Portal cautivo con Wifi Pineapple
Introducción
Los portales cautivos son una forma de gestionar el acceso a Internet, y durante un fin de semana, mi profesor de “Puesta en Producción Segura”, Carmelo Alcolea, me ha dejado prestado el Wifi Pineapple de Hak5, una herramienta para realizar pruebas de ataques a redes. En este post, te mostraré cómo crear un portal cautivo malicioso con este aparato.
Configuración
Suponiendo que tenemos inicializado el “Wifi Pineapple” y que el dispositivo tiene conexión a Internet, nos dirigimos al apartado de módulos y nos descargamos el módulo “Evil Portal” de newbi3.
Una vez instalado, la primera vez que entremos en el módulo, comprobará si tenemos las dependencias; si no las tenemos, las descargará automáticamente.
Una vez descargadas, podremos entrar al módulo.
Una vez finalizado, configuramos el punto de acceso por el cual van a entrar los clientes.
Nos descargamos los portales del GitHub de Kleo para tener un ejemplo para esta prueba; en mi caso, elegiré el inicio de sesión de Starbucks.
Ahora necesitamos subir la carpeta del portal cautivo que queramos crear. Para ello, podemos conectarnos por SSH al Wifi Pineapple.
Para enviar una carpeta por SSH, podemos usar la herramienta SCP.
Si refrescamos la pestaña, debería aparecer en la librería de portales el portal que hemos subido por SSH y activamos el portal.
Ataque
Si accedemos desde un móvil a la red Wi-Fi que hemos configurado anteriormente, nos aparecerá el siguiente inicio de sesión y nos pedirá las credenciales.
También se puede acceder desde un ordenador.
Si volvemos al Pineapple y alguien ha introducido sus credenciales, podremos hacer clic en el botón de “View logs”.
Conclusión
En este post, hemos explorado cómo configurar un portal cautivo malicioso utilizando el Wifi Pineapple de Hak5. A través de un proceso paso a paso, desde la instalación del módulo “Evil Portal” hasta la creación y activación de un portal cautivo, hemos visto cómo se puede simular un ataque a redes Wi-Fi. Es fundamental recordar que, aunque esta herramienta puede ser utilizada para fines educativos y de pruebas de seguridad, su uso indebido puede tener consecuencias legales y éticas. Por lo tanto, es esencial emplear estos conocimientos de manera responsable y siempre con el consentimiento de los usuarios involucrados. La seguridad en redes es un tema crítico, y entender cómo funcionan estos ataques puede ayudar a fortalecer las defensas contra ellos.
¡Espero que os haya gustado el post!