Categoría Ciberseguridad Seguridad TIC
Categoría Ciberseguridad / Seguridad / TIC

Auditar redes WiFi

Cómo auditar redes WiFi en Windows: guía práctica con herramientas modernas

Las redes WiFi forman parte de la infraestructura crítica de hogares, empresas y organizaciones. Aunque los estándares de seguridad inalámbrica han evolucionado significativamente, una configuración incorrecta, un firmware desactualizado o una contraseña débil pueden seguir exponiendo una red a riesgos innecesarios.

En esta guía aprenderás cómo realizar una auditoría de seguridad WiFi desde Windows utilizando herramientas actuales como Npcap, Wireshark y Acrylic WiFi, con foco en la identificación de configuraciones inseguras, la monitorización del tráfico inalámbrico y la validación de las medidas de protección implementadas.

Aviso legal: Este contenido tiene fines educativos y profesionales. Las pruebas de seguridad únicamente deben realizarse sobre redes propias o con autorización expresa. El acceso no autorizado a sistemas o redes puede constituir una infracción administrativa o un delito según la legislación aplicable.

¿Por qué auditar una red WiFi?

Una auditoría inalámbrica permite evaluar el nivel real de protección de una red y detectar problemas que suelen pasar desapercibidos durante la configuración inicial:

  • Comprobar el uso correcto de WPA2 o WPA3.
  • Detectar puntos de acceso mal configurados o no autorizados.
  • Identificar redes invitadas con privilegios excesivos.
  • Verificar la ausencia de protocolos obsoletos como WEP o WPA.
  • Detectar dispositivos desconocidos conectados a la red.
  • Evaluar interferencias y saturación de canales.
  • Comprobar si WPS está activo y desactivarlo si no es necesario.

En entornos empresariales, estas revisiones forman parte de las tareas habituales de hardening y cumplimiento de normativas de seguridad.

Entorno y requisitos previos

Para realizar una auditoría wireless en Windows necesitas:

  • Sistema operativo: Windows 10 o Windows 11 (64 bits).
  • Adaptador WiFi compatible con monitor mode: No todos los adaptadores integrados lo permiten. Los más recomendados son: Alfa AWUS036ACH (chipset RTL8812AU), Alfa AWUS036ACS (chipset RTL8811AU), TP-Link Archer T4U Plus y Panda PAU09.
  • Drivers adecuados: Windows no incluye drivers de monitor mode por defecto. Para los chipsets Realtek mencionados son necesarios los drivers de Npcap o los proporcionados por aircrack-ng para Windows.

El adaptador Alfa AWUS036ACH es el estándar de facto para auditorías wireless por su compatibilidad con monitor mode:

Adaptador Alfa AWUS036ACH para auditorías WiFi

Antes de adquirir cualquier adaptador, comprueba la compatibilidad actualizada con las herramientas que vayas a utilizar y con tu versión de Windows.

Instalación del entorno de trabajo

Npcap

Npcap es la plataforma de captura de paquetes más utilizada en Windows y constituye la base de herramientas como Wireshark.

Instalación de Npcap con la opción Support raw 802.11 traffic (and monitor mode) activada
  1. Descarga Npcap desde npcap.com.
  2. Durante la instalación, marca la opción Support raw 802.11 traffic (and monitor mode).
  3. Reinicia el equipo.

Wireshark

Wireshark es la herramienta de referencia para el análisis de protocolos de red. Su capacidad para interpretar tramas 802.11 lo convierte en una solución imprescindible durante cualquier auditoría inalámbrica.

  1. Instala la versión más reciente desde wireshark.org.
  2. Selecciona Npcap como motor de captura durante la instalación.
  3. Ejecuta la aplicación con privilegios de administrador cuando sea necesario.

¿Qué herramienta utilizar en cada situación?

  • Wireshark: análisis detallado de paquetes y tramas 802.11.
  • Acrylic WiFi Analyzer: inventario de redes, detección de canales saturados y revisión de parámetros de seguridad.
  • NetSpot: estudios de cobertura y mapas de calor WiFi.
  • inSSIDer: análisis rápido de interferencias y solapamientos.
  • WiFi Analyzer: diagnósticos básicos y comprobaciones rápidas desde Windows.

En una auditoría completa es habitual combinar varias herramientas para obtener una visión global del estado de la red inalámbrica.

Evaluación del cifrado: WPA2 y WPA3

El primer paso de cualquier auditoría es comprobar qué protocolo de seguridad utiliza cada red visible. Con herramientas como Acrylic WiFi o inSSIDer puedes ver de un vistazo el tipo de cifrado de todos los puntos de acceso cercanos.

Lo que debes comprobar:

  • WEP o WPA (TKIP): protocolos obsoletos que deben eliminarse de inmediato.
  • WPA2-Personal (AES/CCMP): aceptable, pero requiere contraseñas robustas.
  • WPA3-Personal (SAE): recomendado. Resiste ataques de diccionario offline y ofrece Perfect Forward Secrecy.
  • Modo de transición WPA2/WPA3: válido para compatibilidad con dispositivos antiguos, aunque reduce parte de las garantías de WPA3.

En Wireshark, los beacon frames de cada punto de acceso incluyen el campo RSN Information Element (IE), donde se detallan los algoritmos de cifrado y autenticación soportados. El filtro wlan.fc.type_subtype == 0x08 muestra exclusivamente este tipo de trama.

Monitorización del tráfico con Wireshark

Una vez instalado Npcap con soporte 802.11, Wireshark puede capturar tráfico en modo monitor si el adaptador lo permite.

Wireshark mostrando interfaces WiFi disponibles para captura en modo monitor
  1. Abre Wireshark como administrador.
  2. Selecciona tu adaptador en modo monitor en la lista de interfaces.
  3. Configura el canal deseado antes de iniciar la captura.
  4. Inicia la captura y aplica filtros según el análisis que necesites.

Filtros de visualización útiles:

  • wlan.fc.type_subtype == 0x08 — beacon frames (identifican redes y sus capacidades).
  • eapol — tramas de autenticación; permite verificar que el proceso de conexión es correcto.
  • wlan.bssid == XX:XX:XX:XX:XX:XX — filtra por un punto de acceso específico.
  • wlan.fc.type_subtype == 0x0c — tramas de desautenticación; su presencia inesperada puede indicar interferencias o intentos de ataque.

El análisis periódico del tráfico ayuda a detectar configuraciones anómalas y eventos de red inusuales.

Identificación de dispositivos conectados

Conocer qué dispositivos están en la red es una parte esencial de cualquier auditoría. Hay varias formas de obtener este inventario desde Windows:

  • Panel de administración del router: la mayoría de routers domésticos y empresariales muestran la lista de clientes DHCP con dirección IP y MAC.
  • Acrylic WiFi: detecta dispositivos activos y muestra sus direcciones MAC con el fabricante asociado.
  • Wireshark: en capturas de tráfico, las direcciones MAC origen/destino permiten identificar todos los dispositivos que intercambian paquetes.

Cualquier dispositivo no reconocido debe investigarse. La dirección MAC puede consultarse en bases de datos públicas de asignación de prefijos OUI (como la de IEEE) para identificar el fabricante del adaptador de red.

Indicadores de posible intrusión

  • Aumento repentino del número de dispositivos conectados.
  • Equipos activos fuera del horario habitual.
  • Fabricantes desconocidos en las direcciones MAC detectadas.
  • Consumo de ancho de banda anormalmente elevado.
  • Intentos repetidos de autenticación fallida.
  • Cambios inesperados en la configuración del punto de acceso.

La presencia de uno o varios de estos indicadores no implica necesariamente una intrusión, pero sí justifica una revisión más detallada del entorno inalámbrico.

Detección de puntos de acceso no autorizados

Un punto de acceso no autorizado (rogue AP) es cualquier dispositivo que emite una red WiFi sin conocimiento del administrador. Puede tratarse de un empleado que conectó un router doméstico, un dispositivo comprometido o un AP atacante que suplanta una red legítima.

Para detectarlos desde Windows:

  • Compara el inventario de APs visibles con el listado de infraestructura autorizada.
  • Presta atención a SSIDs que imitan nombres de redes legítimas con pequeñas variaciones.
  • Verifica que el BSSID (dirección MAC del AP) corresponde al fabricante del equipo registrado.
  • En Wireshark, los beacon frames con el mismo SSID pero distinto BSSID son una señal de alerta.
Diagrama del proceso de autenticación WiFi entre cliente y punto de acceso

Auditoría de canales e interferencias

La saturación de canales afecta tanto al rendimiento como a la estabilidad de la red. En entornos con muchos puntos de acceso cercanos, un canal mal elegido genera interferencias que pueden degradar la experiencia de los usuarios.

Con inSSIDer o Acrylic WiFi puedes visualizar:

  • Qué canales de 2,4 GHz y 5 GHz están más ocupados.
  • El solapamiento entre redes vecinas.
  • La intensidad de señal (RSSI) de cada punto de acceso.
  • La relación señal-ruido en cada canal.

En la banda de 2,4 GHz, solo los canales 1, 6 y 11 no se solapan entre sí. En 5 GHz la situación mejora considerablemente gracias a la mayor disponibilidad de canales no solapados.

Interpretación de la intensidad de señal

  • -30 a -50 dBm: señal excelente.
  • -50 a -67 dBm: señal muy buena para la mayoría de aplicaciones.
  • -67 a -70 dBm: aceptable para navegación y videollamadas.
  • -70 a -80 dBm: rendimiento limitado.
  • Menos de -80 dBm: conexión inestable o con cortes frecuentes.

Estos valores ayudan a identificar zonas con cobertura deficiente y determinar la necesidad de reubicar puntos de acceso o incorporar sistemas mesh.

Revisión de la configuración WPS

WPS (WiFi Protected Setup) es una funcionalidad diseñada para simplificar la conexión de dispositivos mediante un PIN de 8 dígitos. Su diseño tiene una debilidad estructural conocida: el PIN se verifica en dos bloques separados de 4 dígitos, lo que reduce el espacio de búsqueda de ~100 millones a ~20.000 combinaciones.

Desde Windows puedes verificar si WPS está activo en los beacon frames capturados con Wireshark: busca el Information Element con Tag Number 221 y OUI de Microsoft, o usa Acrylic WiFi, que muestra el estado de WPS directamente en su interfaz.

La recomendación es clara: desactivar WPS en todos los puntos de acceso salvo que sea imprescindible para un dispositivo concreto que no admita otro método de conexión.

Alternativas en Windows: WSL2 con Kali Linux

Para análisis más avanzados que requieran el ecosistema completo de herramientas de auditoría wireless, WSL2 (Windows Subsystem for Linux) con Kali Linux es la opción más robusta sin necesidad de un equipo dedicado.

Limitación importante: WSL2 no tiene acceso directo al hardware USB de forma nativa. Es necesario usar usbipd-win para conectar el adaptador WiFi USB a la instancia Linux.

Una vez configurado, dispones de herramientas como wifite, kismet y la suite completa de aircrack-ng bajo Linux, donde el soporte de monitor mode es significativamente más estable que en Windows nativo.

Exportación y documentación

Wireshark permite exportar capturas en múltiples formatos:

  • .pcapng — formato nativo, preserva toda la metadata.
  • .pcap — compatible con herramientas legacy.
  • .csv — para análisis estadístico en Excel o Python.

Para informes profesionales, documenta siempre la metodología seguida, las herramientas y versiones utilizadas, los hallazgos con evidencias (capturas de pantalla, archivos.pcap) y las recomendaciones de mitigación concretas para cada hallazgo.

Recomendaciones de mitigación

Si tu auditoría detecta vulnerabilidades, estas son las contramedidas estándar:

  • Migrar a WPA3-Personal o WPA3-Enterprise si el hardware lo soporta.
  • Usar contraseñas de más de 16 caracteres con combinación de mayúsculas, minúsculas, números y símbolos.
  • Desactivar WPS en todos los puntos de acceso.
  • Segmentar redes: red de invitados completamente aislada de la red principal.
  • Actualizar firmware del router y puntos de acceso periódicamente.
  • Implementar monitorización continua con herramientas WIDS (Wireless Intrusion Detection System) en entornos empresariales.

Checklist rápida de auditoría WiFi

  • Verificar que todas las redes utilizan WPA2-AES o WPA3.
  • Confirmar que WPS está desactivado.
  • Revisar dispositivos conectados y eliminar los no autorizados.
  • Comprobar que el firmware del router está actualizado.
  • Analizar la saturación de canales.
  • Identificar posibles puntos de acceso no autorizados.
  • Validar el aislamiento de la red de invitados.
  • Revisar registros y eventos de autenticación.
  • Documentar hallazgos y medidas correctivas.

Preguntas frecuentes

¿Se puede realizar una auditoría WiFi completa desde Windows?

Para análisis, monitorización y validación de configuraciones, sí. Windows es una plataforma válida para la mayoría de tareas defensivas. Las pruebas de penetración activas siguen realizándose con mayor comodidad desde distribuciones especializadas como Kali Linux.

¿Es obligatorio utilizar un adaptador USB externo?

No siempre. Para análisis básicos de cifrado y escaneo de redes, el adaptador integrado suele ser suficiente. Para captura en modo monitor se necesita un adaptador con soporte explícito y drivers compatibles.

¿WPA3 es completamente seguro?

Ningún protocolo es invulnerable por definición. WPA3 incorpora mejoras sustanciales respecto a WPA2 —especialmente frente a ataques de diccionario offline— y actualmente representa la opción recomendada para la mayoría de usuarios y organizaciones.

Conclusión

Auditar una red WiFi en Windows es una práctica recomendable para verificar que las medidas de seguridad implementadas funcionan correctamente y detectar posibles debilidades antes de que puedan ser explotadas.

Gracias a herramientas como Npcap, Wireshark y Acrylic WiFi, Windows se ha consolidado como una plataforma válida para la monitorización y evaluación defensiva de redes inalámbricas modernas. Para auditorías que requieran análisis más profundos a nivel de protocolo, complementar con una máquina virtual Kali Linux sigue siendo el enfoque más completo.

Ciberseguridad Windows