Guía de tecnologías

Cómo un adaptador Ethernet suplantado permite capturar contraseñas de inicio en Windows y Mac

6 min read Seguridad Actualizado 19 Oct 2025
Suplantación Ethernet: capturar contraseñas en Windows y Mac
Suplantación Ethernet: capturar contraseñas en Windows y Mac

Adaptador USB Ethernet suplantado conectado a un equipo

Qué descubrió el investigador

Un investigador de seguridad demostró que un dongle USB con un SoC puede modificar su firmware para hacerse pasar por un adaptador Ethernet Plug-and-Play. Al presentarse como tarjeta de red, el dispositivo se anuncia como puerta de enlace y servidor DNS/WPAD. Algunos sistemas, incluso cuando la pantalla está bloqueada y un usuario está logueado, aceptan la instalación y encaminan peticiones que contienen credenciales hacia ese dispositivo, donde pueden ser capturadas.

Puntos clave:

  • El exploit usa un adaptador USB que actúa como LAN, DNS y servidor WPAD.
  • El PC intenta instalarlo automáticamente aunque la sesión esté bloqueada.
  • Credenciales enviadas por el sistema pueden viajar por esa interfaz y ser sniffadas.
  • Probado exitosamente por el investigador en Windows 98, 2000, XP SP3, 7 SP1, 10 (Home y Enterprise) y macOS El Capitan y Mavericks.
  • Linux no fue probado; la eficacia en macOS podría depender de configuraciones locales.

Important: el atacante necesita acceso físico al puerto USB del equipo y que exista una sesión de usuario en el sistema (usuario logueado pero pantalla bloqueada).

Cómo funciona el ataque — descripción técnica simple

  1. El atacante conecta un dongle USB programado para identificarse como adaptador Ethernet Plug-and-Play.
  2. El sistema operativo detecta un nuevo dispositivo de red y procede a instalarlo automáticamente.
  3. El adaptador falso se anuncia como puerta de enlace, servidor DNS y servidor WPAD.
  4. El equipo víctima consulta la configuración de proxy (por WPAD) o resuelve nombres por el DNS malicioso.
  5. Durante esas comunicaciones, el sistema puede transmitir credenciales (por ejemplo, para autenticación de red, proxies o servicios internos) a través de la interfaz phishing.
  6. El atacante captura esas credenciales en el dongle.

Nota: algunos sistemas y configuraciones modernas limitan qué controladores o dispositivos pueden instalarse en estado bloqueado. Sin embargo, el investigador observó que la lista blanca suele incluir adaptadores Ethernet/LAN.

Mini-metodología del investigador

  • Dispositivos usados: USB Armory y Hak5 Turtle con firmware modificado.
  • Entorno de prueba: máquinas virtuales y físicos, pruebas en varias versiones de Windows y macOS.
  • Observación: el investigador verificó envío de credenciales y la recepción por el dongle.

Contraejemplos y cuándo falla el ataque

  • Equipos sin sesión de usuario activa (ningún usuario logueado) no exponen las mismas rutas de credenciales.
  • Políticas estrictas de bloqueo de instalaciones de dispositivos en ventanas de sesión bloqueada (por ejemplo, configuraciones MDM/AD que restringen drivers) pueden mitigar el riesgo.
  • Sistemas Linux o configuraciones personalizadas que no confían automáticamente en WPAD/DNS locales no fueron vulnerados en estas pruebas.
  • Entornos con controladores firmados estrictamente o bloqueo de USB físico evitan la instalación automática.

Medidas de mitigación y endurecimiento (checklist por rol)

Administrador de TI:

  • Habilitar políticas que bloqueen la instalación de nuevos dispositivos en estado bloqueado.
  • Forzar firmas de controladores y bloquear dispositivos desconocidos mediante MDM/AD.
  • Deshabilitar WPAD automático en entornos corporativos o forzar proxy explícito.
  • Aplicar control de puertos USB y soluciones de bloqueo físico donde sea crítico.

Usuario final / empleado:

  • No dejar equipos desatendidos con sesión iniciada; cerrar sesión si es posible.
  • Evitar aceptar instalaciones de dispositivos desconocidos.
  • Reportar cualquier USB encontrado en el puesto de trabajo.

Equipo de seguridad/IR:

  • Monitorizar eventos de instalación de dispositivos USB y actividad DNS/WPAD inusual.
  • Mantener inventario de adaptadores de red autorizados.
  • Preparar playbook para respuesta rápida ante posible exfiltración de credenciales.

Playbook corto de incidente (pasos inmediatos)

  1. Desconectar físicamente el equipo afectado de redes y USB.
  2. Cambiar credenciales potencialmente expuestas desde un dispositivo seguro.
  3. Revisar logs de instalación de dispositivos y eventos de red para identificar la ventana de exposición.
  4. Reimponer políticas de dispositivos y, si procede, restaurar el equipo desde una imagen confiable.
  5. Notificar al equipo de seguridad y documentar TTP (tácticas, técnicas y procedimientos).

Rollback: restaurar imagen conocida buena y aplicar medidas de control de puertos; revocar sesiones y renovar credenciales.

Casos alternativos y enfoques defensivos

  • Alternativa física: usar cerraduras para puertos USB, fundas para puertos o cajas de seguridad en equipos críticos.
  • Alternativa técnica: implementar 802.1X para autenticación de red por puerto, evitando el uso de rutas de red no autorizadas.
  • En entornos altamente regulados, segregar redes de gestión y de usuario y usar catálogos de hardware aprobados.

Glosario breve

  • WPAD: protocolo que permite a un cliente descubrir automáticamente la configuración de proxy.
  • SoC: System on Chip, núcleo de hardware programable usado en dongles.
  • Dongle: dispositivo USB pequeño con funciones programables.

Privacidad y cumplimiento (notas GDPR y datos)

  • Este tipo de ataque puede permitir la exfiltración de credenciales y, por extensión, acceso a datos personales procesados en sistemas corporativos.
  • Organizaciones sujetas a GDPR deben tratarlo como un incidente de seguridad potencial que podría implicar acceso no autorizado a datos personales; seguir el proceso interno de notificación y, si procede, notificar a autoridades en los plazos legales.

Pruebas de aceptación / criterios de detección

  • Detección de nuevas instalaciones de adaptadores de red mientras la estación está bloqueada.
  • Tráfico DNS inusualmente dirigido a una sola IP local tras la conexión de un USB.
  • Registros de WPAD o peticiones de proxy desde clientes que no deberían realizar autodetección.

Resumen final

Un adaptador Ethernet suplantado es una prueba de concepto efectiva que explota la confianza del sistema al instalar automáticamente dispositivos de red. Requiere acceso físico y una sesión de usuario activa. Las mitigaciones combinan controles técnicos (firmas de controladores, MDM, 802.1X), controles físicos (bloqueo de puertos) y buenas prácticas del usuario (no dejar sesiones abiertas). Evaluar y reforzar la política de instalación de dispositivos en estado bloqueado debe ser prioridad para equipos que gestionan activos sensibles.

Preguntas frecuentes

¿Puede ejecutarse este ataque de forma remota?

No. El atacante necesita acceso físico al puerto USB del equipo.

¿Linux está afectado?

El investigador no probó Linux, por lo que no hay evidencia directa en el reporte original.

¿Cambiar mi contraseña evita el problema?

Cambiar contraseñas tras sospecha ayuda, pero hay que eliminar la raíz del problema: restringir la instalación de dispositivos y revisar las políticas de red.

Caption: Imagen de ejemplo de un dongle USB programable que puede suplantar un adaptador Ethernet.

Compartir: X/Twitter Facebook LinkedIn Telegram
Autor
Edición

Materiales similares

Recuperar publicación eliminada en Facebook
Redes sociales

Recuperar publicación eliminada en Facebook

Notificar a un vecino con SmartThings
Hogar Inteligente

Notificar a un vecino con SmartThings

Mejorar la señal Wi‑Fi con la posición del router
Redes

Mejorar la señal Wi‑Fi con la posición del router

Guardar ubicación de parking en Google Maps
Guías

Guardar ubicación de parking en Google Maps

Arreglar Prime Video que no funciona en iPhone
Guía técnica

Arreglar Prime Video que no funciona en iPhone

Arbitraje cripto: guía completa y mejores bots
Trading

Arbitraje cripto: guía completa y mejores bots