Gracias por la info, parece ser que se utilizaba el reaver para sacar la clave ya que mi router tenía el pin de WPS activado, lo he deshabilitado y he vuelto a modificar todo y parece que el router, sobre todo en fin de semana, no tiene tanto tráfico como antes.

Ahora la duda que tengo es, si se hacía pasar por uno de los equipos conectados, ya que eran los únicos habilitados para acceder al router, ¿cómo puedo monitorizar sus posibles acciones?. Tengo la aplicación WireShark y, aunque todavía estoy desentrañando como sacarle jugo, me pregunto como podré diferenciar las tramas del equipo legítimo y las del clonado, ya que comparten la misma IP.

Como ya comenté me dí cuenta de casualidad, porque el programa chivato(WnetWatcher) que utilizo mostraba el device name como 'WORKGROUP' y no con su nombre legítimo. Ahora, al deshabilitar la vista de la red, el programa chivato ya no me muestra ningún nombre y, por tanto, ya no puedo ver si se me han colado o no.

Agradecería cualquier indicación que me pudiéseis dar al respecto. Gracias por la ayuda.