Cuando tenemos una tarjeta WiFi instalada en nuestro ordenador, ya sea un adaptador WiFi USB o una tarjeta PCIe que conectamos directamente a la placa base de nuestro ordenador, la utilizamos en modo cliente WiFi, es decir, nos conectaremos con esta tarjeta a un router WiFi o a un punto de acceso para que nos proporcione conectividad a Internet. Sin embargo, existe un modo de funcionamiento que está específicamente diseñado para realizar auditorías de redes inalámbricas, el modo monitor o modo promiscuo.
Hoy en RedesZone os vamos a explicar qué es el modo monitor y para qué nos va a servir, tanto a nivel de seguridad y beneficios, como todo lo contrario, ya que también puede ser peligroso que otros lo realicen hacia nosotros, por eso debemos protegernos y saber en qué consiste.
Qué es el modo monitor
El modo monitor también es conocido como modo de escucha o modo promiscuo. En este modo de funcionamiento la tarjeta WIFi se encargará de escuchar todos y cada uno de los paquetes que hay en el «aire» y tendremos la posibilidad de capturarlos con diferentes programas. En este modo de funcionamiento no solamente escucharemos lo que nos envía nuestro router o AP, sino también el intercambio de información que hay en otras redes WiFi, como las de nuestros vecinos. El modo monitor se encargará de escanear en todas las frecuencias y recoger la mayor cantidad de datos posible, no obstante, como está escaneando en todas las frecuencias WiFi de manera continua, si queremos obtener toda la información de un determinado router o AP, deberemos fijar un canal específico que sea el que está emitiendo dicho router o AP, para no perder ningún paquete importante que intercambie con los clientes.
En este modo de funcionamiento, y usando unos programas bastante específicos, podremos conocer la dirección MAC de todos los clientes que hay conectados a un determinado router o punto de acceso WiFi, porque podrá capturar las tramas que viajan por el aire desde el origen hasta el destino. Esta característica del modo monitor en algunas tarjetas WiFi, es fundamental para realizar estudios de redes WiFi y también auditorías inalámbricas.
Un programa muy conocido para realizar escaneos de redes WiFi, comprobar los SSID, canales, número de clientes y cuántos clientes hay conectados en un determinado AP, es Acrylic WiFi, ya sea en su versión Home o Profesional. Aunque este programa funciona con cualquier tarjeta de red WiFi, si tenemos la suerte de que el chipset de nuestra tarjeta WiFi sea compatible con el modo monitor, y tenemos los drivers adecuados instalados, entonces vamos a poder obtener una grandísima cantidad de información, e incluso exportarla a formato pcap para su posterior estudio con programas que se encargan de analizar paquetes como WireShark entre otros muchos.
¿Mi tarjeta de red tiene modo monitor?
Un detalle muy importante del modo monitor, es que debe ser compatible tanto el chipset de la tarjeta WiFi, ya sea una tarjeta WiFi por USB o por PCIe, como también los drivers que utilicemos. Si no se cumplen ambas, nuestra tarjeta de red WiFi no podrá funcionar en modo monitor.
Por lo tanto, si quieres tener una idea más certera de si se puede activar o no en tu tarjeta de red, lo suyo es que llegue a comprobar los siguientes aspectos. Y todo porque resultan clave a la hora de distinguir una tarjeta en la que se puede usar de otra en la que no se podrá llegar a activar:
- Mira el chipset de la tarjeta WiFi
El paso más sencillo, sin duda alguna, es la de saber exactamente el chipset que usa la tarjeta de red. Una vez que se conozca este detalle, será tan rápido como ir a Google y llegar a buscar más información acerca del modelo. Incluso, podrás encontrar si acepta o no el modo monitor. Si todavía tienes la caja por casa, este paso será aún más fácil. Sin embargo, si no es así, no te quedará otra que buscar el modelo directamente desde tu PC, ya sea Windows o Linux
- Busca el chipset en tu PC Windows o Linux
Si en tu caso tienes un ordenador con el sistema operativo Windows, lo que debes hacer es ir directamente a Inicio > Administrador de dispositivos y buscar en Adaptadores de red el chipset de la tarjeta WiFi que estás utilizando en ese mismo momento. Una vez la encuentres, deberás hacer doble clic para conocer el modelo con exactitud que estás utilizando en ese momento en tu PC.
Por otra parte, si usas un PC con Linux, entonces los pasos cambian. Para ello tendrás que usar los comandos Ispci si usas una versión Debian para reivsar los dispositivos conectados a los PCI, o Isusb para aquellos que están coenctados vía USB. Y es que la tarjeta de red que estés utilizando podría ser PCI o USB.
Para qué sirve y cómo activarlo
Este modo de funcionamiento sirve principalmente para realizar auditorías de redes inalámbricas WiFi, es decir, para hackear redes WiFi y comprobar su seguridad. Cuando vamos a realizar una auditoría de redes WiFi, es fundamental contar con el modo monitor para capturar los paquetes que viajan a través del aire, para posteriormente utilizar esta información para empezar a intentar hackear las redes inalámbricas.
Por ejemplo, si queremos hackear una red WiFi con el protocolo WPA o WPA2, es totalmente necesario configurar la tarjeta WiFi en modo monitor para capturar el handshake. Este handshake es el intercambio de información que se produce cuando un cliente WiFi se conecta con el router y usa el protocolo WPA o WPA2, una vez capturado el handshake, podremos intentar crackear la contraseña por fuerza bruta o por diccionario. Cuando en los routers existía el protocolo WEP, también era totalmente necesario contar con una tarjeta WiFi con capacidades de modo monitor, con el objetivo de capturar todos los «frames» de la red inalámbrica, y posteriormente inyectarlos para conseguir la contraseña de forma mucho más rápida.
Activarlo en Acrylic WiFi
Si vamos a utilizar un programa como Acrylic WiFi para realizar un estudio en profundidad de todas las redes WiFi de nuestro alrededor, y queremos capturar todos los datos de las redes inalámbricas, es muy importante contar con una tarjeta de red WiFi que funcione en modo monitor. Para hacer funcionar el modo monitor en este programa necesitaremos dos cosas:
- Que la tarjeta de red WiFi tenga un chipset compatible con el modo monitor.
- Que tengamos instalados los drivers adecuados en nuestro ordenador, para activarlo.
Una vez que cumplamos ambos requisitos, podremos activar el modo monitor en el programa para ver todos los tipos de paquetes WiFi, incluyendo los Beacon, los paquetes de datos y también de control, incluyendo a todos los clientes inalámbricos que están conectados actualmente a la red inalámbrica. Otra forma es usando los drivers NDIS y usando una tarjeta WiFi compatible con este driver y el modo de funcionamiento de Acrylic.
Activarlo en Linux
En sistemas operativos basados en Linux, si usamos la suite de Aircrack-ng, podremos poner la tarjeta WiFi en modo monitor de manera muy fácil y rápida, tan solo tendremos que ejecutar el siguiente comando para activarlo:
sudo airmon-ng start wlan0
Por supuesto, en este caso también será completamente necesario contar con una tarjeta WiFi compatible, y con los drivers adecuados para Linux instalados, de lo contrario no funcionará. Si estás interesado en realizar auditorías WiFi, nuestra recomendación es que uséis WiFiSlax porque es la distribución que tiene un mayor soporte de forma predeterminada a una grandísima cantidad de modelos de tarjetas WiFi, la detección es completamente automática y podremos habilitar o no el modo monitor a través de ifconfig, o usando la suite de auditoría Aircrack-ng que viene preinstalada.
¿Se pierde rendimiento?
Como puedes ver, el modo monitor es una funcionalidad muy común para los profesionales que se dedican a la seguridad de las redes, o para los administradores de sistemas. En cambio, es inevitable pensar en que activarlo puede afectar negativamente al rendimiento de la tarjeta. Y como consecuencia, al del dispositivo. La respuesta no es del todo clara. En el modo monitor, la tarjeta recoge y deja registrados todos los paquetes de red. Y esto lo hace independientemente de su destinatario. Esto hace que la información que proporciona sea muy detallada, permitiendo identificar posibles problemas antes de que estos lleguen a ocurrir o se agraven mucho.
En cambio, esto puede ser un poco costoso. Cuando la tarjeta de red está en este modo, está realizando más procesos que con un funcionamiento sin el modo monitor. Por lo cual nos puede llevar a un uso intensivo de CPU, y en consecuencia afectaría a todo el equipo. Esto ocurre porque tienen que lidiar con muchos errores y colisiones de red, ya que están reconociendo todos los paquetes, y no solo los que van destinados a la misma. Produciendo así más facilidades a la hora de saturar una red, especialmente en picos de uso donde el tráfico es muy alto.
En todo caso, siempre debemos tener en cuenta que el impacto en el rendimiento puede tener variaciones en función de las capacidades del hardware y el software. Algunas tarjetas de red y controladores, están totalmente optimizados para poder manejar este modo monitor sin que llegue a afectar de forma significativa al rendimiento de la misma. O incluso a pesar de que afecte, que sea prácticamente imperceptible. Lo importante es que la tarjeta cuente con el firmware totalmente actualizado, y el hardware sea de la mejor calidad posible. De este modo tendremos un sello de garantía.
Tal y como habéis visto, el modo monitor de las tarjetas WiFi, ya sea con interfaz USB o PCIe, nos permitirá capturar todos y cada uno de los paquetes que hay en el «aire», y con el software adecuado podremos conocer el número de clientes y qué clientes (con su dirección MAC) están conectados a un determinado router WiFi o punto de acceso. Además, si vas a realizar auditorías WiFi, este modo de funcionamiento es completamente necesario activarlo, de lo contrario no podrás conseguir tu objetivo de comprobar la seguridad.
Cómo de legal es usar el modo monitor
A la hora de usar esta función, hay un vacío legal, puesto que, por seguridad, podemos realizar este proceso en nuestra red de forma totalmente legal, sin poder evitar que se capturen datos de otras, sin embargo, sí que sería ilegal, después de interceptar los de otros routers, intentar obtener información de ellos, así como de su contraseña.
Por tanto, nos basaríamos en la lógica, y todos sabemos que «robar» internet no es normal, y podría tener consecuencias. Sin embargo, la mayoría de gente que lea este artículo, posiblemente esté más preocupada en que no le roben la suya, que en buscar otra. Es por ello que os vamos a dar un consejo para que tengáis una contraseña mucho más segura, y, por tanto, más difícil de averiguar por cualquier método.
Solamente deberemos entrar en esta web, y una vez que hayamos accedido, escribir nuestra contraseña, o la que teníamos pensado poner al router, en el recuadro disponible.
Una vez que la vayamos escribiendo, veremos un mensaje que nos indica lo segura que es, pudiendo mejorarla hasta el punto de que sea imposible de descubrir. Verás como una password de pocos dígitos, o incluso números, algo habitual en la WEP, se podría sacar en milisegundos, sin embargo, a medida que vamos añadiendo mayúsculas, caracteres, etc, esta va aumentando su dificultad, hasta el punto en el que tardarían millones de años en poder hackeárnosla. Esa será la que tengamos que usar, pese a ser larga y difícil de recordar. De ahí viene que los routers traigan este tipo de contraseñas tan complicadas.