TL; DR : un extensor de WiFi desconocido apareció en mis registros DHCP y mi teléfono se conectó de manera rutinaria a través de ese punto de acceso. ¿Qué tan grave era mi red o tráfico en riesgo?
Esta mañana, mientras luchaba con una conexión lenta, comprobé mi enrutador y me sorprendió ver un nuevo dispositivo desconocido conectado a través de DHCP. El nombre del host fue listado como "TL-WA850RE" que resulta ser una forma de extensor de señal WiFi. Como no tengo un dispositivo así, inmediatamente agregué la dirección MAC al filtro de exclusión.
Mantuve un ojo en la red desde entonces y no tuve más problemas. Sin embargo, noté que mi teléfono repentinamente tuvo problemas aleatorios al conectarse al WiFi. No hice la conexión entre los dos hasta que finalmente me harté y decidí cambiar mi seguridad inalámbrica para usar WPA2 en lugar del WEP que estaba usando (para un dispositivo heredado, es una estupidez, lo sé). Inmediatamente después, descubrí que mi teléfono de repente encontró dos redes diferentes con el mismo SSID pero con configuraciones de seguridad diferentes. Después de cambiar y ocultar mi SSID, el SSID antiguo ahora sigue en la lista.
Todo esto me llevó a la siguiente conclusión: alguien rompió mi "seguridad" de WiFi y configuró un repetidor para extender su señal, suplantando así mi red al servir como un segundo punto de acceso en una red de múltiples AP. Como mi teléfono estaba más cerca del repetidor que mi enrutador, estaba pasando por ese punto de acceso. Como había bloqueado el acceso de MAC a mi red real, esa conexión ya no funcionaba.
Así que ahora mi pregunta: ¿es esto realmente lo que sucedió? ¿Qué tan preocupado debería estar de que alguien estuviera escuchando el tráfico que mi teléfono presuntamente envió a través de este punto de acceso desconocido? ¿Debo tomar medidas adicionales?
EDITAR: veré si puedo exportar registros desde el enrutador para verificar la actividad pasada. Ejecuté una exploración de puertos en el dispositivo que mostraba un puerto HTTP abierto, presumiblemente su consola de administración. Consideré brevemente el intentar acceder a él, pero si bien es moralmente defendible, probablemente también sea ilegal y es poco probable que proporcione información útil.
EDIT 2: como temía, es un enrutador de Belkin con tanta tala como el desierto del Sahara.
EDIT 3: resulta que, aparentemente, un técnico instaló este extensor de WiFi en particular como parte de una instalación de un panel de paneles solares. No para aumentar la señal sino porque el extensor tiene un puerto Ethernet que se conecta al convertidor de energía para que pueda informar las estadísticas de uso. Por supuesto, se olvidaron de mencionar esto a la persona que está realmente a cargo de la red. Sin embargo, he encontrado las respuestas aquí bastante útiles y quizás esta pregunta puede ser útil para los futuros lectores que tienen un AP malicioso en su red.
Nota : tengo una idea bastante clara de quién fue el que ha estado jugando en mi red, pero quería asegurarme de que entendía lo que sucedió antes de confrontar a las personas o notificar a las autoridades. Es probable que no haga nada si puedo estar seguro de que solo se desconectaron de la conexión inalámbrica y no obtuvieron nada más.