Investigadores de Unit 42 descubren "Air Snitch", una técnica de ataque inalámbrico que permite a los ciberdelincuentes interceptar tráfico empresarial y robar credenciales sin siquiera poner un pie dentro del edificio.
Por: MSB
El perímetro de seguridad de las oficinas ya no se detiene en las paredes de hormigón. Un nuevo informe técnico de Unit 42, la unidad de inteligencia de Palo Alto Networks, ha puesto al descubierto a "Air Snitch", un sofisticado conjunto de herramientas y tácticas diseñadas para comprometer redes inalámbricas empresariales (WPA2/WPA3-Enterprise) mediante el uso de hardware de bajo coste y gran alcance.
El espía que no necesita entrarA diferencia de los ataques Wi-Fi tradicionales que requieren estar físicamente cerca del router, Air Snitch utiliza antenas de alta ganancia y dispositivos de tamaño reducido que pueden ocultarse fácilmente en los alrededores de una empresa —como un coche aparcado o una jardinera—.
El ataque funciona mediante la creación de un "Gemelo Malvado" (Evil Twin) de la red corporativa. Aprovechando que muchos dispositivos (portátiles, móviles y tablets) están configurados para conectarse automáticamente a redes conocidas, Air Snitch "engaña" al dispositivo de la víctima para que se conecte a un punto de acceso falso controlado por el atacante.
¿Cómo funciona el robo de datos?Una vez que el empleado se conecta inadvertidamente al punto de acceso del atacante, Air Snitch ejecuta un ataque de intercepción de identidad:
Captura de Handshake: El sistema captura los paquetes de autenticación que el dispositivo envía para intentar validar su identidad.
Degradación de Seguridad: En redes que utilizan protocolos de autenticación como PEAP, el atacante puede forzar al dispositivo a utilizar versiones más débiles de cifrado.
Exfiltración: Los datos capturados se envían automáticamente a un servidor en la nube donde la potencia de cálculo de la IA se utiliza para descifrar las contraseñas en cuestión de minutos.
El informe subraya un problema sistémico en la cultura de seguridad actual: la mayoría de los usuarios están acostumbrados a ignorar o aceptar "advertencias de certificados" en sus navegadores. Air Snitch explota esta fatiga de alertas. Cuando el dispositivo de la víctima detecta que el certificado del Wi-Fi no coincide, muestra una advertencia; si el usuario pulsa "Confiar", entrega las llaves de su cuenta corporativa al atacante en bandeja de plata.
Cómo protegerse: Consejos de Unit 42Para los equipos de TI y seguridad, el descubrimiento de Air Snitch supone una llamada de atención para revisar las defensas inalámbricas:
Adiós a PEAP/MSCHAPv2: Unit 42 recomienda encarecidamente migrar a protocolos más seguros basados en certificados, como EAP-TLS, que son inmunes a los ataques de gemelo malvado.
Desactivar la conexión automática: Configurar los dispositivos gestionados por la empresa para que no se unan a redes Wi-Fi conocidas sin intervención del usuario.
Segmentación de red: Asegurar que los dispositivos conectados por Wi-Fi no tengan acceso directo a los servidores críticos de la empresa sin pasar por una capa adicional de autenticación (VPN o Zero Trust).
Educación del usuario: Formar a los empleados para que informen de inmediato si ven advertencias inusuales al conectarse al Wi-Fi de la oficina.
Air Snitch demuestra que, mientras el mundo se centra en la seguridad de la nube y la IA, los ataques a la infraestructura física básica siguen siendo una vía de entrada devastadoramente eficaz. Como señala Unit 42, en la era del trabajo híbrido, el aire que rodea nuestra oficina es ahora parte de la superficie de ataque, y es hora de empezar a protegerlo.