Es muy frecuente servidores de portal cautivo interno, no utilicen SSL/TLS para proteger la entrega de credenciales a través de la red. Como resultado de esto, la capacidad de observar una autenticación exitosa sobre la red, podría proporcionar credenciales válidas a un atacante, las cuales utilizará para acceder hacia la red. Una herramienta la cual era muy conocida y utilizada para vigilar una autenticación exitosa de credenciales a través de HTTP sobre la red, era Cain (Al momento de realizar la presente publicación su sitio web ya no está disponible).

Actualmente están disponibles diversas herramientas para este propósito, como Wireshark, Ettercap, entre otras. Estas permiten leer tráfico en vivo desde una interfaz de red (Ehternet o Inalámbrico), o leer desde un archivo conteniendo una captura de paquetes previamente realizado. Estas herramientas permiten inspeccionar el tráfico por campos comunes de formularios, conteniendo valores correspondientes a las credenciales de autenticación. Pudiendo identificar el servidor HTTP, direcciones IP de los clientes, nombres de usuario, e información de las contraseñas, incluyendo la URL de la localización web donde fueron enviadas las credenciales.

Es relativamente simple reconocer los campos correspondientes a los nombres de usuarios y contraseñas, las cuales han sido capturadas por las herramientas. Resaltar las herramientas como Wireshark o Ettercap, no validan las credenciales. Consecuentemente si un usuario falla en la autenticación, las herramientas mostrarán igualmente las credenciales de autenticación

Fuentes:

https://web.archive.org/web/20190603235413if_/http://www.oxid.it/cain.html
https://www.wireshark.org/
https://www.ettercap-project.org/