Un tribunal australiano condenó a un hombre de 44 años a siete años y cuatro meses de prisión por orquestar una campaña prolongada de robo de datos a través de redes Wi‑Fi falsas en aeropuertos y a bordo de aviones. El caso ilustra con claridad cómo un ataque Evil Twin bien ejecutado puede comprometer credenciales, contenidos íntimos y la privacidad de cientos de viajeros desprevenidos.
Ataque Evil Twin en aeropuertos y vuelos: cómo funcionaba la red Wi‑Fi falsa
La investigación se inició en abril de 2024, cuando personal de una aerolínea australiana detectó una red Wi‑Fi sospechosa a bordo de un avión. El nombre de la red (SSID) imitaba al servicio oficial de conexión en vuelo, pero no pertenecía a la compañía. Tras alertar a la Policía Federal Australiana (AFP), los agentes detuvieron al entonces sospechoso, que viajaba con dispositivos claramente orientados a pruebas y explotación de redes inalámbricas.
En su equipaje de mano se hallaron un Wi‑Fi Pineapple (equipo habitualmente utilizado en auditorías de seguridad Wi‑Fi), un portátil y un teléfono móvil. Registros posteriores en su domicilio demostraron que no se trataba de un incidente aislado, sino de una actividad sostenida y cuidadosamente preparada.
Según la AFP, el atacante operó en los aeropuertos de Perth, Melbourne y Adelaida, además de en múltiples vuelos domésticos. Su técnica se basaba en el clásico ataque Evil Twin: desplegaba puntos de acceso fraudulentos con el mismo SSID que las redes legítimas de aeropuertos y aerolíneas, de forma que los dispositivos de los pasajeros se conectaran automáticamente a la red maliciosa por tener una señal aparentemente más fuerte o familiar.
Phishing sobre portales cautivos y selección de víctimas
Una vez conectado el dispositivo de la víctima al Wi‑Fi falso, todo el tráfico pasaba por la infraestructura controlada por el atacante. Los usuarios eran redirigidos a páginas de inicio de sesión fraudulentas, visualmente muy similares a los portales cautivos habituales: se les pedía autenticarse con su correo electrónico o con credenciales de redes sociales.
Las combinaciones de usuario y contraseña introducidas se almacenaban y reutilizaban posteriormente para acceder a las cuentas reales. En los dispositivos incautados se encontraron bases de datos con credenciales robadas de numerosos usuarios, así como miles de fotografías y vídeos de carácter íntimo. La AFP destacó que el individuo buscaba de forma específica cuentas de mujeres, revisando su correo y redes sociales en busca de material privado.
Cargos por ciberdelitos y destrucción de evidencias
Tras el registro de su vivienda, el acusado intentó borrar rastros de su actividad. Al día siguiente eliminó 1752 archivos de su almacenamiento en la nube e intentó, sin éxito, borrar remotamente los datos de su teléfono móvil, acciones consideradas por el tribunal como intento de destrucción de pruebas digitales.
El 19 de abril de 2024, ya con su equipaje incautado, accedió de manera no autorizada al portátil corporativo de su empresa para conocer detalles de reuniones confidenciales entre la dirección y los investigadores. Este acceso indebido a información de carácter reservado agravó aún más el conjunto de cargos presentados.
En julio de 2024 se formularon múltiples acusaciones y el acusado se declaró culpable de 15 cargos, entre ellos acceso ilegal a datos restringidos, intentos de acceso no autorizado, perturbación de servicios de comunicación electrónica, posesión de datos con intención de cometer delitos graves, destrucción de pruebas y desacato a una orden judicial.
Por qué el ataque Evil Twin es tan peligroso en redes Wi‑Fi públicas
El ataque Evil Twin en Wi‑Fi público explota tanto el comportamiento de los dispositivos como el de los usuarios:
Por un lado, muchos móviles y portátiles están configurados para conectarse automáticamente a redes conocidas. Si un atacante clona el SSID de un aeropuerto, hotel o cafetería y ofrece una señal más potente, el dispositivo puede asociarse a la red falsa sin intervención del usuario.
Por otro lado, los usuarios se han acostumbrado a los portales cautivos y con frecuencia introducen sus datos sin verificar la autenticidad de la página. Informes como el Verizon Data Breach Investigations Report (DBIR) y los estudios de ENISA coinciden en que el phishing y la ingeniería social siguen siendo de los vectores más eficaces para robar credenciales.
Incluso la presencia de HTTPS no protege si la víctima entrega voluntariamente sus claves en un formulario controlado por el atacante. En este caso, el factor determinante fue la falsa sensación de confianza asociada al entorno del aeropuerto y del avión.
Cómo protegerse en redes Wi‑Fi públicas: recomendaciones de ciberseguridad
1. Evitar introducir contraseñas críticas en Wi‑Fi público. Para banca online, correo corporativo u otros servicios sensibles, utilice datos móviles o un VPN de confianza en lugar de redes abiertas.
2. Desactivar el autoconectado a redes Wi‑Fi. Revise los ajustes de su dispositivo y deshabilite opciones como “conectarse automáticamente a redes abiertas”. Conectarse de forma manual reduce el riesgo ante redes falsas.
3. Confirmar el nombre exacto de la red (SSID). En aeropuertos, hoteles y cafeterías, pregunte siempre al personal y desconfíe de redes con nombres casi idénticos, con errores ortográficos o palabras adicionales.
4. Revisar la barra de direcciones del navegador. Los portales legítimos suelen usar dominios del operador de telecomunicaciones o de la propia instalación. Dominios extraños, sin HTTPS o con nombres incoherentes son una señal clara de alerta.
5. Activar gestores de contraseñas y doble factor de autenticación (2FA). Un gestor ayuda a detectar sitios falsos porque no completa la contraseña en dominios no reconocidos. El 2FA (SMS, aplicaciones de códigos o llaves físicas) dificulta enormemente el secuestro de cuentas incluso si la contraseña se ve comprometida.
6. Eliminar conexiones Wi‑Fi guardadas que ya no se utilicen. Borrar redes antiguas disminuye la probabilidad de que el dispositivo se conecte por error a un Evil Twin con el mismo nombre en el futuro.
Este caso en Australia demuestra que las redes Wi‑Fi falsas en aeropuertos y otros espacios concurridos siguen siendo un vector de ataque muy rentable para los ciberdelincuentes. Adoptar hábitos básicos de higiene digital, cuestionar cualquier solicitud de credenciales y reforzar la protección de las cuentas con 2FA son medidas esenciales para reducir riesgos. Las organizaciones que trabajan con viajeros o grandes volúmenes de público deberían incorporar estos escenarios en sus programas de formación en ciberseguridad y educar de forma continua a sus clientes y empleados sobre el uso seguro del Wi‑Fi público.
