El ataque al PMKID es una de las técnicas más eficaces para auditar la seguridad de redes WPA/WPA2. A diferencia de los métodos clásicos, no requiere capturar un handshake completo ni esperar a que un cliente se conecte: basta con una única trama del punto de acceso. En esta guía verás cómo funciona y cómo se captura y crackea con Hashcat, dentro de un marco de hacking ético.
Aviso legal: realiza estas pruebas únicamente sobre redes de tu propiedad o con autorización explícita por escrito. El acceso no autorizado a redes ajenas es un delito.
Qué es el PMKID
El PMKID (Pairwise Master Key Identifier) es un valor que el punto de acceso incluye, de forma opcional, en el primer mensaje del handshake WPA. Se deriva de la PMK (la clave maestra basada en la contraseña), el BSSID del router y la MAC del cliente. Como depende directamente de la contraseña de la red, permite un ataque offline sin necesidad de un handshake de 4 vías completo.
Por qué el ataque PMKID es tan efectivo
El método tradicional exige capturar un handshake, lo que obliga a esperar (o forzar mediante deautenticación) a que un dispositivo se conecte. El ataque PMKID elimina ese paso: se solicita directamente al AP y, si lo expone, se obtiene el material para el crackeo offline. Es más rápido, más silencioso y no afecta a los usuarios legítimos.
Paso 1 — Capturar el PMKID
Con herramientas como hcxdumptool se captura el tráfico de gestión y se filtra el PMKID del punto de acceso objetivo. El resultado se convierte después al formato que entiende Hashcat (modo 22000) con hcxpcapngtool.
Paso 2 — Crackear con Hashcat
Una vez tienes el hash en formato 22000, Hashcat realiza el ataque offline contra un diccionario o por fuerza bruta, aprovechando la GPU para probar millones de candidatos por segundo. El comando base es del estilo hashcat -m 22000 captura.hc22000 diccionario.txt. La calidad del diccionario es decisiva: las contraseñas débiles o predecibles caen en minutos.
Cómo protegerte de un ataque PMKID
- Contraseñas largas y aleatorias (mínimo 15 caracteres): la única defensa real frente al crackeo offline.
- WPA3, que con SAE mitiga este tipo de ataques.
- Deshabilitar el roaming/802.11r cuando no se use, ya que algunos APs exponen el PMKID por esta función.
- WiFi empresarial (WPA2/3-Enterprise) con autenticación 802.1X en entornos corporativos.
Conclusión
El ataque PMKID demuestra que la seguridad de una red WiFi depende, en última instancia, de la fortaleza de su contraseña. Para un profesional de la ciberseguridad, dominar estas técnicas —siempre de forma ética y autorizada— es esencial para auditar y proteger infraestructuras inalámbricas.
👉 ¿Quieres aprender esto en profundidad y en la práctica? En el Curso Avanzado de Hacking Ético para Expertos de Academia SecPro lo ves paso a paso con laboratorios reales.
