las Direcciones MAC de cada dispositivo. Otra opción es compararlas con las direcciones MAC que contiene la tabla DHCP, de modo que sabremos rápidamente a que dispositivo corresponde ya que dicha tabla sí muestra los nombres de cada dispositivo.

La tabla la podemos encontrar en: Wireless -> Station Info

Clientes

Como dato de interés, podemos apreciar en las capturas que en nuestra red hay un equipo conectado con la dirección IP 192.168.1.10. Dicho equipo tiene una IP estática (configurada manualmente) ya que no aparece en la tabla DHCP y está conectado por cable ya que tampoco aparece en la lista de clientes conectados.

Otro factor a tener en cuenta es que estas tablas se pierden con cada reinicio del router, de modo que si el atacante accede al router y lo reinicia podrá borrar sus huellas. Por este motivo es importante cambiar la contraseña de administrador del router, de este modo siempre quedará algún rastro.

En Xataka On | Protege tu conexión WiFi de una intrusión de algún vecino o cualquiera que pase por allí | Cómo configurar nuestra red WiFi y no morir en el intento (III): Averiguar la dirección MAC

Comentarios cerrados
Inicio