AirSnitch: El Ataque que Rompe el Aislamiento de Clientes en Wi-Fi

AirSnitch es una serie de ataques recientemente presentada por investigadores de seguridad que permite evadir el aislamiento de clientes en redes Wi-Fi, una función diseñada para impedir la comunicación directa entre dispositivos conectados al mismo punto de acceso. Los ataques explotan inconsistencias en la gestión de identidades de clientes y en el forwarding interno del punto de acceso.

Esta problemática afecta a routers de Netgear, D-Link, Ubiquiti, Cisco, así como a dispositivos basados en DD-WRT y OpenWrt. La investigación fue expuesta en la conferencia Network and Distributed System Security Symposium (NDSS) 2026 y puedes consultar el paper oficial en el sitio del NDSS Symposium.

Entre sus autores se encuentran los investigadores Xin’an Zhou y Mathy Vanhoef , quienes explican que los ataques AirSnitch difieren fundamentalmente de ataques Wi-Fi previos, como KRACK. Mientras estos últimos se enfocaban en vulnerabilidades en los protocolos criptográficos de Wi-Fi, AirSnitch explota una superficie de ataque diferente: inconsistencias en la capa de enlace de datos (Layer 2) y en la forma en que el punto de acceso gestiona la identidad de los clientes y el reenvío del tráfico dentro de la red inalámbrica.

AirSnitch vs Otros Ataques Wi-Fi: Un Bypass de Aislamiento

Vanhoef aclara que no se trata de un crack criptográfico, sino de una evasión (bypass) del aislamiento de clientes (también llamado client isolation o AP isolation), una medida de seguridad que los fabricantes de routers utilizan para impedir la comunicación directa entre dispositivos conectados a la misma red Wi-Fi.

El concepto es simple: los clientes asociados al mismo punto de acceso no deberían poder comunicarse directamente entre sí. Sin embargo, los investigadores descubrieron que, debido a inconsistencias en la forma en que el punto de acceso gestiona las identidades de los clientes en la capa de enlace de datos y en su mecanismo interno de forwarding de tramas, es posible provocar una desincronización en la identificación del cliente.

Para una explicación visual complementaria, puedes consultar este análisis en video del ataque AirSnitch explicado por GreyhatGT.

Entender cómo se explota una vulnerabilidad es el primer paso para defenderte eficazmente de ella.

El Corazón Técnico: Desincronización en el Stack de Red

La variante más potente de AirSnitch es un ataque bidireccional Man-in-the-Middle (MitM) completo. En este escenario, el atacante puede visualizar y modificar el tráfico de la víctima antes de que llegue a su destinatario previsto, estando en el mismo SSID o incluso en un SSID diferente, siempre que ambos clientes compartan el mismo punto de acceso o infraestructura inalámbrica.

Técnicamente, el ataque se inicia con una variante de port stealing, una técnica clásica de Ethernet adaptada al entorno Wi-Fi. El atacante provoca que el punto de acceso aprenda un nuevo mapeo para la dirección MAC de la víctima en su tabla de forwarding, conectándose al BSSID desde una frecuencia distinta a la utilizada por la víctima (por ejemplo 2.4 GHz frente a 5 GHz) y completando el four-way handshake.

Como resultado, el punto de acceso comienza a reenviar tráfico destinado a la víctima hacia el atacante, que pasa a recibir tramas asociadas a esa identidad. Para recuperar el mapeo original y establecer un MitM bidireccional, el ataque utiliza tráfico adicional —por ejemplo un ping ICMP con una MAC aleatoria— cifrado mediante la Group Temporal Key (GTK).

El atacante puede redirigir el tráfico de Capa 2 porque los puntos de acceso inalámbricos, a diferencia de los switches Ethernet, no pueden vincular un puerto físico a un único cliente; los clientes son inherentemente móviles.

Análisis de HD Moore para Ars Technica

Implicaciones Prácticas y Dispositivos Vulnerables

La interceptación del tráfico es especialmente crítica si la conexión no está protegida por HTTPS. En esos casos, el atacante puede visualizar el tráfico en texto claro, incluyendo cookies, credenciales u otra información sensible transmitida sin cifrado.

Incluso cuando el sitio usa HTTPS, el atacante todavía puede interferir con solicitudes DNS o intentar manipular la resolución de nombres para redirigir a la víctima hacia servicios controlados por él.

Los investigadores probaron 11 dispositivos, incluyendo Netgear Nighthawk x6 R8000, D-Link DIR-3040, TP-Link Archer AXE75, Asus RT-AX57, Ubiquiti AmpliFi Alien Router, Cisco Catalyst 9130 y OpenWrt 24.10. Cada uno de los modelos analizados resultó vulnerable a al menos una variante del ataque AirSnitch.

Algunos fabricantes ya han liberado parches, sin embargo, parte de los problemas detectados están relacionados con características del hardware y no pueden ser corregidos a nivel de firmware.

Esto no se limita a una única marca; las vulnerabilidades se confirmaron en routers Netgear, D-Link, TP-Link, ASUS, Ubiquiti, Cisco, así como en dispositivos con DD-WRT y OpenWrt. Todos los modelos probados resultaron vulnerables a al menos una variante del ataque. Además, no existe un estándar unificado para el aislamiento de clientes; cada proveedor lo implementa a su manera.

Demostración Práctica: Guía para Probar AirSnitch

Para la comunidad del hacking ético y la investigación en seguridad, los autores han publicado un proof-of-concept (PoC) y una herramienta de testing en GitHub.

Este repositorio es crucial para comprender el alcance práctico del ataque y para probar la vulnerabilidad en entornos controlados y autorizados. Puedes encontrar el código y la documentación en: https://github.com/vanhoefm/airsnitch.

La existencia de esta herramienta pública eleva el nivel de amenaza, ya que reduce la barrera de entrada para que actores maliciosos adapten y automaticen el ataque. Para profesionales de la seguridad defensiva, esta misma herramienta es vital para realizar tests de penetración internos y verificar si la infraestructura Wi-Fi corporativa es susceptible a AirSnitch.

Si te interesa ampliar tu laboratorio, también puedes revisar nuestra recopilación de herramientas profesionales de pentesting

Vamos a desglosar los requisitos y pasos clave para poner en marcha el entorno de pruebas, basándonos en la documentación oficial.

Requisitos del Sistema y Hardware

Para ejecutar las pruebas de AirSnitch, necesitarás configurar un entorno específico. Estos son los componentes esenciales:

• Sistema Operativo: Se recomienda Ubuntu 22.04.5 LTS o superior (dentro de la serie 22.04). Funciona en máquina física o en una máquina virtual (como VirtualBox) siempre que puedas pasar los adaptadores USB Wi-Fi al sistema invitado.
• Hardware Necesario:
  • Al menos dos adaptadores Wi-Fi USB (por ejemplo, identificados como wlan2 y wlan3) que soporten:
    • Modo monitor (para inyección y captura de paquetes).
    • Modo managed (para conexión normal a la red).
  • Chipsets recomendados (compatibles con aircrack-ng y modo monitor/inyección): Atheros (ej. AR9271), Ralink (RT3070/RT3572), o Realtek (RTL8187/RTL8812AU con los drivers adecuados). Siempre verifica la compatibilidad con airmon-ng check kill.
• Dependencias de Software: Deberás instalar varios paquetes de desarrollo y herramientas esenciales:

bash libnl-3-dev libnl-genl-3-dev libnl-route-3-dev libssl-dev libdbus-1-dev pkg-config build-essential net-tools python3-venv aircrack-ng rfkill git dnsmasq tcpreplay macchanger

Instalación Paso a Paso (Ejecutar una Sola Vez)

Sigue estos comandos en orden para preparar el entorno de AirSnitch desde cero.

1. Clona el repositorio y accede al directorio:

git clone https://github.com/vanhoefm/airsnitch.git
cd airsnitch

2. Instala todas las dependencias del sistema:

sudo apt update
sudo apt install libnl-3-dev libnl-genl-3-dev libnl-route-3-dev \
    libssl-dev libdbus-1-dev pkg-config build-essential net-tools python3-venv \
    aircrack-ng rfkill git dnsmasq tcpreplay macchanger

3. Ejecuta el script de setup para compilar la versión modificada de hostapd y otras dependencias:

./setup.sh

4. Accede al directorio de investigación y compila los binarios y módulos Python específicos de AirSnitch:

cd airsnitch/research
./build.sh
./pysetup.sh

Este proceso crea un entorno virtual Python (venv) y compila los ejecutables necesarios.

Preparación Obligatoria Antes de Cada Uso

Cada vez que vayas a ejecutar pruebas, debes seguir esta preparación:

1. Accede al directorio correcto y activa el entorno como root:

cd airsnitch/research
sudo su
source venv/bin/activate

2. Desactiva el Network Manager para evitar interferencias críticas:

sudo systemctl stop NetworkManager
sudo airmon-ng check kill

3. Configura el archivo de red client.conf. Debe contener dos bloques: uno para la víctima ("victim") y otro para el atacante ("attacker"). Ejemplo para WPA2/3-PSK:

# No modifiques esta línea, es esencial para AirSnitch
ctrl_interface=wpaspy_ctrl

network={
    # No cambies este campo, el script depende de él
    id_str="victim"
    ssid="TuSSIDPrincipal"
    key_mgmt=WPA-PSK
    psk="TuContraseñaPrincipal"
}

network={
    # No cambies este campo, el script depende de él
    id_str="attacker"
    ssid="TuSSIDGuest"
    key_mgmt=WPA-PSK
    psk="TuContraseñaGuest"
}

Para configuraciones Enterprise (EAP/PEAP), multi-PSK o SAE-PK, consulta los archivos de ejemplo eap.conf, multipsk.conf y saepk.conf en el repositorio.

Ejecución de Pruebas (Ejemplos Reales)

Con el entorno listo, ejecuta como root dentro del venv activado. Recuerda: siempre incluye --no-ssid-check si las redes víctima y atacante usan SSIDs diferentes, y elige --same-bss o --other-bss según el escenario.

• Prueba de GTK Abuse (clave de grupo compartida):

./airsnitch.py wlan2 --check-gtk-shared wlan3 --no-ssid-check --other-bss

Si muestra las GTK idénticas, el sistema es vulnerable.

• Prueba de Gateway Bouncing (capa IP):

./airsnitch.py wlan2 --c2c-ip wlan3 --no-ssid-check --same-bss

Busca en la salida el mensaje en rojo: “Client to client traffic at IP layer is allowed”.

• Downlink Port Stealing (interceptar tráfico hacia la víctima):

./airsnitch.py wlan2 --c2c-port-steal wlan3 --no-ssid-check --other-bss --server 8.8.8.8

• Uplink Port Stealing (interceptar tráfico desde la víctima):

./airsnitch.py wlan2 --c2c-port-steal-uplink wlan3 --no-ssid-check --other-bss --server 1.2.3.4

Advertencias Críticas

• Aspecto Legal: Utiliza esta herramienta ÚNICAMENTE en redes de tu propiedad o con autorización expresa y por escrito. Interceptar tráfico ajeno es una actividad ilegal.
• Solución de Problemas: Si la conexión falla, valida primero la configuración ejecutando manualmente wpa_supplicant -c client.conf -i wlanX. Para el modo --c2c-gtk-inject, puede ser necesario ejecutar sudo sysctl -w net.ipv4.conf.all.drop_unicast_in_l2_multicast=0.
• En Entornos Virtualizados: Al usar VirtualBox 7+, asegúrate de que los adaptadores USB se pasen correctamente al guest. Si el terminal no se abre tras la instalación, habilita la opción “Skip Unattended Installation”.
• Tiempo de Escaneo: El script busca puntos de acceso hasta por 30 segundos. Si no encuentra el AP configurado, la prueba fallará.

Mitigaciones y Buenas Prácticas Contra AirSnitch

En cuanto a la protección contra AirSnitch, una VPN solo ayuda parcialmente, ya que a menudo permite el paso de metadatos y solicitudes DNS. El aislamiento por VLAN entre SSIDs tampoco es completamente fiable: Zhou señala que estas configuraciones son propensas a errores, mientras que Moore enfatiza que las VLAN difícilmente constituirán una barrera robusta frente a todas las variantes de AirSnitch.

Los investigadores consideran que el enfoque más efectivo es el modelo Zero Trust; no obstante, su implementación es compleja incluso para grandes organizaciones.

Investigadores y expertos aconsejan:

• Aplicar parches: Mantener el firmware de routers y puntos de acceso actualizado con los últimos parches de seguridad proporcionados por el fabricante.
• Ser cauteloso con redes públicas: Evitar Wi-Fi públicos para actividades sensibles si es posible; especialmente en entornos como hoteles, aeropuertos o cafeterías donde múltiples usuarios comparten el mismo punto de acceso. Hemos analizado este tipo de riesgos en nuestro artículo sobre seguridad en redes Wi-Fi de hoteles.
• Usar una VPN de confianza: Comprendiendo sus limitaciones contra este tipo específico de ataque de capa 2.
• Red de datos móviles: Para trabajo crítico en movilidad, priorizar el anclaje a red (tethering) desde un dispositivo móvil.
• Avanzar hacia Zero Trust: En entornos corporativos, evaluar e implementar principios de confianza cero en la red.

Conclusión: El Futuro de la Seguridad Wi-Fi

Cabe destacar que para ejecutar los ataques AirSnitch, el atacante necesita acceso a la red Wi-Fi, lo cual reduce la amenaza en comparación con, por ejemplo, los ataques a WEP. Moore opina que, hasta que alguien desarrolle una herramienta de automatización para AirSnitch, a los atacantes les resultará más sencillo desplegar un punto de acceso falso y ejecutar un ataque tipo evil twin. Sin embargo, con la publicación del PoC en GitHub, ese escenario está ahora más cerca.

AirSnitch no destruye Wi-Fi de la noche a la mañana, pero reintroduce algunos de los riesgos de la “era de los hotspots salvajes”, cuando el ARP-spoofing era una práctica común. Expone un fallo arquitectónico fundamental en la implementación del aislamiento de cliente a nivel de capas bajas, recordándonos que la seguridad de la red inalámbrica debe considerarse en todas las capas del modelo OSI.

¿Tienes un router de los listados en tu red doméstica o corporativa? ¿Has considerado probar medidas de aislamiento avanzado o el modelo Zero Trust? ¡Comparte tus experiencias y preguntas en la sección de comentarios!