Hola Sanson,

Gracias por responder.

Tienes razón, es una mala costumbre, porque del país donde vengo jamás ocurrió esto. Pero por ejemplo, en mi caso entonces ¿tendría que quitar las antenas del router?

    La idea sería poder segmentar la red, usar la wifi para cosas mas triviales y usar cable para los trabajos más sensibles, pero al estar en el mismo router estaría igualmente expuesto, no?

Siguiendo los consejos de Sh4k4 formateé el PC, ya hice upgrade a nueva versión del AV e instalé el Malwarebytes Antimalware y revisé un par de veces todos mis medios de almacenamiento externo.

Lo curioso fue que luego de formatear esa noche llegué a casa y vi la MAC conectada al router, acto seguido hice los pasos que mencioné un par de posts atrás, vamos, reconfiguré todo. Otra cosa que me llamó la atención es que en el área NAT del router aparte de los puertos de eMule también estaban puertos TCP/UDP para Skype que no estaban antes. Ahora, lo que no tengo idea es si el router crea automáticamente estos puertos (lo dudo) o los ha colocado la persona que entró a mi red.


Se escuchan consejos.
Gracias.

Todo bien! Salvo lo del detalle a relucir que no entendí xD.

     La paranoia es porque muchas veces debo seguir trabajando desde casa y administro una cantidad considerable de sistemas y bases de datos de clientes, por lo que el que se cuele una password de alguno de los archivos que tengo en el HDD podría tener muy malas consecuencias.

     La verdad que necesito seguir leyendo en informándome de todas las precauciones que debo tener de ahora en adelante.

Gracias.

Hola señores,

     Un par de preguntillas (aparte de las que ya tenía).

1.- Si se supone que ya he hecho un reset del router y he cambiado todo ¿hay alguna forma que el intruso haya capturado información de estos cambios que hice?  Basándonos en que fue capaz de entrar al router, cambiar el hostname del DNS proxy y posiblemente ocultar su MAC para que no le siga detectando.

2.- Luego de este reseteo del router ¿podría estar "tranquilo"? Coloqué una contraseña WPA2/AES de 32 caracteres con todo lo que podía.


     Ahora bien, cómo se están tardando una eternidad en responderme en el primer escalón de la denuncia (antes de llevarlo a mayores instancias), tengo un par de ideas que ya me dirás si son buenas o no, y es lo siguiente:

     Quisiera tratar de localizar esta MAC (de ser posible) en las redes circundantes, tengo al menos unas 12 Wifi's cerca, 2 con SSID escondido. Una vez localizada la verdad que ni pienso entrar sólo tomar pantallazos para que sirvan de prueba.

1.- ¿Usando el Kali + airodump-ng sería suficiente?.
2.- ¿Lo mejor sería usar una VM desde Windows o instalar una distro en dual boot?

Todos los consejos serán de mucha utilidad.
Muchas gracias.


P.D. Tengo la impresión que sólo he hecho preguntas que seguramente ameritan un "RTFM" porque sólo me ha respondido Sh4ka 

     Sólo lo preguntaba si había alguna marca conocida por ser menos insegura Toda la vida he tenido LINKSYS, érase una vez tuve un TP-LINK.


De acuerdo intentaré varios métodos, entre ellos sacar las antenas  



     Básicamente monitorizar o vigilar un par de carpetas específicas y de ser posible que obtenga correos o SMS al respecto .

     Pregunta, si llego hoy a casa y esta MAC sigue alli?  Mi paranoia básicamente es la información, porque si es una persona que realmente sabe lo que hace no importa lo que haga supongo que tendrá acceso a mi PC  

    Ayer por la noche, dejé de ver la MAC luego que realicé todos los cambios nuevamente y volví a hacer el filtrado por MAC y eliminé los puertos NAT abiertos de eMule. ¿Me garantiza esto que la persona no tendrá acceso los archivos en mi disco? Es que me parece curioso:

1.- Que el intruso siempre obtenga por DHCP una IP por debajo de la mia, en este caso siempre obtiene la primera del rango. Supongo que el que ahora no lo vea "conectado" no quiere decir que no esté sniffeando, porque si fue capaz de cambiar el hostname del router eso quiere decir que tiene acceso pleno. Habrá configurado ya un Evil Twin?  

2.- ¿Qué puedo hacer para realmente estar tranquilo? Si quito las antenas del router y me conecto por cable, ¿igual no se ha metido ya en el router? Podría igual entrar, mirar y pasearse por mi red, no?

3.- ¿Serviría de algo a estas alturas, que bloquee todas las MAC de las WiFi circundantes?

Al final de todo, la mitad de mi jornada laboral la hago desde casa y no me he conectado por miedo a comprometer la seguridad de la información de la empresa. Ya he mandado a cambiar TODAS las contraseñas de todos los servidores, incluso he cambiado las contraseñas de todos los usuarios que tengo de cuentas de correo, etc. Por culpa de un imbécil (o varios) sin oficio estoy retrasándome en el trabajo  

     Ayer intenté arrancar el moocher hunter pero me dió un error de filesystem, lo cual me pareció raro porque al final es un liveCD  

EDIT: OJO: Olvidé mencionar que en Who's on my wifi y Wireless Network Watcher aún cuando aparecia un device name asociado a la MAC el hostname siempre ha sido invisible ¿ayuda esto en algo? 

Y bueno nada, necesito ventilar la frustración.

Siempre agradecido por tus respuestas.

Buenas,

    Cuando me inicié en la informática hace 19 años empecé con el Norton home y corporativo por muchísimos años. Luego usé por poco tiempo el AVAST hasta que el año 2009 cuando empecé a usar Kaspersky y no dejado de hacerlo desde entonces.

Ahora mismo esoty usando el Kaspersky Internet Security 2015.

Hola Sh4k4,

     Gracias nuevamente por tu tiempo y la info! 

1.- ¿Alguna marca recomendada de router? Este router que me dieron intenté cambiar el poder de transmisión pero no parece surtir efecto. ¿Cómo puedo estar seguro que el cambio de potencia ha surtido efecto? (Aparte de caminar por la calle y por el edificio y ver si la señal llega por fuera xD)

2.- ¿Hay algún software que sea mejor que el otro en este caso? He visto estos:

- Watch 4 Folder.
- Directory monitor.
- TheFolderSpy.
- TrackFolderChanges.
- FolderChangesView.
- Windows Explorer Tracker.
- Spy-The-Spy.
-SpyMe Tools.
- Disk Pulse.

Perdona por lo cansón
Gracias.

Hola Sh4k4,

Muchas gracias por tu respuesta.

     Ya formateé el equipo. Justo antes de hacerlo hice un scan con KIS2015 y Malwarebytes y en teoría decía que estaba todo limpio, lo cual me parecía un poco extraño, y mas cuando ayer por la tarde (en mi empresa) un par de horas luego de postear el tema en el foro...de la nada comenzaron a abrirse decenas de sesiones de chrome con una página que tenía en mis favoritos, tan simple cómo desconectar mi pc de la red y cerrar todas las sesiones.

     En la noche mientras hacia respaldo en mi pc me pareció ver un par de archivos .csv en mi unidad C:\ que estoy casi seguro que no generé yo, o a lo mejor sí pero la paranoia puede más que yo.

    Ayer acudí a la sede local de la policia y ya me han dicho como actuar y a que brigada debo hacer la denuncia.

    Tengo un par de dudas ahora, y es que según lo que he investigado mi router junto con el de otra operadora en españa es de los mas fáciles de hackear (el ESSID anda por doquier al igual que diccionarios), ¿valdría la pena comprar un router por mi cuenta y dejar ese a un lado? El ISP me dice que ellos no tendrían problemas.

    Luego que esto pase, aparte de las medidas estándar de seguridad, valdría la pena usar mac changer para que mi verdadera MAC no estuviera disponible a algún atacante de mi WiFi? podría hacerse esto para mi router? Que software o configuraciones/técnicas recomiendas para ser menos vulnerable?

Igual no tienes que publicar lo que me comentes por aqui, si lo prefieres puede ser por privado.

Muchas gracias a ti y a los que puedan ayudarme.

Saludos.

Muy buen día,
 
     Pues nada señores, me estreno en el foro con este tema. Espero hacerme asiduo visitante. Siempre me ha gustado el hacking pero del lado de la luz   , no tengo intenciones de andar metiéndome con los demás. Aunque soy informático soy bastante neófito en temas de hacking.


     Os cuento mi odisea que ha empezado este viernes por la noche. Yo siempre he sido un poco paranoico con esto de que alguien se conecte a mi WiFi y más aún porque soy admin/DBA y muchas veces trabajo desde casa y manejo información bastante delicada, llevo en españa un par de años pero apenas hace unos meses instalé un par de programas en mi PC para monitorizar mi WiFi: Who's On My WiFi y Wireless Network Watcher, no los uso simultáneamente, por defecto siempre arranca el primero y el otro lo ejecuto bajo demanda.

    Para mi sorpresa el viernes bien entrada la noche escucho "Unknow computer found" saliendo de los altavoces a través del Who's on my wifi, abro la ventana y veo 2 equipos conectados a mi wifi. Entro al router y en efecto están en la lista de conexiones a la wifi.

     Lo que hago a continuación es cambiar la password de la red, cambiar el SSID y el rango de IPs; también cambié la password administrativa del router. Yo dije "pues bueno, ya está, asunto solucionado" y hasta cierto punto era cierto, a los pocos minutos vuelve a saltar la alerta y veo nuevamente una de las MAC que ya se habían registrado. Repito el mismo proceso nuevamente, sólo que ahora también escondo el SSID, a los pocos minutos PUM, nuevamente. Total, repetí el proceso al menos unas 16 veces mas sin suerte, pero también hice un par de cosas extras cómo cambiar la cantidad de dispositivos permitidos y reduje el rango del DHCP a sólo 6 IPs, sin importar lo que hiciera allí estaba de nuevo la misma MAC.

     Ayer por la mañana decidí hacer filtrado por MAC y he puesto la del intruso en lista negra, por unos minutos funcionó hasta que pum, nuevamente tenía una IP asignada en el rango de mi WiFi.


     Cosas que he observado durante el proceso:

1.- Si bien es cierto que tanto Who's on my Wifi como Wireless Network Watcher vuelven a detectar la misma MAC ya no aparece en las estaciones autenticadas en el router ni en la lista ARP, pero sin embargo si que se le ha asignado una IP en mi red.

2.- Previo al filtrado por MAC el device name de mi router cambió COMTREND a "xxx-xxx-xxx-1.dls.xxxx.xxx.net. Donde xxx-xxx-xxx-1 es la ip del router dentro del rango de ip de mi red wifi.

3.- Durante el filtrado de MAC he visto que ahora el device name del intruso cambió de estar en blanco a xxx-xxx-xxx-2.dls.xxxx.xxx.net, siendo esta la 2da ip de la red.

4.- La MAC del intruso (asumiendo que sea su MAC real) pertenece a Zinwell Corporation 00:05:9E:xx:xx:xx (no la he puesto porque ya se que se prohibe ponerla entera).

5.- Hice una escaneo con netsurveyor y Xirrus Wifi Inspector y las MAC de las redes cercanas (incluso las que tienen el SSID oculto) no coinciden con la del atacante, asumiendo que la MAC sea real.

6.- Sin importar que tan rápido me conectara nuevamente a la Wifi posterior a cada cambio, el DHCP siempre le asignaba primero una IP a él antes que a mi.

7.- Cómo última medida reduje la cantidad de IP's a 3 en el DHCP y cuando lo hice seguía con internet pero perdía automáticamente acceso al router. Luego de perder acceso al router, observé que la dirección IP de mi PC dejaba de ser una interna de la Wifi y se convertía en una IP pública (lo vi por Wireless Network Watcher).



Mi WiFi:

- El SSID de mi red y las passwords (router y red) no eran estándar.
- Uso WPA2/AES (hubo un momento que activé el WPS hasta que leí aqui que era una caca).
- La contraseña era/es de 16 dígitos, combinando letras (mayúsculas y minúsculas), números y caracteres especiales.
- No comparto la contraseña con nadie.  
- El router básicamente es basofia (es de Jazztel).
- El router tiene usuarios por defecto para las interfaces WAN y tenía puertos de eMule abiertos en el área NAT del router.  Edit: El ISP cambió las passwords de las interfaces y yo borré los puertos del área NAT.


     Ahora mismo estoy descargando el Moocher Hunter y sólo estoy navegando por una tablet totalmente en blanco sin programas o cuentas con contraseñas por lo acojonado que estoy . ¿Podría este atacante haber establecido un evil twin haciéndose pasar por mi router? Lo peor es que todos mis vecions por lo que veo tienen WPS activo, otros tantos con WEP y más de uno con la red abierta (incluyendo una impresora HP).

    Lo dicho, pues nada, básicamente lo que quiero es que esa persona vaya a la cárcel sin mas. Estoy dispuesto a escuchar sugerencias, tips, advertencias, consejos, medidas para contrarrestar o localizarle, etc. Y de más está decir que estaré eternamente agradecido.

Un saludo.