Si te preocupa la seguridad de tu red WiFi, y aun habiendo aplicado todas las protecciones habituales y existentes, te preocupa que alguien pueda acceder a ella, en esta guía verás como detectar posibles intrusos en tu red WiFi utilizando la aplicación Nmap.

Nmap es una aplicación multiplataforma y de código abierto, que permite realizar una gran variedad de tareas relacionadas con el análisis de una red. Posiblemente el uso más común por el que se conoce Nmap es el rastreo de puertos de un dispositivo cliente, pero se puede utilizar para multitud de propósitos.
Uno de los propósitos para los que se puede usar es justamente para escanear una red interna y comprobar el numero de clientes conectados a ella. Pues bien, si posees una red WiFi privada, indirectamente esto te puede permitir conocer si hay un intruso conectado a ella.

Instala Nmap

Si utilizas una distribución GNU/Linux como puede ser Ubuntu o Debian, puedes estar seguro que Nmap va a estar disponible desde los repositorios oficiales de software. En este caso, la instalación se encuentra a un simple comando de distancia. A continuación tienes los pasos básicos para instalarlo en varias distribuciones:

• Para instalar Nmap desde Ubuntu o derivados:

$ sudo apt-get install nmap

• Para instalar Nmap en Debian:

$ su
# aptitude install nmap

• Para instalar Nmap en Fedora:

$ su
# yum install nmap

Si utilizas Windows o Mac OS X, puedes instalarlo fácilmente accediendo a la web oficial de Nmap, y descargando el ejecutable correspondiente en función del sistema operativo. Aquí también podrás escoger la versión que deseas instalar, y dispondrás del código fuente en caso de que desees compilar Nmap por tu cuenta.
Descarga  |  Nmap

Detectando intrusos en 3, 2, 1…

Primer paso: peinar la zona

La sintaxis básica de Nmap es muy sencilla, y consta principalmente de la palabra ‘nmap’ seguida de la dirección IP del host al que quieres escanear. Al programa, sin embargo, se le pueden pasar multitud de parámetros para realizar escaneos más o menos exhaustivos.
En caso de querer escanear una red interna completa, la entrada a especificar será la subred. Para redes privadas, lo más habitual es encontrarnos con una subred de la clase C, que se representa como 192.168.1.0/24. Con esta entrada, Nmap hará un barrido completo de todas las direcciones IP internas desde la 192.168.1.0 hasta la 192.168.1.255.

• Para hacer un escaneo rápido de tu red en busca de todos los clientes conectados, puedes servirte del siguiente comando.

$ sudo nmap -sn 192.168.1.0/24

La opción ‘-sn’ sirve para indicarle al programa que realice un escaneo por PING, de modo que lo único que va a indicar es si el host esta conectado o no, pero no va a realizar ningún análisis de puertos.

• Si dispones de una red privada con pocos clientes conectados, y conoces la IP de todos ellos, puedes utilizar este otro comando, por tal de que se muestren solo aquellos clientes conectados que no deberían estarlo.

$ sudo nmap -sn 192.168.1.0/24 --exclude 192.168.1.35,192.168.1.36

La opción ‘–exclude’ sirve para excluir ciertas direcciones IP que no quieres que se muestren en el resultado del análisis porque son utilizados por clientes conocidos.

• En algunos hosts, el firewall puede que bloquee las peticiones mediante PING. En este caso, puedes utilizar esta otra opción, mediante la cual se realizará un escaneo sin utilizar PING.

$ sudo nmap -Pn 192.168.1.0/24

La opción ‘-Pn’ le indica al programa que no realice PING a los hosts de destino. Esto puede ser útil en casos en los que algún cliente este configurado para no responder a los intentos de PING. En este caso se realiza un análisis más exhaustivo probando las distintas IP una a una.

Segundo paso: Identificar a los intrusos

Una vez has analizado la red en busca de todos los hosts conectados a tu red local, es hora de distinguir entre los intrusos y los usuarios legítimos que realmente perteneces a la red.
En cualquier análisis de este tipo deberá aparecer la dirección del router, normalmente 192.168.1.1, seguido de las direcciones IP de todos los clientes conectados en este instante, indistintamente de que estén conectados mediante cable Ethernet, o por WiFi.
Una manera de distinguir entre intrusos y usuarios legítimos es a partir del conocimiento de las direcciones MAC de tus dispositivos. Este último puede incluso que utilice una MAC clonada, por lo que el conocimiento de las direcciones IP internas de todos los clientes también es importante.
Alternativamente, con Nmap también puedes tratar de obtener información adicional mas allá de las direcciones IP de los dispositivos conectados, y que te puede ayudar a la hora de identificar a un posible intruso. Veamos algunos ejemplos:

• Una información adicional que puede ser útil para identificar a los diferentes hosts conectados, es el sistema operativo.

$sudo nmap -Pn -O 192.168.1.0/24

La opción ‘O’ activa la detección del sistema operativo del dispositivo analizado. Combinarlo con la opción ‘-Pn’ te será útil si el dispositivo está protegido por un firewall.

Para acabar…

Este es un método alternativo con el que podrás escanear tu red interna y descubrir a posibles intrusos que hagan uso de ella. Nmap permite pasar multitud de parámetros a la hora de realizar un escaneo, por lo que si se te ocurren otras opciones interesantes y deseas compartirlas, no dudes en comentar debajo.
Y ya para terminar, si tienes curiosidad para ver otros usos que le puedes dar a Nmap, en este post del enlace puedes ver como detectar si tienes puertos abiertos en tu sistema, cosa que también te permitirá detectar si tu firewall está filtrando realmente los puertos de tu sistema.