Detectar intrusos en tu red WiFi con comandos de consola

Si alguna vez has notado que tu WiFi va lento sin motivo aparente, cortes intermitentes o un comportamiento raro en la conexión, es bastante posible que no seas la única persona usando tu red, o por interferencias, por eso conviene mapear interferencias WiFi. Más allá de las apps bonitas y los paneles del router, la forma más precisa y flexible de controlar lo que pasa en tu red es tirar de consola, tanto en Windows como en Linux, aprovechando comandos que ya tienes instalados o que se instalan en segundos.

En las siguientes líneas vas a ver, paso a paso, cómo detectar intrusos en tu red WiFi mediante comandos de consola, cómo interpretar la información que devuelven, qué hacer si encuentras dispositivos sospechosos y qué herramientas extra puedes usar para automatizar revisiones o profundizar en el análisis. Lo haremos con explicaciones claras, ejemplos de comandos reales y combinando lo mejor de CMD, PowerShell y la terminal de Linux para que puedas usar el método que más te encaje.

Por qué merece la pena vigilar quién se conecta a tu WiFi

Controlar qué equipos están conectados a tu red no es una manía de paranoico: es pura seguridad y rendimiento. Un solo vecino descargando torrents a todo trapo puede tirar por tierra tu conexión, pero el problema gordo viene cuando alguien entra con malas intenciones y empieza a escanear puertos o a intentar colarse en tus dispositivos.

Cuando sabes en todo momento qué IP y qué dirección MAC tiene cada aparato de casa (móvil, consola, Smart TV, portátil, NAS…), y si sabes cuántos dispositivos están conectados, es mucho más difícil que un intruso pase desapercibido. Además, si aprendes a usar los comandos adecuados, puedes ir más allá de “veo un dispositivo raro” y pasar a “sé de dónde viene el problema y cómo pararlo”.

En redes de empresa el tema sube de nivel: un dispositivo no autorizado puede suponer un agujero de seguridad serio, fuga de datos o problemas legales si alguien usa tu conexión para hacer cosas que no debería. Por eso, lo que en casa es recomendable, en una pyme es casi obligatorio, y usar NirSoft Utilities ayuda a auditar equipos rápidamente.

También hay un factor de diagnóstico: con herramientas como ping, tracert, pathping o nmap puedes distinguir si la culpa de los cortes es del WiFi, del router, del proveedor de Internet o de una mala configuración interna, evitando perder tiempo reiniciando cosas al azar.

Comandos básicos de red en Windows para empezar a investigar

En Windows tienes un arsenal de órdenes en la consola clásica (CMD) que te ayudan a entender cómo está montada tu red, qué IP tienes, qué conexiones están abiertas o cómo se resuelven los nombres de dominio, y, si necesitas, aprender a escanear dispositivos desde Windows 11.

Cómo abrir CMD y cuándo usar permisos de administrador

Para abrir la consola, basta con escribir cmd en el buscador de Windows o en la ventana Ejecutar (Windows + R) y pulsar Intro. Si solo vas a consultar información de red, en la mayoría de los casos no necesitas más, pero para cambiar configuraciones o ejecutar ciertos comandos avanzados te hará falta abrirlo como administrador.

Cuando quieras ejercer como “jefe” del equipo, haz clic derecho en “Símbolo del sistema” y elige “Ejecutar como administrador”. Incluso puedes configurar que siempre se abra así entrando en las propiedades del acceso directo, pestaña “Acceso directo” → “Opciones avanzadas” y marcando “Ejecutar como administrador”.

ipconfig: ver y ajustar la configuración IP

El comando ipconfig es el punto de partida para cualquier revisión de red en Windows. Con solo escribir ipconfig obtendrás las direcciones IP de tus interfaces (Ethernet, WiFi, etc.), la máscara de subred y la puerta de enlace, que normalmente es tu router.

Si quieres una foto mucho más completa, incluyendo la dirección MAC de cada adaptador, servidores DNS y detalles de DHCP, utiliza:

ipconfig /all

Cuando el problema tiene pinta de estar relacionado con la caché de DNS (por ejemplo, una web que no resuelve correctamente mientras todo lo demás sí), puedes limpiar esa caché con:

ipconfig /flushdns

Este borrado obliga al sistema a consultar de nuevo a los servidores DNS, solucionando muchas veces errores de resolución que parecían misteriosos. Y si lo que quieres es forzar que tu equipo pida una nueva IP al router (útil cuando hay conflictos de direcciones), puedes soltar y renovar con:

ipconfig /release seguido de ipconfig /renew

Con estas variantes conviertes a ipconfig en una navaja suiza para resolver incidencias básicas de conectividad antes incluso de pensar en intrusos.

getmac: localizar la dirección física de tu equipo

En cualquier investigación de intrusos, la dirección MAC es fundamental, porque es el identificador físico del adaptador de red de cada dispositivo. Windows incluye el comando getmac, pensado casi exclusivamente para mostrar esas direcciones de forma clara.

Al ejecutarlo verás un listado de todas las interfaces de red y sus MAC, incluso aunque no estén conectadas en ese momento, algo muy útil si luego vas a configurar un filtrado MAC en el router. También podrías extraer esta información desde ipconfig /all, pero getmac la resume sin ruido innecesario. Si prefieres interfaz gráfica, consulta programas para ver quién está conectado.

ping: comprobar si hay conexión y medir latencia

Cuando internet va a tirones o una página no carga, el primer reflejo debería ser un ping bien hecho. Este comando envía paquetes ICMP al destino que le indiques y mide el tiempo que tardan en ir y volver.

Por ejemplo, para comprobar si tienes salida a Internet, puedes hacer:

ping www.google.es

Si aparecen respuestas del tipo “Respuesta desde X.X.X.X” junto con tiempos en milisegundos, la conexión en principio funciona. Un ping muy alto o con pérdida de paquetes apunta a problemas de señal WiFi, saturación o incidencias en la ruta.

Si sospechas que el fallo está en el DNS, puedes hacer ping directamente a una IP pública, por ejemplo los DNS de Google:

ping 8.8.8.8

Si aquí sí responde y antes no, el tiro va casi seguro hacia problemas de resolución de nombres. Además, con parámetros como -n o -w puedes controlar el número de paquetes y el tiempo de espera, o usar -t para enviar pings indefinidamente, algo muy práctico para ver si la conexión se corta a ratos.

tracert y pathping: seguir el camino de los paquetes

Cuando el ping dice que algo va mal pero no sabes dónde, entra en juego tracert. Este comando muestra todos los “saltos” (routers intermedios) que recorre un paquete hasta llegar al destino:

tracert www.google.es

Con la lista numerada de saltos puedes ver en qué punto se dispara la latencia o se pierde la conexión: si falla en el primer salto, seguramente sea tu router; si mucho más adelante, tendrá más que ver con tu proveedor o con la red del destino.

Si quieres un análisis más profundo, pathping combina las ideas de ping y tracert, enviando paquetes durante un rato a cada salto y mostrando estadísticas de pérdida y latencia más detalladas:

pathping www.google.es

El inconveniente es que tarda algo más en completarse, pero a cambio te da una imagen muy clara del estado de cada tramo de la ruta, algo genial si juegas online o si estás depurando problemas serios de rendimiento.

netstat: ver conexiones abiertas y puertos en escucha

El comando netstat es otro imprescindible cuando quieres saber qué está haciendo tu equipo en la red. Con un simple:

netstat

obtendrás un listado de conexiones locales y remotas, puertos usados y estados (como LISTENING, ESTABLISHED, etc.). Aunque no todas implican tráfico constante, te ayuda a ver si tienes muchos puertos abiertos, si un programa P2P te está saturando la máquina o si aparece alguna conexión extraña.

Si combinas netstat con distintos parámetros podrás filtrar por protocolos, mostrar procesos asociados e incluso usarlo como apoyo para saber si un puerto concreto está realmente en uso o no.

nslookup y route: DNS y tablas de enrutamiento

Cuando quieres ir un paso más allá en el diagnóstico, nslookup y route te dan visión extra. Con nslookup puedes consultar directamente a los servidores DNS qué IP hay detrás de un dominio:

nslookup mundobytes.com

Esto permite comprobar si tu servidor DNS resuelve correctamente nombres o si devuelve resultados incoherentes. Además, cuenta con modo interactivo para lanzar varias consultas seguidas.

Por su parte, el comando route muestra y permite modificar la tabla de rutas de tu equipo, algo orientado a usuarios avanzados o administradores que necesitan controlar caminos específicos para ciertos destinos o depurar rutas erróneas.

ARP y nbtstat: quién está en la red y estadísticas TCP/IP

Ahora entramos ya en terreno clave para localizar intrusos. El comando arp gestiona la caché ARP, que es la tabla que relaciona direcciones IP locales con direcciones MAC.

Si ejecutas:

arp -a

verás un listado de equipos de tu red local que se han comunicado recientemente con tu equipo, junto a su IP y MAC. Comparando este inventario con los dispositivos que sabes que tienes en casa, puedes localizar rápidamente uno que no te suena de nada.

Además, si quieres averiguar la MAC de una IP concreta (por ejemplo, la del intruso detectado con otro escaneo), puedes usar en Linux algo como arp -n 192.168.1.101 para obtener esa relación. En Windows, combinando ipconfig, arp y las tablas del router lograrás lo mismo.

El comando nbtstat se centra en estadísticas del protocolo NetBIOS sobre TCP/IP, mostrando conexiones actuales, tablas de nombres y cachés relacionadas, siempre que tengas TCP/IP instalado en el adaptador. Es especialmente útil en redes Windows cuando estás analizando tráfico entre equipos que comparten recursos.

PowerShell: análisis de red más fino en Windows

Aunque CMD sigue siendo muy útil, PowerShell ofrece comandos más modernos y potentes para revisar el estado de la red, con salidas estructuradas que puedes filtrar, exportar o automatizar fácilmente en scripts.

Test-Connection como alternativa avanzada a ping

El cmdlet Test-Connection hace básicamente lo mismo que ping, pero con esteroides. Puedes indicar el número de intentos, el tamaño de los paquetes, los tiempos de espera e incluso trabajar con resultados como objetos, listos para filtrar o registrar en logs.

Por ejemplo, podrías lanzar:

Test-Connection -ComputerName 8.8.8.8 -Count 10

y analizar después la media de latencia o la pérdida de paquetes. Es ideal para automatizar pruebas recurrentes de conectividad con scripts de PowerShell.

Get-NetIPAddress, Get-NetRoute y Resolve-DnsName

Con Get-NetIPAddress obtienes un listado detallado de todas las direcciones IP que tiene asignadas tu equipo, sus interfaces asociadas y parámetros como la puerta de enlace. Viene a ser una versión moderna y más manejable de lo que ves con ipconfig.

El cmdlet Get-NetRoute te muestra la tabla de rutas de Windows, permitiendo verificar por qué camino salen los distintos paquetes. Si algo raro ocurre con el tráfico hacia una subred concreta, aquí puedes confirmarlo.

Por último, Resolve-DnsName es el equivalente avanzado a nslookup. Te permite consultar registros DNS de forma detallada, especificar servidores concretos y recuperar varias clases de registros, lo que resulta muy útil cuando sospechas de problemas de nombres de dominio.

Detectar intrusos en tu WiFi desde Linux con la terminal

En Linux la filosofía es clara: la terminal manda. Para detectar intrusos y analizar la red, las herramientas de consola son extremadamente potentes. Una de las grandes protagonistas en este terreno es nmap.

Comprobar tu red y dirección IP con ifconfig o ip address

Antes de escanear nada debes tener claro en qué red estás y qué IP tienes. Tradicionalmente se usaba ifconfig para esto, aunque en muchas distros modernas se recomienda ip address:

ip address

En la salida verás algo como 192.168.1.34/24 asociado a tu interfaz WiFi o Ethernet. Eso indica que tu IP es 192.168.1.34 y que tu red es 192.168.1.0 con máscara de 24 bits (255.255.255.0), es decir, un rango típico con hasta 254 hosts posibles.

Instalar nmap en las principales distribuciones

Para usar nmap, primero hay que instalarlo desde los repositorios. En Debian, Ubuntu y derivadas basta con:

sudo apt update && sudo apt install nmap

En Fedora el equivalente sería:

sudo dnf upgrade && sudo dnf install nmap

En otras distros, el proceso es similar: buscar el paquete nmap en el gestor de paquetes correspondiente (pacman, zypper, etc.) e instalarlo sin pasos extra.

Escanear la red en busca de dispositivos conectados

Una vez tienes identificada tu red, puedes escanearla por completo para ver qué equipos están activos. Para una red típica 192.168.1.0/24, lanzarías algo como:

sudo nmap -sPn 192.168.1.0/24

o, con una sintaxis clásica,

nmap -sP 192.168.1.0/24

El resultado será un listado de hosts que responden en esa red, indicando su IP y, en muchos casos, el nombre o fabricante. Normalmente verás al menos tu router (por ejemplo 192.168.1.1) y tu propio equipo, y a partir de ahí deberías reconocer móviles, consolas, televisores, etc.

En algunas configuraciones puedes añadir parámetros para filtrar resultados inactivos, como usar grep para ignorar los que aparecen “down”. De este modo te quedas solo con los dispositivos que realmente parecen estar conectados en ese momento.

Identificar la MAC de un intruso y bloquearlo

Cuando en un escaneo de nmap detectas una IP que no te cuadra, el siguiente paso es descubrir su dirección MAC para luego poder bloquearla desde el router con filtrado MAC, si tu equipo lo permite.

En Linux puedes hacerlo, por ejemplo, con:

arp -n 192.168.1.101

Cambiando la IP por la del sospechoso. La salida te mostrará la MAC asociada a esa IP. Con esa información, entras en la interfaz de administración de tu router, localizas la sección de “Filtro MAC” o similar y añades esa dirección a la lista de bloqueos, o bien configuras el router para solo permitir las MAC que conoces.

Aunque esto no es un muro perfecto (alguien con conocimientos puede falsear su MAC), sí complica bastante las cosas al intruso medio y, combinado con una buena contraseña WPA2 o WPA3, se convierte en una barrera razonable.

Automatizar búsquedas de intrusos con scripts y cron

Si quieres dejar de hacer escaneos a mano, puedes automatizar el proceso con scripts de shell y tareas cron. Un enfoque típico es crear un script que lance un nmap a la red, procese el resultado y lo deje guardado en un log para revisarlo más tarde.

Por ejemplo, podrías descargar un script ya preparado como el conocido detectar_intrusos_red.sh, darle permisos de ejecución con:

chmod a+x detectar_intrusos_red.sh

y ejecutarlo directamente:

./detectar_intrusos_red.sh

Este tipo de scripts suelen pedirte que indiques la red y la máscara (por ejemplo 192.168.1.0/24), ejecutan nmap por debajo y guardan los resultados en un archivo de log, muchas veces en rutas como /tmp/detectar_intrusos.log o un log permanente en /var/log.

Para automatizarlo, puedes colocarlo en una ruta fija, como ~/.local/bin/escanear-hosts.sh, y crear una entrada en crontab con:

crontab -e

y líneas del estilo:

*/10 * * * * $HOME/.local/bin/escanear-hosts.sh

para lanzarlo cada 10 minutos. Asegúrate de que tu usuario pertenece al grupo crontab y de que el archivo de log tiene los permisos y propietario correctos. Incluso podrías reiniciar el servicio cron con sudo systemctl restart cron si lo necesitas.

Revisar dispositivos conectados desde el router y otras herramientas

Más allá de la consola, tu propio router suele ofrecer una lista en tiempo real de los dispositivos conectados, y existen aplicaciones para móvil y programas de escritorio que facilitan esta visualización, especialmente útil si no te apetece pelearte con comandos todos los días.

Usar la interfaz web del router

Desde cualquier navegador puedes acceder a la configuración del router escribiendo su dirección IP, normalmente 192.168.1.1 o 192.168.0.1. Tras iniciar sesión con el usuario y la contraseña de administrador, busca apartados como “Dispositivos conectados”, “Clientes DHCP” o “Estado de LAN”.

Ahí verás el listado de IPs, nombres y direcciones MAC de todos los equipos conectados. Comparando con tu inventario (PC, móviles, tablets, IoT…) podrás localizar enseguida cualquier aparato que no identificas, y en muchos routers incluso puedes bloquearlo directamente desde esa pantalla. Si quieres otra comprobación, aprende a comprobar LEDs del router.

Aplicaciones y programas para escanear tu red doméstica

Si prefieres algo más visual desde el móvil o el PC, tienes varias herramientas muy conocidas que se apoyan internamente en técnicas similares a nmap, pero con interfaz gráfica sencilla:

• Advanced IP Scanner en Windows, muy utilizado en oficinas y hogares para tener una visión rápida de los equipos activos en la red local.
• Angry IP Scanner (Windows, macOS, Linux), que ofrece un análisis ágil y más avanzado para usuarios técnicos, incluyendo servicios abiertos e incluso detección de hosts que intentan pasar desapercibidos.

Estas soluciones resultan ideales para revisiones rápidas y periódicas, mientras que la consola y nmap te dan más profundidad cuando quieres investigar a fondo.

Métodos avanzados: ARP, Wireshark y alertas en el router

Para usuarios con más experiencia, hay técnicas que permiten un control todavía mayor. El comando arp -a, tanto en Windows como en Linux, lista todos los dispositivos con los que tu equipo ha hablado en la red local, junto a sus direcciones MAC, complementando lo que ves con nmap.

Herramientas como Wireshark van un paso más allá: capturan tráfico en la red y permiten analizar qué protocolos se usan, qué equipos hablan con qué otros y si hay actividad sospechosa, aunque aquí conviene tener cierto conocimiento para interpretar las capturas.

Algunos routers permiten configurar alertas cuando un nuevo dispositivo se conecta, ya sea por correo, notificación en app o registro en un log interno. Activar esa opción es una forma estupenda de enterarte en tiempo real de cualquier conexión inesperada.

Otros comandos útiles de red en Windows que conviene conocer

Además de los que ya hemos visto, en CMD existen muchas órdenes pensadas para administrar y diagnosticar redes, y aunque no todas se usan a diario, conviene tenerlas localizadas.

netsh: el “cuchillo jamonero” de la configuración de red

El comando netsh (Network Shell) proporciona una interfaz muy potente para configurar firewall, redes LAN y WLAN, direcciones IP y hasta servicios. Funciona por “contextos” (por ejemplo, firewall, interface, wlan…) y permite tanto uso interactivo como desde scripts.

Con él se pueden exportar configuraciones, automatizar ajustes complejos o aplicar políticas de red avanzadas, algo muy apreciado por administradores de sistemas que necesitan rapidez y repetibilidad en sus cambios.

getmac, hostname, arp, nbtstat y otros aliados

Ya hemos mencionado getmac, pero hay otros comandos sencillos que ayudan mucho en el día a día. hostname te muestra de un plumazo el nombre del equipo, útil cuando trabajas con varias máquinas en red.

El propio arp, además de listar y modificar la caché ARP, resulta útil para entender cómo se están resolviendo internamente las direcciones IP a nivel de capa 2, mientras que nbtstat, como comentábamos, se centra en NetBIOS sobre TCP/IP para ver nombres de equipos, cachés y estadísticas.

Órdenes como net use permiten conectar o eliminar conexiones a recursos compartidos (por ejemplo, impresoras de red), taskkill termina procesos locales o remotos, y shutdown puede apagar o reiniciar equipos remotos, siempre que se tengan permisos adecuados.

Incluso telnet, aunque en desuso por motivos de seguridad, sigue estando disponible como cliente opcional para abrir comunicaciones con servidores que todavía lo soportan, útil en entornos muy concretos o en laboratorios.

Comandos de sistema que influyen en la estabilidad de la red

Aunque no sean comandos de red puros, chkdsk y systeminfo tienen su papel. Con chkdsk puedes verificar y corregir errores en el sistema de archivos:

chkdsk C:

y combinando parámetros como /f o /r localizar sectores dañados y repararlos. Un disco con problemas puede causar un comportamiento errático del sistema, incluyendo bloqueos que afectan a la conectividad.

Por su parte, systeminfo te da una fotografía muy completa del sistema: versión de Windows, actualizaciones, configuración de red, memoria, procesadores, etc. Redirigiendo su salida a un archivo puedes tener una referencia de cómo estaba tu equipo cuando funcionaba bien y compararla más adelante si surgen problemas.

Resolver problemas habituales de conexión antes de culpar al vecino

Antes de declarar culpable a un intruso, es buena idea revisar los puntos clásicos de fallo en una red doméstica. Muchas veces el origen está más cerca de lo que parece.

Empieza comprobando lo básico: que el cable de red está bien conectado si usas Ethernet, que estás unido a la red WiFi correcta y que el firewall del equipo o del router no esté bloqueando aplicaciones concretas o puertos necesarios.

Verifica también la configuración IP: la dirección debe pertenecer a la misma red que el router, la máscara tiene que ser coherente y la puerta de enlace debe apuntar al router. Si no tienes claro qué valores usar, puedes configurar que Windows obtenga la IP automáticamente, dejando que el servidor DHCP del router se encargue.

Si todo parece correcto en tu equipo, mira el router: luces encendidas, sin errores aparentes y, a ser posible, prueba con otro dispositivo (como el móvil) conectándolo a la misma red para ver si también tiene problemas. Así sabrás si el fallo está en tu PC o es algo general.

Solo cuando todo esto está en orden y sigues notando saturación sin explicación, tiene sentido sospechar que alguien se ha colado en tu WiFi y pasar a la artillería pesada: escaneos con nmap, revisión de ARP, registro de hosts con scripts y, si procede, cambio de contraseña y filtrado de MAC.

Con todo este arsenal de comandos y herramientas, desde ipconfig, arp o netstat en Windows hasta nmap y cron en Linux, pasando por PowerShell y la propia interfaz del router, tienes en tu mano controlar quién entra en tu red WiFi, detectar intrusos con bastante precisión y tomar medidas para expulsarlos y reforzar la seguridad; al final, se trata de conocer bien tus propios dispositivos, revisar con cierta frecuencia y no dejar tu red a la buena de Dios confiando solo en que nadie intente aprovecharse de tu conexión.