Muy buen día,
 
     Pues nada señores, me estreno en el foro con este tema. Espero hacerme asiduo visitante. Siempre me ha gustado el hacking pero del lado de la luz   , no tengo intenciones de andar metiéndome con los demás. Aunque soy informático soy bastante neófito en temas de hacking.


     Os cuento mi odisea que ha empezado este viernes por la noche. Yo siempre he sido un poco paranoico con esto de que alguien se conecte a mi WiFi y más aún porque soy admin/DBA y muchas veces trabajo desde casa y manejo información bastante delicada, llevo en españa un par de años pero apenas hace unos meses instalé un par de programas en mi PC para monitorizar mi WiFi: Who's On My WiFi y Wireless Network Watcher, no los uso simultáneamente, por defecto siempre arranca el primero y el otro lo ejecuto bajo demanda.

    Para mi sorpresa el viernes bien entrada la noche escucho "Unknow computer found" saliendo de los altavoces a través del Who's on my wifi, abro la ventana y veo 2 equipos conectados a mi wifi. Entro al router y en efecto están en la lista de conexiones a la wifi.

     Lo que hago a continuación es cambiar la password de la red, cambiar el SSID y el rango de IPs; también cambié la password administrativa del router. Yo dije "pues bueno, ya está, asunto solucionado" y hasta cierto punto era cierto, a los pocos minutos vuelve a saltar la alerta y veo nuevamente una de las MAC que ya se habían registrado. Repito el mismo proceso nuevamente, sólo que ahora también escondo el SSID, a los pocos minutos PUM, nuevamente. Total, repetí el proceso al menos unas 16 veces mas sin suerte, pero también hice un par de cosas extras cómo cambiar la cantidad de dispositivos permitidos y reduje el rango del DHCP a sólo 6 IPs, sin importar lo que hiciera allí estaba de nuevo la misma MAC.

     Ayer por la mañana decidí hacer filtrado por MAC y he puesto la del intruso en lista negra, por unos minutos funcionó hasta que pum, nuevamente tenía una IP asignada en el rango de mi WiFi.


     Cosas que he observado durante el proceso:

1.- Si bien es cierto que tanto Who's on my Wifi como Wireless Network Watcher vuelven a detectar la misma MAC ya no aparece en las estaciones autenticadas en el router ni en la lista ARP, pero sin embargo si que se le ha asignado una IP en mi red.

2.- Previo al filtrado por MAC el device name de mi router cambió COMTREND a "xxx-xxx-xxx-1.dls.xxxx.xxx.net. Donde xxx-xxx-xxx-1 es la ip del router dentro del rango de ip de mi red wifi.

3.- Durante el filtrado de MAC he visto que ahora el device name del intruso cambió de estar en blanco a xxx-xxx-xxx-2.dls.xxxx.xxx.net, siendo esta la 2da ip de la red.

4.- La MAC del intruso (asumiendo que sea su MAC real) pertenece a Zinwell Corporation 00:05:9E:xx:xx:xx (no la he puesto porque ya se que se prohibe ponerla entera).

5.- Hice una escaneo con netsurveyor y Xirrus Wifi Inspector y las MAC de las redes cercanas (incluso las que tienen el SSID oculto) no coinciden con la del atacante, asumiendo que la MAC sea real.

6.- Sin importar que tan rápido me conectara nuevamente a la Wifi posterior a cada cambio, el DHCP siempre le asignaba primero una IP a él antes que a mi.

7.- Cómo última medida reduje la cantidad de IP's a 3 en el DHCP y cuando lo hice seguía con internet pero perdía automáticamente acceso al router. Luego de perder acceso al router, observé que la dirección IP de mi PC dejaba de ser una interna de la Wifi y se convertía en una IP pública (lo vi por Wireless Network Watcher).



Mi WiFi:

- El SSID de mi red y las passwords (router y red) no eran estándar.
- Uso WPA2/AES (hubo un momento que activé el WPS hasta que leí aqui que era una caca).
- La contraseña era/es de 16 dígitos, combinando letras (mayúsculas y minúsculas), números y caracteres especiales.
- No comparto la contraseña con nadie.  
- El router básicamente es basofia (es de Jazztel).
- El router tiene usuarios por defecto para las interfaces WAN y tenía puertos de eMule abiertos en el área NAT del router.  Edit: El ISP cambió las passwords de las interfaces y yo borré los puertos del área NAT.


     Ahora mismo estoy descargando el Moocher Hunter y sólo estoy navegando por una tablet totalmente en blanco sin programas o cuentas con contraseñas por lo acojonado que estoy . ¿Podría este atacante haber establecido un evil twin haciéndose pasar por mi router? Lo peor es que todos mis vecions por lo que veo tienen WPS activo, otros tantos con WEP y más de uno con la red abierta (incluyendo una impresora HP).

    Lo dicho, pues nada, básicamente lo que quiero es que esa persona vaya a la cárcel sin mas. Estoy dispuesto a escuchar sugerencias, tips, advertencias, consejos, medidas para contrarrestar o localizarle, etc. Y de más está decir que estaré eternamente agradecido.

Un saludo.

Hola Sh4k4,

Muchas gracias por tu respuesta.

     Ya formateé el equipo. Justo antes de hacerlo hice un scan con KIS2015 y Malwarebytes y en teoría decía que estaba todo limpio, lo cual me parecía un poco extraño, y mas cuando ayer por la tarde (en mi empresa) un par de horas luego de postear el tema en el foro...de la nada comenzaron a abrirse decenas de sesiones de chrome con una página que tenía en mis favoritos, tan simple cómo desconectar mi pc de la red y cerrar todas las sesiones.

     En la noche mientras hacia respaldo en mi pc me pareció ver un par de archivos .csv en mi unidad C:\ que estoy casi seguro que no generé yo, o a lo mejor sí pero la paranoia puede más que yo.

    Ayer acudí a la sede local de la policia y ya me han dicho como actuar y a que brigada debo hacer la denuncia.

    Tengo un par de dudas ahora, y es que según lo que he investigado mi router junto con el de otra operadora en españa es de los mas fáciles de hackear (el ESSID anda por doquier al igual que diccionarios), ¿valdría la pena comprar un router por mi cuenta y dejar ese a un lado? El ISP me dice que ellos no tendrían problemas.

    Luego que esto pase, aparte de las medidas estándar de seguridad, valdría la pena usar mac changer para que mi verdadera MAC no estuviera disponible a algún atacante de mi WiFi? podría hacerse esto para mi router? Que software o configuraciones/técnicas recomiendas para ser menos vulnerable?

Igual no tienes que publicar lo que me comentes por aqui, si lo prefieres puede ser por privado.

Muchas gracias a ti y a los que puedan ayudarme.

Saludos.

Hola Sh4k4,

     Gracias nuevamente por tu tiempo y la info! 

1.- ¿Alguna marca recomendada de router? Este router que me dieron intenté cambiar el poder de transmisión pero no parece surtir efecto. ¿Cómo puedo estar seguro que el cambio de potencia ha surtido efecto? (Aparte de caminar por la calle y por el edificio y ver si la señal llega por fuera xD)

2.- ¿Hay algún software que sea mejor que el otro en este caso? He visto estos:

- Watch 4 Folder.
- Directory monitor.
- TheFolderSpy.
- TrackFolderChanges.
- FolderChangesView.
- Windows Explorer Tracker.
- Spy-The-Spy.
-SpyMe Tools.
- Disk Pulse.

Perdona por lo cansón
Gracias.

     Sólo lo preguntaba si había alguna marca conocida por ser menos insegura Toda la vida he tenido LINKSYS, érase una vez tuve un TP-LINK.


De acuerdo intentaré varios métodos, entre ellos sacar las antenas  



     Básicamente monitorizar o vigilar un par de carpetas específicas y de ser posible que obtenga correos o SMS al respecto .

     Pregunta, si llego hoy a casa y esta MAC sigue alli?  Mi paranoia básicamente es la información, porque si es una persona que realmente sabe lo que hace no importa lo que haga supongo que tendrá acceso a mi PC  

    Ayer por la noche, dejé de ver la MAC luego que realicé todos los cambios nuevamente y volví a hacer el filtrado por MAC y eliminé los puertos NAT abiertos de eMule. ¿Me garantiza esto que la persona no tendrá acceso los archivos en mi disco? Es que me parece curioso:

1.- Que el intruso siempre obtenga por DHCP una IP por debajo de la mia, en este caso siempre obtiene la primera del rango. Supongo que el que ahora no lo vea "conectado" no quiere decir que no esté sniffeando, porque si fue capaz de cambiar el hostname del router eso quiere decir que tiene acceso pleno. Habrá configurado ya un Evil Twin?  

2.- ¿Qué puedo hacer para realmente estar tranquilo? Si quito las antenas del router y me conecto por cable, ¿igual no se ha metido ya en el router? Podría igual entrar, mirar y pasearse por mi red, no?

3.- ¿Serviría de algo a estas alturas, que bloquee todas las MAC de las WiFi circundantes?

Al final de todo, la mitad de mi jornada laboral la hago desde casa y no me he conectado por miedo a comprometer la seguridad de la información de la empresa. Ya he mandado a cambiar TODAS las contraseñas de todos los servidores, incluso he cambiado las contraseñas de todos los usuarios que tengo de cuentas de correo, etc. Por culpa de un imbécil (o varios) sin oficio estoy retrasándome en el trabajo  

     Ayer intenté arrancar el moocher hunter pero me dió un error de filesystem, lo cual me pareció raro porque al final es un liveCD  

EDIT: OJO: Olvidé mencionar que en Who's on my wifi y Wireless Network Watcher aún cuando aparecia un device name asociado a la MAC el hostname siempre ha sido invisible ¿ayuda esto en algo? 

Y bueno nada, necesito ventilar la frustración.

Siempre agradecido por tus respuestas.

verifica con el airodump ahora vemos que la wpa con TLS no es seguro(sin parchear), vete por AES como vas hasta ahora, un reset es eso, verfica tu version de firmware(actualiza), quien esta conectado es invisible? nadie es invisible, usa airodump-ng si crees que se han comprometido los protocolos(poco probable) y sales de dudas ve todo lo que este asociado aun sean fakes a tu router, o stations que generen trafico inusual...vm-dual o live como te acomodes- vm solo usb, dual espacio en hd, live arriba de 4gb, no no es RTFM solo que te estas paniqueando mucho, la mayoria de los atacantes cae simplemente al cambiar contraseñas, activar logs y activar software de monitoreo, que no lo veas no es razon para pensar que se invisibilizo o es un fantasma, usa airodump como tool final para ver quien esta alrededor(usa una buena antena), quizas hasta puedas encontrar su paradero con las redes a las que se conozca y la intensidad de su señal obviamente antes de proceder contacta a la policia para ver hasta donde puedes intervenir.... y si amigo contrata a alguien especializado en seguridad informatica, necesitas mucha info y muchos detalles que tapar, checar, revisar y probar.... lamentablemente este es un foro y no soporte tecnico y las dudas se estan convirtiendo en muchas cosas que uno se queda corto en leer y escribir, necesitas a alguien fisicamente, quizas 1 detalle que no sacas a relucir o simple paranoia...