Modo monitor en tarjetas WiFi, ¿qué es y para qué sirve?

Cuando tenemos una tarjeta WiFi instalada en nuestro ordenador, ya sea un adaptador WiFi USB o una tarjeta PCIe que conectamos directamente a la placa base de nuestro ordenador, la utilizamos en modo cliente WiFi, es decir, nos conectaremos con esta tarjeta a un router WiFi o a un punto de acceso para que nos proporcione conectividad a Internet. Sin embargo, existe un modo de funcionamiento que está específicamente diseñado para realizar auditorías de redes inalámbricas, el modo monitor o modo promiscuo. Hoy en RedesZone os vamos a explicar qué es el modo monitor y para qué nos va a servir.

Qué es el modo monitor

El modo monitor también es conocido como modo de escucha o modo promiscuo. En este modo de funcionamiento la tarjeta WIFi se encargará de escuchar todos y cada uno de los paquetes que hay en el «aire» y tendremos la posibilidad de capturarlos con diferentes programas. En este modo de funcionamiento no solamente escucharemos lo que nos envía nuestro router o AP, sino también el intercambio de información que hay en otras redes WiFi, como las de nuestros vecinos. El modo monitor se encargará de escanear en todas las frecuencias y recoger la mayor cantidad de datos posible, no obstante, como está escaneando en todas las frecuencias WiFi de manera continua, si queremos obtener toda la información de un determinado router o AP, deberemos fijar un canal específico que sea el que está emitiendo dicho router o AP, para no perder ningún paquete importante que intercambie con los clientes.

En este modo de funcionamiento, y usando unos programas bastante específicos, podremos conocer la dirección MAC de todos los clientes que hay conectados a un determinado router o punto de acceso WiFi, porque podrá capturar las tramas que viajan por el aire desde el origen hasta el destino. Esta característica del modo monitor en algunas tarjetas WiFi, es fundamental para realizar estudios de redes WiFi y también auditorías inalámbricas.

Un programa muy conocido para realizar escaneos de redes WiFi, comprobar los SSID, canales, número de clientes y cuántos clientes hay conectados en un determinado AP, es Acrylic WiFi, ya sea en su versión Home o Profesional. Aunque este programa funciona con cualquier tarjeta de red WiFi, si tenemos la suerte de que el chipset de nuestra tarjeta WiFi sea compatible con el modo monitor, y tenemos los drivers adecuados instalados, entonces vamos a poder obtener una grandísima cantidad de información, e incluso exportarla a formato pcap para su posterior estudio con programas que se encargan de analizar paquetes como WireShark entre otros muchos.

Un detalle muy importante del modo monitor, es que debe ser compatible tanto el chipset de la tarjeta WiFi, ya sea una tarjeta WiFi por USB o por PCIe, como también los drivers que utilicemos. Si no se cumplen ambas, nuestra tarjeta de red WiFi no podrá funcionar en modo monitor.

Para qué sirve y cómo activarlo

Este modo de funcionamiento sirve principalmente para realizar auditorías de redes inalámbricas WiFi, es decir, para hackear redes WiFi y comprobar su seguridad. Cuando vamos a realizar una auditoría de redes WiFi, es fundamental contar con el modo monitor para capturar los paquetes que viajan a través del aire, para posteriormente utilizar esta información para empezar a intentar hackear las redes inalámbricas.

Por ejemplo, si queremos hackear una red WiFi con el protocolo WPA o WPA2, es totalmente necesario configurar la tarjeta WiFi en modo monitor para capturar el handshake. Este handshake es el intercambio de información que se produce cuando un cliente WiFi se conecta con el router y usa el protocolo WPA o WPA2, una vez capturado el handshake, podremos intentar crackear la contraseña por fuerza bruta o por diccionario. Cuando en los routers existía el protocolo WEP, también era totalmente necesario contar con una tarjeta WiFi con capacidades de modo monitor, con el objetivo de capturar todos los «frames» de la red inalámbrica, y posteriormente inyectarlos para conseguir la contraseña de forma mucho más rápida.

Activarlo en Acrylic WiFi

Si vamos a utilizar un programa como Acrylic WiFi para realizar un estudio en profundidad de todas las redes WiFi de nuestro alrededor, y queremos capturar todos los datos de las redes inalámbricas, es muy importante contar con una tarjeta de red WiFi que funcione en modo monitor. Para hacer funcionar el modo monitor en este programa necesitaremos dos cosas:

  • Que la tarjeta de red WiFi tenga un chipset compatible con el modo monitor.
  • Que tengamos instalados los drivers adecuados en nuestro ordenador, para activarlo.

Una vez que cumplamos ambos requisitos, podremos activar el modo monitor en el programa para ver todos los tipos de paquetes WiFi, incluyendo los Beacon, los paquetes de datos y también de control, incluyendo a todos los clientes inalámbricos que están conectados actualmente a la red inalámbrica. Otra forma es usando los drivers NDIS y usando una tarjeta WiFi compatible con este driver y el modo de funcionamiento de Acrylic.

Activarlo en Linux

En sistemas operativos basados en Linux, si usamos la suite de Aircrack-ng, podremos poner la tarjeta WiFi en modo monitor de manera muy fácil y rápida, tan solo tendremos que ejecutar el siguiente comando para activarlo:

sudo airmon-ng start wlan0

Por supuesto, en este caso también será completamente necesario contar con una tarjeta WiFi compatible, y con los drivers adecuados para Linux instalados, de lo contrario no funcionará. Si estás interesado en realizar auditorías WiFi, nuestra recomendación es que uséis WiFiSlax porque es la distribución que tiene un mayor soporte de forma predeterminada a una grandísima cantidad de modelos de tarjetas WiFi, la detección es completamente automática y podremos habilitar o no el modo monitor a través de ifconfig, o usando la suite de auditoría Aircrack-ng que viene preinstalada.

Tal y como habéis visto, el modo monitor de las tarjetas WiFi, ya sea con interfaz USB o PCIe, nos permitirá capturar todos y cada uno de los paquetes que hay en el «aire», y con el software adecuado podremos conocer el número de clientes y qué clientes (con su dirección MAC) están conectados a un determinado router WiFi o punto de acceso. Además, si vas a realizar auditorías WiFi, este modo de funcionamiento es completamente necesario activarlo, de lo contrario no podrás conseguir tu objetivo de comprobar la seguridad.

¡Sé el primero en comentar!