Esnifando contraseñas con Wireshark

Esnifando contraseñas con Wireshark

hackingSi no has oído nunca hablar de esta herramienta será porque no estás relacionado con el mundo de las comunicaciones e Internet, porque ésta es una de las herramientas más utilizadas en un sin fin de escenarios.

Wireshark, antes conocida como Ethereal, es un analizador de protocolos usado para analizar redes de comunicación. Permite ver todo el tráfico que pasa a través de una red si lo configuramos en modo promiscuo. Fruto de ese análisis se pueden encontrar vulnerabilidades en la red, en algún protocolo o en el software. También, por supuesto, nos sirve para aprender un poco más como funcionan nuestros sistemas de comunicación.

Puedes hacerlo funcionar de forma sencilla a través de una interfaz gráfica que permite múltiples opciones de organización y filtrado de información. El objetivo de este artículo no es aprender a utilizarlo, para ello te invito a que visites su propio User’s Guide o que hagas una búsqueda rápida por Internet que seguro que encuentras muchos manuales.

Si quieres jugar un poco en tu red Wi-Fi privada de casa, te propongo que hagas estos experimentos:

Deja tu ordenador sniffing en modo promiscuo. Luego dedícate a navegar con normalidad, accediendo a tus redes sociales (Facebook, Linkedin, etc.), haciendo logging en tu cliente de correo electrónico, autenticándote a las webs que más sueles visitar, etc.

Cuando lleves un rato, detén la captura y prueba los siguientes filtros para ver cuantas contraseñas “viajan” por tu red en texto plano:

Credenciales con POP:

pop.request.command == "USER" || pop.request.command == "PASS"

Credenciales con IMAP:

imap.request contains "login"

Credenciales con SMTP:

smtp.req.command == "AUTH"

Filtrar peticiones HTTP con el método POST:

http.request.method == "POST"

Y cuando encuentres estos paquetes, pulsa sobre ellos con el botón derecho y selecciona “Follow TCP Stream”.

Mira la información que te aparece y a ver cuantos “user y passwords” encuentras. Imagínate que no eres tú el que está viendo esa información, sino que es otra persona que pueda hacer un mal uso de ella.

¿Sueles utilizar redes públicas o compartidas de una cafetería, universidad, etc? Si analizas el tráfico de esas redes usando Wireshark y guardas la captura, verás que los paquetes están cifrados. Si sabes la contraseña de la red, ya sea WEP, WPA o WPA2, puedes descifrar los paquetes con esta herramienta en:

Edit  > Preferences > Protocols y seleccionamos “IEEE 802.11”, luego ponemos el password en el formato correspondiente en el cuadro de texto “Key” de la forma:

wpa-pwd: <PASSWORD>:<SSID>

Ahora todos los paquetes capturados están descifrados, ¿magia?, prueba a utilizar alguno de los filtros anteriores a ver que aparece.

Vemos lo vulnerable que puede llegar a ser nuestra red y cómo con unos mínimos conocimientos se puede obtener mucha información. Por tanto, trata de utilizar sitios con SSL/TLS (sitios con https:// por ejemplo) y no te conectes a redes sin contraseña y expongas tu información a cualquiera. Recuerda que Internet no se diseñó pensando en la seguridad.

Previous Cómo conseguir todo lo que te propones: entendiendo la Autodisciplina
Next 300 ingenieros malempleados y desempleados

About author

Rafa M.
Rafa M. 51 posts

Ingeniero de Telecomunicación, apasionado de la Seguridad Informática. Le gusta estar al día en todo lo relacionado con Internet y las nuevas tecnologías.

You might also like

Tecnologia & Ciencia 4 Comentarios

Instalar Redmine 1.3 en servidor CentOS con WHM/Cpanel.

Este manual explica cómo instalar Redmine en un servidor con CentOS y WHM/Cpanel. A diferencia de otras distribuciones no podemos configurar Apache así como así, ya que WHM tiene un

Tecnologia & Ciencia 1Comments

Solución: ¡Problemas con USB C200-1C26 en Windows 8!

¡AHHHH! ¡¿Que le pasa a este ordenador que no me funcionan los cascos ni el ratón de repente?! ¡Te juro que lo lanzo por la ventana! ¡Lo juro! ¿Nunca os

Legislación 1Comments

¿Es ilegal compartir enlaces de música no registrada?

Hoy atendemos la consulta de Jose, que dice así: Tengo una duda que me corroe. Hace tiempo que llevo un blog con enlaces para descargar música de carácter independiente, maquetas

42 Comentarios

  1. Antonio
    diciembre 26, 20:42 Reply

    Muy buen post y muy bien explicado y qué paciencia respondiendo. Si vas leyendo has tenido que explicar la diferencia entre http y https como 4 o 5 veces. Ánimo.

    • Rafa M.
      diciembre 26, 22:32 Reply

      Gracias Antonio por leernos, se agradecen tus comentarios :)

  2. Cortés
    septiembre 13, 21:03 Reply

    Hola quiero saber como descifrar los paquetes, pero el ingreso a la red está protegido mediante un nombre de usuario y una contraseña, me sé los datos, pero como los ingreso al wireshark?? No sé si me expliqué.

    • Rafa M.
      diciembre 29, 14:16 Reply

      Hola,

      Con Wireshark lo que haces es un escaneo pasivo, con poner la password de la Wi-Fi creo que debería de funcionar para descifrar los paquetes que se mandan por la red.
      Saludos

    • Der Ronin
      julio 03, 19:37 Reply

      El antivirus no te protege de un buen sniffing. Pero existen otras formas de hacerlo!

    • Rafa M.
      julio 03, 23:31 Reply

      Nop, la manera de protegerse es utilizar protocolos seguros como HTTPS, así la información importante irá cifrada y aunque la intercepten no será legible

  3. Ricardo
    junio 21, 04:37 Reply

    Hola Rafa, el saludo cordial y a la vez solicitarle me pueda orientar acerca de al seguridad informatica, estoy tratandod e analizar la seguridad de ONE DRIVE y GOOGLE DRIVE y analizar la comparativa de sus protocolos de seguridad en el almacenamineto de datos en la nube, me podria orientar y decirme de que maner o con que instrumentos puedo hacer este análisis comparativo, espero pueda ayudarme y estare atento a sus coemtarios.
    Gracias
    Atte.Ricardo Ueki

  4. XDCRISXD
    diciembre 13, 21:43 Reply

    Hola, existe una forma de ver los correos electrónicos y contraseñas que pasan a través de mi red de computadora, Ya que mi vecino me roba Internet y quisiera ver para que lo utiliza, y para darle un escarmiento

  5. MikeBf
    noviembre 12, 18:34 Reply

    Rafa, buenas tardes, es posible interceptar conversaciones o el contenido de correos ?, si no es asi, podrías
    darme una reseña de que investigar.
    Saludos!!!

    • Rafa M.
      noviembre 16, 17:17 Reply

      Hola MikeBf,

      Si usas Gmail, estás haciendo uso de un cliente de correo web que utiliza HTTPS, por tanto irán cifrados. Si utilizas un cliente de correo de escritorio como Outlook, que utiliza protolocos para el correo como SMTP o POP3, si no se ha configurado correctamente, es probable que los e-mails viajen sin cifrar, por tanto, es posible ver su contenido. Te aconsejo que leas un poco sobre estos protocolos, así te puedes hacer una idea de cómo funcionan y sus posibles “puntos débiles”.

      Un saludo

  6. Sebas
    noviembre 12, 04:56 Reply

    Porque tambien se puede utilizar backtrack 5 pero no lo se usar tienes algun tuto para decifrar contraseñas de https¡

    • Rafa M.
      noviembre 16, 17:07 Reply

      Hola Sebas,

      Prueba a buscar en Google: HTTPS Kali, verás que te salen algunos vídeos sobre técnicas relacionadas con SSL Strip, Man in the Middle, etc. Te recomiendo que mires tutoriales sobre las herramientas disponibles en Kali Linux (La evolución de BackTrack).

      Un saludo

  7. Sebas
    noviembre 12, 04:32 Reply

    Hola lo que pasa es que entro en facebook y otras cuentas pero no me salen ni mi contraseña ni me email en el wireshark que pueedo hacer?

  8. JesusK
    noviembre 06, 05:23 Reply

    Hola Rafa, no eh encontrado a nadie en Internet que resuelva las dudad como tu..
    Tengo una duda.. recién empiezo a estudiar informática y me eh enamorado de todo ando pegado viendo tutoriales todo el día.. y llegue a wiresharke y puedo ver que efectivamente como nombras… las claves de facebook están encriptadas.. pero mi pregunta es.. si yo comparto Internet libre desde mi iphone hay alguna posibilidad de que conecte mi teléfono con la pc y abra wiresharke y vea todo el trafico libre incluyendo contraseñas y usuarios hasta de facebook ? te agradecería me aclares esa duda Rafa saludos…

    • Rafa M.
      noviembre 07, 11:24 Reply

      Hola JesusK,

      Gracias, solo intento aportar mi granito de arena para hacer “Comunidad” en este mundo tan fantástico como es Internet.
      Respondiendo a tu pregunta: si navegas siguiendo este esquema: tu teléfono < ---> Tu PC < ---> Internet. Seguirás sin ver las passwords de Facebook. ¿Por qué? Porque Facebook al igual que otras páginas (como https://www.borrowbits.com ;) ), utilizan un protocolo seguro a nivel de Aplicación llamado HTTPS. Si te fijas en la barra de direcciones del navegador, al entrar a Facebook, verás un candado verde y la dirección empieza por https. Por tanto, si alguien que comparte tu conexión a Internet se pone a monitorizar los paquetes que circulan, no podrá ver tu password porque estará cifrado. Serán necesarias otras técnicas (como SSL strip, Phishing…) algo más complejas que un simple escaneo del tráfico para poder comprometer tu seguridad.
      Sin embargo, otras páginas que no utilicen HTTPS, como por ejemplo http://forum.softpedia.com/ al pinchar arriba a la izquierda sobre “Sing in”, utilizan HTTP (sin la S de seguro), por tanto estas enviando tu usuario/password al servidor en texto plano, es decir, sin cifrar. Entonces si escaneas los paquetes de la red, SÍ podrás ver ese usuario/password. Te invito a que te registres y hagas la prueba: Monitoriza el tráfico de la red y mira los paquetes una vez que hayas intentado hacer “log in”. Verás el user/password.
      En resumen, si una página web utiliza httpS, no podrás ver las password escaneando tráfico. Si utiliza http sí podrás.

      Espero que haya respondido a tu pregunta,
      Saludos

  9. Anónimo
    septiembre 16, 17:30 Reply

    Se pueden conseguir contraseñas de redes sociales conhttps?

    • Rafa M.
      octubre 17, 12:14 Reply

      Hola Anónimo,

      Si la red social utilizar un protocolo seguro como SSL/TLS en sus últimas versiones, probablemente no. Habría que utilizar otras técnicas como puede ser el phishing.

  10. jorge
    junio 11, 08:42 Reply

    buenas alguien sabe porque cuando abro wireshark y filtro http.request ya agarro cualquier paquete bajo ese filtro y presiono follow tcp stream no me sale ninguna contraseña ?

    • Rafa M.
      octubre 17, 12:12 Reply

      Hola Jorge,

      Si no aparece, supongo que será porque no has capturado ningún mensaje con las credenciales. También puede que el servicio esté utilizando un protocolo seguro como SSL/TLS y si no dispones de la clave privada, no podrás descrifrar la información.

      Saludos

  11. javier
    junio 09, 07:44 Reply

    Hoy hice la prueba de la red Wifi de mi universidad en Chile, la verdad basta con usar este analizador de protocolos y filtrar por http e inmediatamente en los que dicen “post” en el sector –info– salen todos los usuarios y contraseñas de los que han iniciado sesión en la plataforma de la universidad (que basicamente es todos los datos de facebook), ahora bien, no tengo la menor idea de informática, solo he hecho esto muy básico con el analizador de protocolos, ¿podré vender algún sistema de seguridad a la universidad? Aquí las universidades tienen mucho dinero, te ofrezco el contacto para vender un sistema de seguridad informatica y llevarme mi cuota jajaja, saludos

    • Rafa M.
      octubre 17, 12:10 Reply

      Hola Javier,

      Me alegro de que te guste el tema de la seguridad informática. En estos casos lo mejor es informar al departamento responsable de gestionar la página web de la universidad. Seguro que te lo agradecerán y quién sabe, puede que hasta te premien con algún curso o algo similar ;)
      Muchos “hackers” encuentran vulnerabilidades en plataformas como Facebook, WordPress, etc sólo por diversión y las comunican de forma altruista a los responsables de las mismas, ése es el verdadero espíritu “hacker”, el amor por la seguridad informática y por querer hacer de Internet un lugar mejor.

  12. andres
    mayo 23, 18:40 Reply

    hola que tal, eh leído tu post soy aficionado a la informática y me parece que es un estupendo aporte. lo que la mayoría de las personas no les gusta leer y solo ingresan los comando por ingresar sin analizar que significa cada uno de ellos saludos.

    • Rafa M.
      mayo 29, 13:48 Reply

      Muchas gracias Andrés, te animo a que sigas alimentando tus ganas de aprender en este mundillo, ¡mola!

  13. daniel
    febrero 27, 16:46 Reply

    ola como hago para poner en modo monitor porque cuando lo habro no me parace lo que dice en el video y el programa es Whireshark le agradesco el windows 7

  14. amelia
    noviembre 26, 06:06 Reply

    hola, tendras un tutorial que me puedas enviar a mi correo, ya que no entiendo como localizar las contraseñas en la conversacion, saludos.

  15. Michael
    noviembre 07, 05:00 Reply

    Sera posible que vea el trafico si alguien se conecta a mi hostpot usandonel programa connectifi

  16. Guinching King
    noviembre 03, 06:57 Reply

    Hola….. para programar radios de Rf..uso una interface
    USB que en administrador de dispositivo , aparece como una red mas. Como puedo ver el Pass del radio a programar , con Wireshare ????? ..Saludos y gracias desde Chile.

  17. Peter
    septiembre 17, 18:48 Reply

    “Edit > Preferences > Protocols y seleccionamos “IEEE 802.11″, luego ponemos el password en el formato correspondiente”. Para WPA cuál es ese formato al que te refieres? Gracias!!!!

  18. JUAN
    septiembre 03, 16:42 Reply

    Hola… la cosa va a así páginas como facebook, outlook, o paginas de logueo de bancos van encriptadas en ssl por eso el logueo es desde una https a no ser que cambiemos el https por http con algun otro programa va a ser imposible obtener datos como el pass el usuario….. no???

    • Rafa M.
      septiembre 04, 12:56 Reply

      Hola Juan,

      Muchas páginas sólo son accesibles usando el protocolo HTTPS (“S” de Seguro). Por lo tanto, aunque hagas una captura del tráfico, no podrás ver esa información sin cifrar.
      Te recomiendo que leas esta entrada de la Wikipedia de “Criptografía asimétrica”, ayuda a entender un poco mejor cómo conseguimos transmitir nuestras credenciales a las páginas de los bancos de tal forma que solo ellos puedan descifrar esa información:
      http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica

      Un saludo

      • Arturo
        noviembre 13, 15:48 Reply

        amigo no puedo descifrar los paquetes para ver las contraseñas es de un juego online ” mu san luis “

  19. Javier
    agosto 08, 01:35 Reply

    Hola,
    Esto sigue funcionando, yo necesito hacer un sniffer a una página creada en Joomla… Y no se si funcionara, si lo sabéis por favor responder..
    Gracias.

    • Rafa M.
      agosto 28, 16:39 Reply

      Hola Javier,

      Lo bueno de las capas TCP/IP (o las OSI) es que no importa en qué lenguaje esté escrita la web, porque luego la información se transmitirá haciendo uso de protocolos de aplicación bien conocidos como SMTP, POP3, IMAP, HTTP, etc. Por tanto, no importa si la web ha sido creada haciendo uso de Joomla, ya que será posible analizar los paquetes enviados/recibidos por la misma (siempre que no estén cifrados).
      Un saludo

  20. Pedro
    julio 23, 23:05 Reply

    Buenas tardes que puedo hacer si no me aparecen los paquetes en el trafico?

    • Rafa M.
      julio 30, 14:47 Reply

      Hola Pedro,

      Asegúrate de que tu tarjeta de red permite modo promiscuo o modo monitor para poder capturar todo el tráfico que se transmite. También tienes que ver que el interfaz con el que estás capturando el tráfico con Wireshark es esa interfaz y no otra. Cualquier duda nos comentas.
      Saludos

  21. noel
    mayo 22, 21:50 Reply

    MUy Buen Post.. gracias por compartir informacion

  22. Bitacoras.com
    diciembre 11, 10:12 Reply

    Información Bitacoras.com

    Valora en Bitacoras.com: Si no has oído nunca hablar de esta herramienta será porque no estás relacionado con el mundo de las comunicaciones e Internet, porque esta es una de las herramientas más utilizadas en un sin fin de escenarios. Wireshark,…

Deja un comentario