BorrowBits - ciencia y tecnología
hacking

Esnifando contraseñas con Wireshark

hackingSi no has oído nunca hablar de esta herramienta será porque no estás relacionado con el mundo de las comunicaciones e Internet, porque ésta es una de las herramientas más utilizadas en un sin fin de escenarios.

Wireshark, antes conocida como Ethereal, es un analizador de protocolos usado para analizar redes de comunicación. Permite ver todo el tráfico que pasa a través de una red si lo configuramos en modo promiscuo. Fruto de ese análisis se pueden encontrar vulnerabilidades en la red, en algún protocolo o en el software. También, por supuesto, nos sirve para aprender un poco más como funcionan nuestros sistemas de comunicación.

Puedes hacerlo funcionar de forma sencilla a través de una interfaz gráfica que permite múltiples opciones de organización y filtrado de información. El objetivo de este artículo no es aprender a utilizarlo, para ello te invito a que visites su propio User’s Guide o que hagas una búsqueda rápida por Internet que seguro que encuentras muchos manuales.

Si quieres jugar un poco en tu red Wi-Fi privada de casa, te propongo que hagas estos experimentos:

Deja tu ordenador sniffing en modo promiscuo. Luego dedícate a navegar con normalidad, accediendo a tus redes sociales (Facebook, Linkedin, etc.), haciendo logging en tu cliente de correo electrónico, autenticándote a las webs que más sueles visitar, etc.

Cuando lleves un rato, detén la captura y prueba los siguientes filtros para ver cuantas contraseñas “viajan” por tu red en texto plano:

Credenciales con POP:

pop.request.command == "USER" || pop.request.command == "PASS"

Credenciales con IMAP:

imap.request contains "login"

Credenciales con SMTP:

smtp.req.command == "AUTH"

Filtrar peticiones HTTP con el método POST:

http.request.method == "POST"

Y cuando encuentres estos paquetes, pulsa sobre ellos con el botón derecho y selecciona “Follow TCP Stream”.

Mira la información que te aparece y a ver cuantos “user y passwords” encuentras. Imagínate que no eres tú el que está viendo esa información, sino que es otra persona que pueda hacer un mal uso de ella.

¿Sueles utilizar redes públicas o compartidas de una cafetería, universidad, etc? Si analizas el tráfico de esas redes usando Wireshark y guardas la captura, verás que los paquetes están cifrados. Si sabes la contraseña de la red, ya sea WEP, WPA o WPA2, puedes descifrar los paquetes con esta herramienta en:

Edit  > Preferences > Protocols y seleccionamos “IEEE 802.11”, luego ponemos el password en el formato correspondiente en el cuadro de texto “Key” de la forma:

wpa-pwd: <PASSWORD>:<SSID>

Ahora todos los paquetes capturados están descifrados, ¿magia?, prueba a utilizar alguno de los filtros anteriores a ver que aparece.

Vemos lo vulnerable que puede llegar a ser nuestra red y cómo con unos mínimos conocimientos se puede obtener mucha información. Por tanto, trata de utilizar sitios con SSL/TLS (sitios con https:// por ejemplo) y no te conectes a redes sin contraseña y expongas tu información a cualquiera. Recuerda que Internet no se diseñó pensando en la seguridad.

Rafa M.

Ingeniero de Telecomunicación, apasionado de la Seguridad Informática.

43 comentarios

  • Información Bitacoras.com

    Valora en Bitacoras.com: Si no has oído nunca hablar de esta herramienta será porque no estás relacionado con el mundo de las comunicaciones e Internet, porque esta es una de las herramientas más utilizadas en un sin fin de escenarios. Wireshark,…

    • Hola Pedro,

      Asegúrate de que tu tarjeta de red permite modo promiscuo o modo monitor para poder capturar todo el tráfico que se transmite. También tienes que ver que el interfaz con el que estás capturando el tráfico con Wireshark es esa interfaz y no otra. Cualquier duda nos comentas.
      Saludos

  • Hola,
    Esto sigue funcionando, yo necesito hacer un sniffer a una página creada en Joomla… Y no se si funcionara, si lo sabéis por favor responder..
    Gracias.

    • Hola Javier,

      Lo bueno de las capas TCP/IP (o las OSI) es que no importa en qué lenguaje esté escrita la web, porque luego la información se transmitirá haciendo uso de protocolos de aplicación bien conocidos como SMTP, POP3, IMAP, HTTP, etc. Por tanto, no importa si la web ha sido creada haciendo uso de Joomla, ya que será posible analizar los paquetes enviados/recibidos por la misma (siempre que no estén cifrados).
      Un saludo

  • Hola… la cosa va a así páginas como facebook, outlook, o paginas de logueo de bancos van encriptadas en ssl por eso el logueo es desde una https a no ser que cambiemos el https por http con algun otro programa va a ser imposible obtener datos como el pass el usuario….. no???

  • “Edit > Preferences > Protocols y seleccionamos “IEEE 802.11″, luego ponemos el password en el formato correspondiente”. Para WPA cuál es ese formato al que te refieres? Gracias!!!!

  • Hola….. para programar radios de Rf..uso una interface
    USB que en administrador de dispositivo , aparece como una red mas. Como puedo ver el Pass del radio a programar , con Wireshare ????? ..Saludos y gracias desde Chile.

  • ola como hago para poner en modo monitor porque cuando lo habro no me parace lo que dice en el video y el programa es Whireshark le agradesco el windows 7

  • hola que tal, eh leído tu post soy aficionado a la informática y me parece que es un estupendo aporte. lo que la mayoría de las personas no les gusta leer y solo ingresan los comando por ingresar sin analizar que significa cada uno de ellos saludos.

  • Hoy hice la prueba de la red Wifi de mi universidad en Chile, la verdad basta con usar este analizador de protocolos y filtrar por http e inmediatamente en los que dicen “post” en el sector –info– salen todos los usuarios y contraseñas de los que han iniciado sesión en la plataforma de la universidad (que basicamente es todos los datos de facebook), ahora bien, no tengo la menor idea de informática, solo he hecho esto muy básico con el analizador de protocolos, ¿podré vender algún sistema de seguridad a la universidad? Aquí las universidades tienen mucho dinero, te ofrezco el contacto para vender un sistema de seguridad informatica y llevarme mi cuota jajaja, saludos

    • Hola Javier,

      Me alegro de que te guste el tema de la seguridad informática. En estos casos lo mejor es informar al departamento responsable de gestionar la página web de la universidad. Seguro que te lo agradecerán y quién sabe, puede que hasta te premien con algún curso o algo similar 😉
      Muchos “hackers” encuentran vulnerabilidades en plataformas como Facebook, WordPress, etc sólo por diversión y las comunican de forma altruista a los responsables de las mismas, ése es el verdadero espíritu “hacker”, el amor por la seguridad informática y por querer hacer de Internet un lugar mejor.

  • buenas alguien sabe porque cuando abro wireshark y filtro http.request ya agarro cualquier paquete bajo ese filtro y presiono follow tcp stream no me sale ninguna contraseña ?

    • Hola Jorge,

      Si no aparece, supongo que será porque no has capturado ningún mensaje con las credenciales. También puede que el servicio esté utilizando un protocolo seguro como SSL/TLS y si no dispones de la clave privada, no podrás descrifrar la información.

      Saludos

  • Hola Rafa, no eh encontrado a nadie en Internet que resuelva las dudad como tu..
    Tengo una duda.. recién empiezo a estudiar informática y me eh enamorado de todo ando pegado viendo tutoriales todo el día.. y llegue a wiresharke y puedo ver que efectivamente como nombras… las claves de facebook están encriptadas.. pero mi pregunta es.. si yo comparto Internet libre desde mi iphone hay alguna posibilidad de que conecte mi teléfono con la pc y abra wiresharke y vea todo el trafico libre incluyendo contraseñas y usuarios hasta de facebook ? te agradecería me aclares esa duda Rafa saludos…

    • Hola JesusK,

      Gracias, solo intento aportar mi granito de arena para hacer “Comunidad” en este mundo tan fantástico como es Internet.
      Respondiendo a tu pregunta: si navegas siguiendo este esquema: tu teléfono < ---> Tu PC < ---> Internet. Seguirás sin ver las passwords de Facebook. ¿Por qué? Porque Facebook al igual que otras páginas (como https://www.borrowbits.com 😉 ), utilizan un protocolo seguro a nivel de Aplicación llamado HTTPS. Si te fijas en la barra de direcciones del navegador, al entrar a Facebook, verás un candado verde y la dirección empieza por https. Por tanto, si alguien que comparte tu conexión a Internet se pone a monitorizar los paquetes que circulan, no podrá ver tu password porque estará cifrado. Serán necesarias otras técnicas (como SSL strip, Phishing…) algo más complejas que un simple escaneo del tráfico para poder comprometer tu seguridad.
      Sin embargo, otras páginas que no utilicen HTTPS, como por ejemplo http://forum.softpedia.com/ al pinchar arriba a la izquierda sobre “Sing in”, utilizan HTTP (sin la S de seguro), por tanto estas enviando tu usuario/password al servidor en texto plano, es decir, sin cifrar. Entonces si escaneas los paquetes de la red, SÍ podrás ver ese usuario/password. Te invito a que te registres y hagas la prueba: Monitoriza el tráfico de la red y mira los paquetes una vez que hayas intentado hacer “log in”. Verás el user/password.
      En resumen, si una página web utiliza httpS, no podrás ver las password escaneando tráfico. Si utiliza http sí podrás.

      Espero que haya respondido a tu pregunta,
      Saludos

    • Hola Sebas,

      Prueba a buscar en Google: HTTPS Kali, verás que te salen algunos vídeos sobre técnicas relacionadas con SSL Strip, Man in the Middle, etc. Te recomiendo que mires tutoriales sobre las herramientas disponibles en Kali Linux (La evolución de BackTrack).

      Un saludo

  • Rafa, buenas tardes, es posible interceptar conversaciones o el contenido de correos ?, si no es asi, podrías
    darme una reseña de que investigar.
    Saludos!!!

    • Hola MikeBf,

      Si usas Gmail, estás haciendo uso de un cliente de correo web que utiliza HTTPS, por tanto irán cifrados. Si utilizas un cliente de correo de escritorio como Outlook, que utiliza protolocos para el correo como SMTP o POP3, si no se ha configurado correctamente, es probable que los e-mails viajen sin cifrar, por tanto, es posible ver su contenido. Te aconsejo que leas un poco sobre estos protocolos, así te puedes hacer una idea de cómo funcionan y sus posibles “puntos débiles”.

      Un saludo

  • Hola, existe una forma de ver los correos electrónicos y contraseñas que pasan a través de mi red de computadora, Ya que mi vecino me roba Internet y quisiera ver para que lo utiliza, y para darle un escarmiento

  • Hola Rafa, el saludo cordial y a la vez solicitarle me pueda orientar acerca de al seguridad informatica, estoy tratandod e analizar la seguridad de ONE DRIVE y GOOGLE DRIVE y analizar la comparativa de sus protocolos de seguridad en el almacenamineto de datos en la nube, me podria orientar y decirme de que maner o con que instrumentos puedo hacer este análisis comparativo, espero pueda ayudarme y estare atento a sus coemtarios.
    Gracias
    Atte.Ricardo Ueki

  • Hola quiero saber como descifrar los paquetes, pero el ingreso a la red está protegido mediante un nombre de usuario y una contraseña, me sé los datos, pero como los ingreso al wireshark?? No sé si me expliqué.

  • Muy buen post y muy bien explicado y qué paciencia respondiendo. Si vas leyendo has tenido que explicar la diferencia entre http y https como 4 o 5 veces. Ánimo.

  • Buenas si tengo capturado paquetes, con NTLMSSP_NEGOTIATE Y protocolo smb2, se puede descifrar los intentos de logeo que nos intentan hacer?
    Es que recibimos como ataque fuerza bruta intentos fallidos de inicio de sesión y desde la ip de destino
    nos dicen que no hay malware ninguno. No sabemos si es un intento de autenticación fallido por algo.
    Si la comunicación se establece por un tunel ipsec, podriamos con whireshark sacar el contenido. de usuario y contraseña, y si vemos que es el mismo user y contraseña saber que es un proceso bueno fallido?

Suscríbete

¡Sácale el máximo partido a BBits!

Introduce tu dirección de correo electrónico para seguir este Blog y recibir por email las nuevas publicaciones, si has leído y aceptas las Políticas de Privacidad, Cookies y Aviso Legal.

Recíbelo gratis al suscribirte

Webs amigas

  • Frikilogia.- Blog Multi-Tematico orientado a todos los campos del frikismo.
  • Meridiem90.tv.- Mira la TV gratis en HD. Canal Plus y Gol TV, todo el futbol desde tu navegador.
  • JITKey.- Startup enfocada en la gestión de alojamientos turísticos.

Bits del pasado

Síguenos en FB