Investigadores de seguridad han presentado AirSnitch, una nueva familia de ataques contra redes Wi‑Fi que pone en duda la eficacia del aislamiento de clientes (AP/client isolation) ofrecido por muchos fabricantes. La investigación muestra que routers y puntos de acceso de marcas populares como Netgear, D-Link, Ubiquiti, Cisco, TP-Link, Asus, así como dispositivos basados en DD-WRT y OpenWrt, pueden permitir el interceptado y manipulación del tráfico de otros usuarios conectados a la misma infraestructura inalámbrica.
AirSnitch: vulnerabilidad estructural en el funcionamiento de redes Wi‑Fi
El trabajo de Xin’an Zhou y Mathy Vanhoef, presentado en el Network and Distributed System Security Symposium 2026, se diferencia de ataques anteriores como KRACK. Mientras KRACK explotaba fallos en la criptografía de WPA2, AirSnitch no rompe el cifrado WPA2/WPA3, sino que aprovecha cómo interactúan el nivel físico y de enlace (capa 1 y 2) con las capas superiores del stack de red.
El objetivo central es eludir el aislamiento de clientes Wi‑Fi, una función diseñada para evitar que dispositivos en la misma red inalámbrica se comuniquen directamente entre sí. Muchos fabricantes promocionan esta característica como clave para proteger redes de invitados y hotspots públicos. Sin embargo, AirSnitch demuestra que ese aislamiento puede ser burlado sin necesidad de conocer contraseñas ni claves criptográficas de otros usuarios.
Cómo funciona AirSnitch: “port stealing” inalámbrico y ataque MitM
Robo lógico de puerto y posicionamiento como Man-in-the-Middle
El escenario más crítico de AirSnitch es un ataque MitM (man-in-the-middle) bidireccional completo. En este contexto, el atacante logra situarse entre la víctima y el servidor de destino, pudiendo leer y alterar el tráfico en tránsito. Lo relevante es que el atacante puede estar conectado al mismo SSID, a otro SSID diferente o incluso en otra VLAN, mientras todo pase por la misma infraestructura de puntos de acceso.
Para conseguirlo, los investigadores adaptan a Wi‑Fi la técnica clásica de Ethernet conocida como port stealing. El atacante se asocia al mismo BSSID que la víctima, pero usando otra banda de radio (por ejemplo, la víctima en 5 GHz y el atacante en 2,4 GHz) y completa correctamente el four-way handshake de WPA2/WPA3 con su propia clave.
Este procedimiento hace que el conmutador de capa 2 comience a enviar el tráfico destinado a la MAC de la víctima hacia la interfaz del atacante, y lo cifre con la clave PTK del atacante. Para restablecer la comunicación de la víctima sin perder el control del flujo, se emplean paquetes ICMP (pings) con una dirección MAC arbitraria cifrados con el Group Temporal Key (GTK). Esto fuerza a la AP a refrescar su tabla de asociaciones MAC, manteniendo al atacante en el camino del tráfico.
El problema de fondo es que una punto de acceso Wi‑Fi no puede “anclar” físicamente un puerto a un único cliente como hace un switch cableado: todos los clientes comparten el mismo medio radioeléctrico y el sistema asume movilidad constante.
Impacto de AirSnitch: de tráfico HTTP a ataques contra RADIUS corporativo
Riesgos para datos sin cifrar y manipulación de DNS
El impacto es especialmente severo cuando existe tráfico sin cifrar. Según datos públicos de Google, hasta un 6 % de las páginas visitadas en Windows y cerca de un 20 % en Linux todavía se cargan vía HTTP, sin TLS. En estos casos, quien explota AirSnitch puede visualizar en claro cookies, credenciales, información personal y datos de pago.
Aun cuando el sitio use HTTPS, el ataque sigue siendo útil para interceptar y modificar tráfico no protegido, como consultas DNS tradicionales. Esto permite envenenar el caché DNS del cliente y redirigirlo hacia sitios de phishing u otras páginas maliciosas que imitan a recursos legítimos.
Bypass en redes WPA2-Enterprise/WPA3-Enterprise y riesgo para RADIUS
El estudio confirma que AirSnitch afecta también a entornos empresariales con WPA2-Enterprise o WPA3-Enterprise, incluso cuando cada usuario tiene credenciales únicas. Si las AP están interconectadas por la misma red cableada, el ataque se puede extender más allá de un único punto de acceso.
Uno de los vectores más preocupantes es la suplantación de la MAC del gateway y el acceso a tráfico RADIUS. Al observar y modificar paquetes entre el punto de acceso y el servidor RADIUS, un atacante podría atacar la integridad de los mensajes, recuperar el secreto compartido RADIUS y desplegar su propio servidor y AP falsos. Esto abre la puerta al robo masivo de credenciales corporativas y a posteriores movimientos laterales dentro de la organización.
Dispositivos Wi‑Fi afectados y dificultad de corrección completa
Los autores analizaron 11 dispositivos ampliamente utilizados, incluidos Netgear Nighthawk x6 R8000, D-Link DIR-3040, TP-Link Archer AXE75, Asus RT-AX57, Ubiquiti AmpliFi Alien, Cisco Catalyst 9130 y la versión OpenWrt 24.10. Todos los equipos probados resultaron vulnerables al menos a una variante de AirSnitch. Algunos fabricantes han publicado ya actualizaciones de firmware, pero parte del problema reside en limitaciones de diseño de las plataformas hardware, lo que dificulta una mitigación puramente software.
Mitigaciones: límites de VPN y VLAN y papel del modelo Zero Trust
Por qué VPN y VLAN no son una defensa absoluta
El uso de VPN ofrece una defensa parcial. Muchas implementaciones siguen dejando metadatos y consultas DNS fuera del túnel, permitiendo análisis de tráfico y ataques de manipulación de DNS. De forma similar, la segmentación mediante VLAN entre SSID no garantiza protección completa: configuraciones complejas son propensas a errores y, según los investigadores, las VLAN no deben considerarse un perímetro suficiente frente a todas las variantes de AirSnitch.
Recomendaciones prácticas y transición hacia Zero Trust
El enfoque más sólido a medio plazo es adoptar principios de Zero Trust: ningún dispositivo se considera de confianza por defecto y el acceso se concede bajo el principio de mínimo privilegio, con autenticación y autorización continuas. No obstante, desplegar Zero Trust requiere cambios profundos en procesos, arquitectura y herramientas, algo complejo incluso para grandes organizaciones.
Mientras tanto, conviene aplicar una combinación de medidas: forzar HTTPS con HSTS siempre que sea posible, utilizar DNS-over-HTTPS o DNS-over-TLS, mantener el firmware de routers y puntos de acceso actualizado, deshabilitar SSID y redes de invitados innecesarias, limitar el acceso a recursos sensibles y monitorizar activamente anomalías en la red inalámbrica. Aunque AirSnitch exige presencia física o proximidad a la red objetivo y aún no existen herramientas de explotación ampliamente automatizadas, este ataque es un aviso claro: es necesario revisar el diseño de la seguridad Wi‑Fi, reforzar el aislamiento de clientes y acelerar la adopción de arquitecturas basadas en Zero Trust, tanto en entornos domésticos como corporativos.
