¿Qué es un punto de acceso no autorizado?
Un punto de acceso no autorizado es un dispositivo inalámbrico no autorizado que está conectado a tu red cableada. Esto lo distingue de una 'red vecina' (un punto de acceso en el mismo edificio pero de otra organización, que está en la red de ellos, no en la tuya) y de un 'gemelo malvado' (un punto de acceso que imita tu SSID para capturar credenciales de clientes, y que puede o no estar conectado a tu red). Un verdadero AP no autorizado —ya sea colocado intencionalmente por un atacante o accidentalmente por un empleado que conecta un router doméstico— crea un punto de entrada no autorizado a tu red interna, eludiendo tu firewall y tus controles de seguridad.
Tres categorías de puntos de acceso no deseados
Los AP no autorizados están físicamente conectados a tu red cableada (no autorizados, potencialmente maliciosos). Las redes vecinas son puntos de acceso de organizaciones adyacentes visibles en el entorno de RF (no están en tu red, pero congestionan los canales compartidos). Los gemelos malvados son puntos de acceso que difunden tu SSID para atraer a los clientes a conectarse a un dispositivo controlado por el atacante (pueden o no estar en tu red; el peligro es el robo de credenciales y la interceptación de tráfico). Cada categoría requiere una respuesta distinta: los AP no autorizados necesitan retiro físico e investigación de la red; las redes vecinas necesitan planificación de canales; los gemelos malvados necesitan validación del lado del cliente y educación de los usuarios.
Cómo se detectan los AP no autorizados
La detección requiere ver el BSSID (dirección MAC) de un punto de acceso en el entorno de RF y luego determinar si está conectado a tu red cableada. El monitoreo de aire 802.11 (modo de escaneo en una radio de un punto de acceso o un sensor dedicado) captura los BSSID visibles. La correlación del lado cableado verifica si la dirección MAC del punto de acceso ha aparecido en un puerto de switch: si un punto de acceso está difundiendo un SSID desconocido y puedes encontrar su MAC en tu infraestructura cableada, es un AP no autorizado. Los controladores de Wi-Fi empresariales (Cisco Meraki, Aruba Central, Ruckus SmartZone) incluyen funciones de detección de AP no autorizados. La capa de auditoría de seguridad de TekFidelityIQ expone alertas de AP no autorizados, SSID de gemelos malvados y redes desconocidas visibles en cada sede.
Por qué el monitoreo continuo supera a los escaneos periódicos
Un escaneo de RF puntual te dice qué era visible en ese instante. Un AP no autorizado conectado el lunes por la tarde y retirado el viernes por la mañana sería completamente invisible para un chequeo puntual del miércoles por la mañana. El monitoreo continuo significa que cada ciclo de instantánea verifica si hay BSSID nuevos o no vistos previamente en cada sede, los marca de inmediato y conserva una línea de tiempo de cuándo apareció y desapareció el dispositivo. Para seguridad y cumplimiento, este rastro de evidencia suele ser tan importante como la detección en sí.
Qué hacer cuando encuentras uno
Cuando se detecta un AP no autorizado: primero, confirma que realmente está en tu red (revisa las tablas MAC de los puertos de switch). Si se confirma, aísla el puerto de switch de inmediato, luego localiza físicamente y retira el dispositivo. Documenta el incidente: cuándo apareció, en qué puerto y qué red estaba difundiendo. Investiga cómo se conectó (error de un empleado, un contratista, una brecha de seguridad física). Revisa los registros de acceso del período en que estuvo activo. Si era un gemelo malvado (coincidencia de SSID pero sin estar en tu red cableada), alerta a los usuarios de ese segmento de red y revisa los registros de autenticación de clientes en busca de anomalías.
Preguntas Frecuentes
- ¿Cuál es la diferencia entre un AP no autorizado y una red vecina?
- Un AP no autorizado está conectado a tu red cableada sin autorización. Una red vecina es un punto de acceso de otra organización que puedes ver en el entorno de RF pero que no está conectado a tu red.
- ¿TekFidelityIQ puede detectar puntos de acceso no autorizados?
- Sí. La capa de auditoría de seguridad de TekFidelityIQ marca SSID y BSSID desconocidos y posibles gemelos malvados visibles en cada sede, y genera alertas cuando aparecen nuevos dispositivos no autorizados.
TekFidelityIQ
Ve el monitoreo de salud Wi-Fi en acción
Inicia el demo interactivo o solicita una Revisión de Salud Wi-Fi gratuita — sin compromiso, resultados en unas 48 horas.