Configurar una Wi-Fi para invitados parecía buena idea. Hasta que ha aparecido la última vulnerabilidad: AirSnitch

Soy el primero que tengo activada una red Wi-Fi de invitados para facilitar el acceso a mis amigos y familiares a conectividad Wi-Fi, sin comprometer la seguridad y privacidad de la red Wi-Fi a la que tengo conectados el resto de dispositivos de mi casa. La cafetería a la que voy habitualmente también lo hace. Separar la red principal de la que usan visitas o clientes parecía suficiente para evitar que alguien conectado pudiera husmear en ordenadores, móviles o impresoras ajenas. Sin embargo, ese modelo acaba de recibir un revés importante. Un grupo de investigadores ha presentado en el NDSS 2026 un ataque llamado AirSnitch que demuestra que esa separación puede romperse incluso cuando el router tiene activado el aislamiento entre dispositivos y utiliza cifrado moderno como WPA2 o WPA3. En Xataka Wireshark: qué es este analizador del tráfico de tu red y cómo usarlo para detectar problemas en Internet o fallos de seguridad El problema de AirSnitch es que no es un ataque de fuerza bruta contra estos sistemas de protección, sino que ha encontrado un camino alternativo en el que, simplemente, esta protección no llega. AirSnitch no es un ataque, es una alternativa AirSnitch no es un programa malicioso listo para usar, sino una técnica que explota una vulnerabilidad en la forma en la que muchos puntos de acceso implementan el aislamiento de clientes. Esa función, presente en redes todas las redes de Wi-Fi domésticas, empresariales o públicas, debería impedir que dos dispositivos conectados a la misma Wi-Fi puedan comunicarse directamente entre sí. El problema, según el estudio presentado en el Network and Distributed System Security Symposium, es que ese aislamiento no forma parte de un estándar único y cada fabricante lo implementa a su manera. En sus pruebas, los investigadores analizaron 11 dispositivos diferentes, desde routers domésticos hasta equipos profesionales y firmwares alternativos. Encontraron vulnerabilidades a las técnicas de AirSnitch en todos ellos. En declaraciones recogidas por Ars Technica, Xin’an Zhou, uno de los autores del trabajo, afirmó que AirSnitch "rompe el cifrado Wi-Fi en todo el mundo y podría tener el potencial de permitir ciberataques avanzados. Nuestra investigación pincha físicamente el cable por completo para que estos ataques sofisticados funcionen. Es realmente una amenaza para la seguridad de las redes en todo el mundo". Cómo funciona AirSnitch La clave está en que, aunque los dispositivos estén "aislados" entre sí gracias al aislamiento de clientes, comparten ciertos mecanismos internos del router que permiten organizar el tráfico de datos. AirSnitch aprovecha esa característica para engañar al punto de acceso y hacer que parte de la información que debería ir a otro dispositivo pase primero por el atacante. En la práctica, eso permite colocarse en medio de la comunicación sin que la víctima lo perciba generando lo que en ciberseguridad se conoce como un Man-in-the-Middle (hombre en medio), en el que toda la información de ese dispositivo pasa antes por un intermediario. Desde ahí, el atacante puede observar datos y, en determinados casos, modificarlos antes de que lleguen a su destino. Es decir, no se trata de adivinar la contraseña del Wi-Fi, sino de aprovechar cómo el propio router gestiona las conexiones internas una vez que alguien ya está conectado. Los investigadores demostraron que esta técnica puede facilitar ataques adicionales, como redirigir a la víctima a páginas falsas o manipular ciertas comunicaciones internas si no están protegidas adecuadamente. El aislamiento, que debía impedir precisamente ese escenario, deja de ser una barrera efectiva. El principal problema es que, todos los dispositivos se conectan al mismo router que los gestiona. En Xataka Llevamos años obsesionados con las contraseñas seguras y los wifis públicos. Resulta que el coladero de datos estaba en los satélites Por qué las redes públicas son el escenario más delicado El riesgo es especialmente relevante en redes abiertas o compartidasF por muchas personas: cafeterías, aeropuertos, hoteles o espacios de coworking. En esos entornos, cualquier usuario puede conectarse lícitamente a través de la contraseña facilitada por el establecimiento y, si el punto de acceso es vulnerable, intentar explotar el fallo contra otros clientes conectados en ese momento. En una red doméstica el impacto es mucho más limitado, porque el atacante necesita conocer la contraseña para entrar primero. Es decir, tiene que ser uno de los invitados a los que has dado la contraseña, no alguien externo. Aun así, la investigación demuestra que activar una red de invitados no garantiza por sí sola que los dispositivos queden completamente aislados. Al ser un descubrimiento reciente, todavía no existe una solución universal inmediata para el usuario final. La corrección depende en gran medida de actualizaciones de firmware por parte de los fabricantes o de cambios más profundos en cómo diseñan sus sistemas de aislamiento de dispositivos. Mientras tanto, en entornos empresariales se recomienda segmentar las redes de forma más estricta, utilizando configuraciones que separen realmente los dispositivos en distintos entornos internos y no dependan únicamente de una función del router. Para particulares, mantener el equipo actualizado, usar contraseñas robustas y evitar realizar operaciones sensibles en redes públicas sin protección adicional son medidas razonables para reducir el riesgo que continúan estando vigentes. Necesitar una contraseña para conectarse a una red Wi-Fi no es garantía de seguridad ni de privacidad. En Xataka | Guía de compras de VPN: nueve servicios a considerar para navegar de forma más segura Imagen | Unsplash (Bernard Hermant) - La noticia Configurar una Wi-Fi para invitados parecía buena idea. Hasta que ha aparecido la última vulnerabilidad: AirSnitch fue publicada originalmente en Xataka por Rubén Andrés .