17 días escuchando el aire

Disclaimer: Proyecto realizado con fines educativos y defensivos. No se accedió a redes de terceros ni se descifró tráfico. El análisis se basa en observación pasiva de metadatos WiFi.

Este post no va de “hackear el WiFi del vecino”. De hecho, no va de conectarse a ninguna red. Va de algo mucho más silencioso, mucho más interesante y es observar el aire.

Durante 17 días dejé una Raspberry Pi Zero 2 W escuchando tráfico WiFi en modo monitor/promiscuo.

Nada de ataques activos, nada de romper claves, nada de autenticarse en redes ajenas.

Solo captura pasiva de tramas 802.11 para entender qué tipo de señales emiten los dispositivos que nos rodean.

La idea era simple: montar una pequeña sonda WiFi casera, dejarla trabajar y después analizar qué podía revelar el entorno únicamente a partir de metadatos inalámbricos. Porque muchas veces, en seguridad, no hace falta abrir una puerta, basta con mirar las huellas que deja la gente.

El laboratorio: una Pi pequeña escuchando un mundo enorme

El hardware no tiene nada de espectacular.

Una Raspberry Pi Zero 2 W, una tarjeta microSD, alimentación estable y la interfaz WiFi trabajando en modo monitor.

El objetivo no era potencia bruta, sino constancia.

Setup resumido

  • Dispositivo: Raspberry Pi Zero 2 W.
  • Modo de captura: monitor/promiscuo.
  • Duración del experimento: 17 días.
  • Tipo de análisis: OSINT WiFi pasivo.
  • Objetivo: identificar patrones, actividad, redes, dispositivos y señales anómalas.

Lo bonito de este tipo de experimentos es que mezclan varias disciplinas: administración Linux, redes, radiofrecuencia, scripting, análisis de datos y mentalidad defensiva.

No es solo “capturar paquetes”.

Es convertir ruido en información.

Los números: cuando el aire empieza a hablar

Después de 17 días de captura, el volumen de información fue más que suficiente para sacar conclusiones.

La sonda detectó redes, dispositivos, solicitudes de búsqueda, balizas y también tráfico de des-autenticación.

KPIs principales del experimento

MétricaValor observado
Duración17 días
Redes WiFi detectadasMúltiples BSSID/SSID observados
Dispositivos detectadosClientes únicos observados por MAC
Probe RequestsSolicitudes activas de dispositivos buscando redes
BeaconsAnuncios periódicos de puntos de acceso
DEAUTH framesTramas de des-autenticación observadas

Estos datos no son simplemente números.

Cada beacon es un punto de acceso diciendo “estoy aquí”.

Cada probe request es un dispositivo preguntando “¿está por aquí alguna red que conozca?“.

Y cada trama DEAUTH puede ser ruido normal, mala configuración, interferencia o, en algunos casos, una señal que merece una segunda mirada.

Actividad diaria: el pulso del entorno

La primera forma de entender el entorno fue mirar la actividad por día.

En una captura larga, los patrones empiezan a aparecer solos: días con más movimiento, bajadas puntuales, momentos de mayor densidad y periodos donde el aire parece descansar.

Actividad diaria

Este tipo de gráfica es útil porque permite detectar comportamiento de fondo.

Una red doméstica suele tener rutinas.

Los dispositivos aparecen y desaparecen.

Hay horas de sueño, horas de trabajo, horas de tránsito y picos que pueden coincidir con eventos concretos.

Desde una perspectiva defensiva, esto es oro.

En un entorno corporativo, una desviación clara respecto al patrón normal podría apuntar a un rogue AP, una prueba no autorizada, una mala configuración o un dispositivo que no debería estar ahí.

Actividad por hora

Al agrupar la actividad por horas, el experimento empezó a parecer menos técnico y más humano.

Detrás de muchas señales hay rutinas y gente que se despierta, móviles que salen de casa, portátiles que se abren, televisores conectados, relojes, tablets, asistentes, impresoras y dispositivos IoT.

Actividad por hora

Y aquí está uno de los puntos importantes: aunque no descifres tráfico, aunque no veas contenido, aunque no te conectes a ninguna red, los metadatos ya cuentan una historia.

En WiFi, el contenido puede estar cifrado, pero la existencia de ciertos dispositivos, redes y patrones temporales puede seguir siendo observable desde fuera.

Probe requests

Una de las partes más interesantes del análisis WiFi son los probe requests.

Simplificando mucho, son tramas que algunos dispositivos emiten cuando están buscando redes conocidas.

Antiguamente era bastante común que un dispositivo fuera “preguntando” de forma explícita por redes a las que se había conectado (por ejemplo la WiFi de casa, la del trabajo, la de una cafetería, la de un hotel).

Eso podía revelar hábitos y ubicaciones pasadas.

Hoy muchos sistemas aplican aleatorización de MAC y reducen esa exposición, pero el fenómeno sigue siendo muy interesante desde el punto de vista OSINT y privacidad.

Heatmap de probe requests

El heatmap ayuda a ver concentración.

No solo cuánto tráfico hay, sino cuándo ocurre.

Y eso, en investigaciones defensivas, puede servir para detectar ventanas de actividad, horarios anómalos o presencia recurrente de determinados dispositivos.

El día de la semana también habla

Otra lectura interesante fue agrupar la actividad por día de la semana.

Esto permite separar el ruido diario de los patrones semanales.

Actividad por día de la semana

En ciberseguridad solemos hablar mucho de logs, EDR, SIEM, firewalls y alertas.

Pero el mundo físico también tiene logs.

No se escriben en JSON, pero existen: señales, horarios, presencia, ausencia, intensidad, repetición.

Fabricantes

Otro análisis interesante fue identificar fabricantes a partir de los prefijos MAC, también conocidos como OUI.

Esto permite hacerse una idea aproximada del tipo de dispositivos presentes en el entorno.

Aquí hay que tener cuidado: la aleatorización de MAC puede distorsionar los resultados y no siempre se puede confiar al 100 % en la atribución. Pero como aproximación estadística, sigue aportando contexto.

Top fabricantes detectados

En un entorno empresarial, este tipo de análisis podría ayudar a responder preguntas como:

  • ¿Hay fabricantes que no deberían aparecer en esta zona?
  • ¿Se ven dispositivos personales en áreas restringidas?
  • ¿Aparecen patrones compatibles con IoT no inventariado?
  • ¿Hay presencia recurrente de dispositivos externos?

Señal y proximidad

El RSSI, o intensidad de señal recibida, permite estimar de forma aproximada qué redes o dispositivos están más cerca.

No es una medición perfecta porque influyen paredes, interferencias, antenas, orientación y potencia de emisión, pero aun así ayuda a separar el ruido lejano de lo que realmente está cerca.

Redes por señal / proximidad

Esta parte me parece especialmente útil si pensamos en seguridad física y redes corporativas.

Un punto de acceso con señal muy fuerte y un SSID sospechoso cerca de una oficina puede merecer atención.

No porque automáticamente sea malicioso, sino porque rompe el patrón esperado.

DEAUTH frames

Durante el experimento también aparecieron tramas de des-autenticación, conocidas como DEAUTH frames.

En WiFi, una trama de deauth sirve para indicar que un cliente debe desconectarse de un punto de acceso.

Existen motivos legítimos para ver este tipo de tráfico, pero también es una técnica clásica usada en ataques de denegación de servicio WiFi o en escenarios de captura de handshakes.

Ver tramas DEAUTH no significa automáticamente que haya un ataque. Pero si aparecen en volumen, contra objetivos concretos o en ventanas temporales sospechosas, conviene investigarlas.

Esta es una de las razones por las que me gusta hacer estas cosas: con hardware barato y observación pasiva se pueden generar hipótesis defensivas reales.

Y eso es justo lo que hace un buen analista: observar, contextualizar y validar.

Privacidad

Una conclusión importante es que muchas veces pensamos en privacidad WiFi únicamente en términos de contraseña: WPA2, WPA3, clave robusta, cifrado, etc.

Pero este experimento recuerda otra cosa: antes de conectarte, tu dispositivo ya puede estar hablando.

Puede anunciar capacidades, buscar redes, emitir probes, revelar fabricante aproximado, aparecer de forma recurrente en ciertos horarios o quedar reflejado como parte de un patrón.

Desactivar la conexión automática a redes que ya no usas, borrar redes antiguas guardadas y mantener activa la aleatorización de MAC ayuda a reducir exposición.

¿Qué aprendí con esto en 17 días?

Ya sabía que el aire está lleno de señales, algunas evidentes, otras sutiles.

Pero reafirmé que no hace falta una infraestructura cara para empezar a investigar cosas y ser inquieto mentalmente.

Una Raspberry Pi de 15 euros, paciencia y curiosidad pueden abrir una puerta enorme al análisis de radiofrecuencia.

También me llevo una reflexión más profesional: en un SOC se suele vivir pegados a logs de endpoint, firewall, proxy, DNS o autenticación.

Pero la capa WiFi también tiene muchísimo que decir y, sinceramente, creo que se vigila poco en el mundo empresarial.

Posibles usos defensivos

  • Detección de puntos de acceso no autorizados.
  • Identificación de dispositivos desconocidos cerca de una ubicación.
  • Análisis de patrones horarios anómalos.
  • Monitorización de tramas DEAUTH sospechosas.
  • Inventario aproximado de fabricantes presentes en el entorno.
  • Apoyo a investigaciones de seguridad física y presencia.

Limitaciones del experimento

Este tipo de análisis tiene limitaciones claras.

  • La aleatorización de MAC puede dificultar la atribución de dispositivos.
  • El RSSI no equivale exactamente a distancia (difracción de la señal).
  • Una sola ubicación de captura ofrece una visión parcial del entorno.
  • Las tramas observadas no siempre implican actividad maliciosa (casi nunca).
  • Los fabricantes detectados por OUI pueden no ser los verdaderos.

Pero precisamente por eso este tipo de proyectos son útiles: me obligan a pensar como analista, no como usuario de herramientas.

Los datos no hablan solos; hay que interpretarlos con cuidado.

Escuchar también es defender

Este experimento empezó como una curiosidad técnica y terminó siendo una pequeña radiografía del entorno inalámbrico. 17 días de captura pasiva fueron suficientes para ver patrones, rutinas, señales fuertes, dispositivos recurrentes y eventos que merecen atención.

No hubo explotación.

No hubo intrusión.

No hubo acceso a redes ajenas.

Solo observación.

En seguridad, escuchar bien es casi tan importante como detectar rápido.

A veces el primer indicador no está en una alerta crítica, sino en una señal pequeña, repetida y aparentemente normal que alguien decidió mirar con atención.

Y eso, para mí, es lo que hace bonito ser analista: convertir ruido y datos sin sentido en contexto, este contexto en hipótesis y esta hipótesis en aprendizaje.

[ EOF ]

“The truth is out there and the air is loaded with information.”