Cómo aprovechar su red y ver todo lo que sucede en ella

  Imagen para el artículo titulado Cómo aprovechar su red y ver todo lo que sucede en ella
Imagen: Shutterstock (Shutterstock)

Su red doméstica, y todo lo que está conectado a ella, es como una bóveda. Detrás de su inicio de sesión hay toneladas de información valiosa, desde archivos sin cifrar que contienen datos personales hasta dispositivos que pueden secuestrarse y usarse para cualquier propósito. En esta publicación, le mostraremos cómo mapear su red, echar un vistazo debajo de las sábanas para ver quién está hablando con qué y cómo descubrir dispositivos o procesos que pueden estar consumiendo ancho de banda (o son invitados inesperados en su red) .


En resumen: podrá reconocer las señales de que algo en su red está comprometido. Asumiremos que está familiarizado con algunos conceptos básicos de redes, como cómo encontrar la lista de dispositivos de su enrutador y qué es una dirección MAC. Si no, dirígete a nuestro Escuela nocturna Know Your Network para refrescarse primero.

Sin embargo, antes de continuar, debemos emitir una advertencia: use estos poderes para siempre y solo ejecute estas herramientas y comandos en hardware o redes que posee o administra. Al amigable departamento de TI de su vecindario no le gustaría que escanee puertos o husmee paquetes en la red corporativa, y tampoco a todas las personas en su cafetería local.

Paso uno: Hacer un mapa de red

Antes incluso de iniciar sesión en su computadora, escriba lo que cree que sabe sobre su red. Comience con una hoja de papel y anote todos sus dispositivos conectados. Eso incluye cosas como televisores inteligentes, parlantes inteligentes, computadoras portátiles y computadoras, tabletas y teléfonos, o cualquier otro dispositivo que pueda estar conectado a su red. Si le ayuda, dibuje un mapa habitación por habitación de su hogar. Luego anote cada dispositivo y dónde vive. Es posible que se sorprenda de la cantidad exacta de dispositivos que ha conectado a Internet al mismo tiempo.

Los administradores e ingenieros de red reconocerán este paso: es el primer paso para explorar cualquier red con la que no esté familiarizado. Haga un inventario de los dispositivos que contiene, identifíquelos y luego vea si la realidad coincide con lo que espera. Si (o cuando) no es así, podrá separar rápidamente lo que sabe de lo que no sabe.


Es posible que sienta la tentación de simplemente iniciar sesión en su enrutador y mirar su página de estado para ver qué está conectado, pero no lo haga todavía. A menos que pueda identificar todo en su red por su dirección IP y MAC, solo obtendrá una gran lista de cosas, una que incluye a cualquier intruso o aprovechado. Realice primero un inventario físico, luego pase al digital.

Paso dos: sondee su red para ver quién está en ella

  Imagen para el artículo titulado Cómo aprovechar su red y ver todo lo que sucede en ella
Captura de pantalla: Alan Henry

Una vez que tenga un mapa físico de su red y una lista de todos sus dispositivos confiables, es hora de investigar. Inicie sesión en su enrutador y verifique su lista de dispositivos conectados. Eso le dará una lista básica de nombres, direcciones IP y direcciones MAC. Recuerde, la lista de dispositivos de su enrutador puede o no mostrarle todo. Debería, pero algunos enrutadores le muestran solo los dispositivos que usan el enrutador para su dirección IP. De cualquier manera, mantenga esa lista a un lado; es buena, pero queremos más información.


Descargar e instalar Nmap

A continuación, vamos a pasar a nuestro viejo amigo   Nmap . Para aquellos que no están familiarizados, Nmap es una herramienta de escaneo de red de código abierto y multiplataforma que puede encontrar dispositivos en su red, junto con una tonelada de detalles sobre esos dispositivos. Puede ver el sistema operativo que están usando, las direcciones IP y MAC, e incluso abrir puertos y servicios. Descarga Nmap aquí , verificar estas guías de instalación para configurarlo, y siga estas instrucciones para descubrir hosts en su red doméstica.

Una opción es instalar y ejecutar Nmap desde la línea de comandos (si desea una interfaz gráfica, Zenmap normalmente viene con el instalador). Escanee el rango de IP que está utilizando para su red doméstica. Esto descubrió la mayoría de los dispositivos activos en mi red doméstica, excluyendo algunos en los que tengo seguridad mejorada (aunque también se pudieron detectar con algunos de los comandos de Nmap, que puede encontrar en el enlace de arriba).


  Imagen para el artículo titulado Cómo aprovechar su red y ver todo lo que sucede en ella
Captura de pantalla: Alan Henry

Compare la lista de Nmap con la lista de su enrutador

Debería ver las mismas cosas en ambas listas a menos que algo que anotó anteriormente esté apagado ahora. Si ve algo en su enrutador que Nmap no apareció, intente usar Nmap contra esa dirección IP directamente.

Luego mire la información que encuentra Nmap sobre el dispositivo. Si dice ser un Apple TV, probablemente no debería tener servicios como http en ejecución, por ejemplo. Si parece extraño, pruébelo específicamente para obtener más información.

Nmap es una herramienta extremadamente poderosa, pero no es la más fácil de usar. Si eres un poco tímido con las armas, tienes otras opciones. Escáner IP enojado es otra utilidad multiplataforma que tiene una interfaz atractiva y fácil de usar que le brindará mucha de la misma información. Vigilante de red inalámbrica es una utilidad de Windows que escanea las redes inalámbricas a las que está conectado. alambre de vidrio es otra excelente opción que le notificará cuando los dispositivos se conecten o desconecten de su red.

Paso tres: husmear y ver con quién están hablando todos

A estas alturas, debería tener una lista de dispositivos que conoce y en los que confía, y una lista de dispositivos que ha encontrado conectados a su red. Con suerte, habrá terminado aquí y todo coincidirá o se explicará por sí mismo (como un televisor que actualmente está apagado, por ejemplo).


Sin embargo, si ve algún actor que no reconoce, servicios ejecutándose que no corresponden al dispositivo (¿Por qué mi Roku ejecuta postgresql?), o algo más se siente mal, es hora de oler un poco. Olfateo de paquetes, eso es.

Cuando dos computadoras se comunican, ya sea en su red o a través de Internet, se envían bits de información llamados 'paquetes'. En conjunto, esos paquetes crean flujos de datos complejos que componen los videos que vemos o los documentos que descargamos. La detección de paquetes es el proceso de capturar y examinar esos fragmentos de información para ver a dónde van y qué contienen.

Instalar Wireshark

Para hacer esto, necesitaremos Tiburón alambre . Es una herramienta de monitoreo de red multiplataforma que usamos para hacer un pequeño rastreo de paquetes nuestra guía para detectar contraseñas y cookies . En este caso, lo usaremos de manera similar, pero nuestro objetivo no es capturar nada específico, solo monitorear qué tipos de tráfico circulan por la red.

Para hacer esto, deberá ejecutar Wireshark a través de wifi en ' modo promiscuo .” Eso significa que no solo está buscando paquetes que se dirijan hacia o desde su computadora, sino que también recolecte cualquier paquete que pueda ver en su red.

Siga estos pasos para configurarlo:

  • Descargar e instalar Wireshark
  • Seleccione su adaptador wifi.
  • Haga clic en Capturar > Opciones, y como puede ver en el video de arriba (cortesía de la gente de Hak5 ), puede seleccionar 'Capturar todo en modo promiscuo' para ese adaptador.

Ahora puede comenzar a capturar paquetes. Cuando comience la captura, obtendrá mucha información. Afortunadamente, Wireshark se anticipa a esto y lo hace fácil de filtrar.

  Imagen para el artículo titulado Cómo aprovechar su red y ver todo lo que sucede en ella
Captura de pantalla: Alan Henry

Dado que solo buscamos ver qué están haciendo los actores sospechosos en su red, asegúrese de que el sistema en cuestión esté en línea. Continúe y capture el tráfico de unos minutos. Luego, puede filtrar ese tráfico en función de la dirección IP de ese dispositivo utilizando los filtros integrados de Wireshark.

Hacer esto le brinda una vista rápida de con quién está hablando esa dirección IP y qué información están enviando de un lado a otro. Puede hacer clic derecho en cualquiera de esos paquetes para inspeccionarlo, seguir la conversación entre ambos extremos y filtrar toda la captura por IP o conversación. Para obtener más información, echa un vistazo a Wireshark instrucciones detalladas de filtrado .

Es posible que no sepa lo que está viendo (todavía), pero ahí es donde entra un poco de investigación.

Analizar la actividad incompleta

Si ve esa computadora sospechosa hablando con una dirección IP extraña, use el nslookup comando (en el símbolo del sistema en Windows, o en una terminal en OS X o Linux) para obtener su nombre de host. Eso puede decirle mucho sobre la ubicación o el tipo de red a la que se conecta su computadora. Wireshark también le dice los puertos que se están utilizando, así que busque el número de puerto en Google y vea qué aplicaciones lo usan.

Si, por ejemplo, tiene una computadora que se conecta a un nombre de host extraño a través de puertos que se usan a menudo para IRC o transferencia de archivos, es posible que tenga un intruso. Por supuesto, si encuentra que el dispositivo se está conectando a servicios acreditados a través de puertos de uso común para cosas como correo electrónico o HTTP/HTTPS, es posible que se haya topado con una tableta que su compañero de cuarto nunca le dijo que tenía, o que alguien de al lado le haya robado su wifi. De cualquier manera, tendrás los datos necesarios para resolverlo por tu cuenta.

Paso cuatro: juega el juego largo y registra tus capturas

  Imagen para el artículo titulado Cómo aprovechar su red y ver todo lo que sucede en ella
Captura de pantalla: Alan Henry

Por supuesto, no todos los malos actores en su red estarán en línea y se perderán mientras los busca. Hasta este punto, le enseñamos cómo verificar los dispositivos conectados, escanearlos para identificar quiénes son realmente y luego olfatear un poco de su tráfico para asegurarse de que todo esté correcto. Sin embargo, ¿qué haces si la computadora sospechosa está haciendo su trabajo sucio por la noche cuando estás durmiendo, o si alguien está robando tu wifi cuando estás en el trabajo todo el día y no estás cerca para verificar?

Usar software de monitoreo de red

Hay un par de maneras de abordar esto. Una opción es usar un programa como alambre de vidrio , que mencionamos anteriormente. Este software le avisará cuando alguien esté conectado a su red. Cuando te despiertas por la mañana o vuelves a casa del trabajo, puedes ver lo que sucedió mientras no estabas mirando.

Verifique el registro de su enrutador

Su próxima opción es usar las capacidades de registro de su enrutador. Enterrado en lo profundo de las opciones de seguridad o resolución de problemas de su enrutador, generalmente hay una pestaña dedicada al registro. Cuánto puede registrar y qué tipo de información varía según el enrutador, pero las opciones pueden incluir la IP entrante, el número de puerto de destino, la IP saliente o la URL filtrada por el dispositivo en su red, la dirección IP interna y su dirección MAC, y qué dispositivos en su la red se registró con el enrutador a través de DHCP para obtener su dirección IP (y, por proxy, cuáles no).

Firmware personalizado como DD-WRT y Tomato (ambos te hemos mostrado   cómo instalar ) le permite monitorear y registrar el ancho de banda y los dispositivos conectados durante el tiempo que desee, e incluso puede volcar esa información en un archivo de texto que puede filtrar más tarde. Dependiendo de cómo haya configurado su enrutador, incluso puede enviarle ese archivo por correo electrónico regularmente o colocarlo en un disco duro externo o NAS.

De cualquier manera, usar la función de registro de su enrutador, a menudo ignorada, es una excelente manera de ver si, por ejemplo, después de la medianoche y todos se han ido a la cama, su PC para juegos de repente comienza a procesar y transmitir una gran cantidad de datos salientes, o si tiene una sanguijuela regular. a quien le gusta conectarse a su wifi y comenzar a descargar torrents a horas intempestivas.

Mantenga Wireshark funcionando

Su opción final, y una especie de opción nuclear, es simplemente dejar que Wireshark capture durante horas o días. No es raro, y muchos administradores de red lo hacen cuando realmente están analizando un comportamiento extraño de la red. Es una excelente manera de identificar a los malos actores o los dispositivos parlanchines. Sin embargo, requiere dejar una computadora encendida durante mucho tiempo, rastrear constantemente paquetes en su red, capturar todo lo que pasa, y esos registros pueden ocupar una buena cantidad de espacio. Puede reducir las cosas filtrando las capturas por IP o tipo de tráfico, pero si no está seguro de lo que está buscando, tendrá una gran cantidad de datos para filtrar cuando busque una captura incluso unas pocas horas. Aún así, definitivamente le dirá todo lo que necesita saber.

En todos estos casos, una vez que haya registrado suficientes datos, podrá averiguar quién está usando su red, cuándo y si su dispositivo coincide con el mapa de red que creó anteriormente.

Paso cinco: bloquee su red

Si ha seguido hasta aquí, ha identificado los dispositivos que deberían poder conectarse a su red doméstica, los que realmente se conectan, identificado las diferencias y, con suerte, descubierto si hay malos actores, dispositivos inesperados, o sanguijuelas dando vueltas. Ahora todo lo que tienes que hacer es lidiar con ellos y, sorprendentemente, esa es la parte fácil.

Las sanguijuelas wifi obtendrán el arranque tan pronto como tú bloquear su enrutador . Antes de hacer cualquier otra cosa, cambie la contraseña de su enrutador y desactive WPS si está activado. Si alguien logró iniciar sesión directamente en su enrutador, no desea cambiar otras cosas solo para que inicie sesión y recupere el acceso. Asegúrese de usar una contraseña buena y segura que sea difícil de forzar.

A continuación, busque actualizaciones de firmware. Si su sanguijuela ha hecho uso de un exploit o una vulnerabilidad en el firmware de su enrutador, esto los mantendrá fuera, suponiendo que el exploit haya sido parcheado, por supuesto. Finalmente, asegúrese de que su modo de seguridad inalámbrica esté configurado en WPA2 (porque WPA y WEP son muy fácil de descifrar ) y cambia tu contraseña wifi por otra buena y larga que no pueda ser forzada. Luego, los únicos dispositivos que deberían poder volver a conectarse son aquellos a los que les da la nueva contraseña.

Eso debería encargarse de cualquier persona que extraiga su wifi y haga todas sus descargas en su red en lugar de en la de ellos. También ayudará con la seguridad por cable. Si puedes, también debes tomar algunos pasos adicionales de seguridad inalámbrica , como desactivar la administración remota o desactivar UPnP.

Para los malos actores en sus computadoras con cable, tiene algo que hacer. Si en realidad es un dispositivo físico, debe tener una conexión directa a su enrutador. Comience a rastrear cables y hable con sus compañeros de cuarto o familiares para ver qué pasa. En el peor de los casos, siempre puede volver a iniciar sesión en su enrutador y bloquear por completo esa dirección IP sospechosa. El propietario de ese decodificador o computadora silenciosamente enchufada comenzará a funcionar bastante rápido cuando deje de funcionar.

  Imagen para el artículo titulado Cómo aprovechar su red y ver todo lo que sucede en ella
Captura de pantalla: Alan Henry

Sin embargo, la mayor preocupación aquí son las computadoras comprometidas. Un escritorio que ha sido secuestrado y unido a una red de bots para minar Bitcoin de la noche a la mañana, por ejemplo, o una máquina infectada con malware que llama a casa y envía su información personal a quién sabe dónde, puede ser perjudicial.

Una vez que limite su búsqueda a computadoras específicas, es hora de erradicar dónde radica el problema en cada máquina. Si está realmente preocupado, adopte el enfoque del ingeniero de seguridad para el problema: una vez que sus máquinas son propiedad, ya no son confiables. Elimínelos, reinstale y restaure desde sus copias de seguridad. ( Tienes copias de seguridad de tus datos, ¿no? ?) Solo asegúrese de vigilar su PC: no desea restaurar desde una copia de seguridad infectada y comenzar el proceso nuevamente.

Si está dispuesto a arremangarse, puede obtener una utilidad antivirus sólida y un escáner bajo demanda antimalware ( sí, necesitarás ambos ) e intente limpiar el equipo en cuestión. Si vio tráfico para un tipo específico de aplicación, observe si no es malware o simplemente algo que alguien instaló y se está comportando mal. Siga escaneando hasta que todo esté limpio y siga revisando el tráfico de esa computadora para asegurarse de que todo esté bien.

Realmente solo hemos arañado la superficie aquí cuando se trata de monitoreo y seguridad de la red. Hay toneladas de herramientas y métodos específicos que los expertos usan para proteger sus redes, pero estos pasos le servirán si es el administrador de la red de su hogar y su familia.

Eliminar dispositivos sospechosos o sanguijuelas en su red puede ser un proceso largo, que requiere investigación y vigilancia. Aún así, no estamos tratando de generar paranoia. Lo más probable es que no encuentre nada fuera de lo común, y esas descargas lentas o malas velocidades wifi son algo completamente diferente. Aun así, es bueno saber cómo sondear una red y qué hacer si encuentra algo desconocido. Solo recuerda usar tus poderes para el bien.

Esta historia se publicó originalmente en octubre de 2014 y se actualizó en octubre de 2019 con información y recursos actuales. Actualizado el 3/3/22 con nuevos detalles.