Las redes inalámbricas no son seguras, al menos no tanto como las redes cableadas. Esto es porque en las redes Wi-Fi la información viaja en forma de ondas electromagnéticas que se propagan en todas direcciones, y por ello son susceptibles de ser capturadas por cualquier dispositivo que cuente con una tarjeta de red inalámbrica. A partir de ahí, son las intenciones del receptor las que motivan reforzar las medias de seguridad de nuestra red. Si bien es cierto que en un ámbito doméstico la mayoría de los instrusos potenciales son personas que únicamente quieren permacener exentas de pagar facturas a compañías como Timofónica o Robafone, por otro lado existe todo un mercado negro que motiva la destrucción de datos de compañías rivales en un contexto más empresarial.
Podrías pensar que las redes inalámbricas no suelen tener gran trascendencia en este último punto debido a su corto alcance, pero hay técnicas que permiten explotarlas igualmente, ya sea mediante antenas parabólicas de largo alcance o drones diseñados para el propósito (sic). No obstante la idea es desarrollar éstos métodos en un post independiente, ya que considero el tema muy interesante. Y dicho sea de paso, perder el karma que ganaría con esta entrada.
A continuación el menú de recomendaciones. ¡Elegir al gusto! Invita la casa.
- Siempre que todos tus dispositvos sean compatibles con encriptación WPA2, migrar de WEP a WPA2. WEP implementa el algoritmo de cifrado RC4 (al igual que TLS/SSL) del cual se conocen vulnerabilidades como el Bar Mitzvah y una larga lista de peros.
- Desactivar el servidor DHCP en el AP. DHCP es un protocolo para asignar direcciones IP dinámicamente. Asignar a cada equipo de la red con una IP fija de forma manual. Cambiar la dirección IP del AP así como el rango de red por defecto.
- Configurar un número máximo de equipos que pueden conectarse.
- Cambiar el SSID de fábrica y desactivar el broadcasting SSID. Los posibles intrusos tendrán que introducir el SSID manualmente y conocerlo previamente.
- Servidor de autenticación Radius. Añade una barrera de autenticación extra a nuestra red.
- Desactivar WPS. Romper la seguridad de los PINs con los que trabaja es trivial en comparación con una clave WPA. Por muy fuerte que sea tu contraseña, si tienes el WPS activado no te servirá de nada.
- Cambiar las configuraciones de usuarios y contraseñas que vienen por defecto de fábrica, qué menos.
- Realizar periódicamente tareas de administración y mantenimiento de la red, auditando cuántos equipos están conectados y si son legítimos.
- Actualizar el firmware del AP siempre que sea posible. Ayuda a prevenir intrusiones basadas en bugs o vulnerabilidades antiguas. Un ejemplo reciente consistió en ShellShock , una vulnerabilidad en bash que permite explotar sistemas de red remotamente.
- Listas blancas y negras. Útiles a menos que el atacante sea de nivel mayor a «juanker» o «script-kiddie». Esto es porque falsear las direcciones MAC de los host legítimos de la red es tan fútil como averiguar los clientes de una red.
- ¿Trabajas en un laboratorio secreto o gestionas una organización hermética? No temas, la empresa Pilkington ha desarrollado una pintura especial que bloquea las señales inalámbricas.
- Códigos QR . Tan sencillo como fotografiar una de estas piezas de arte abstracto y estarás conectado a la red. Tiene la ventaja de que permites a los clientes de tu hotel (por poner un ejemplo) que se conecten, sin siquiera saber ellos mismos la contraseña. Así la mantienes en secreto, su estado natural.
- Desconexión del AP cuando no se use. Suena pueril, pero no hay que olvidar que un router es otro equipo que de vez en cuando necesita un respiro. Una leyenda urbana dice que nunca hay que apagarlos, pero … ¿Dejaríais vuestro PC o smartphone encendido siempre? Además, la red más segura es la que está apagada.
Glosario
AP: Siglas de Access Point, significa punto de acceso, router o gateway.
DHCP: Protocolo de asignación dinámica de direcciones IP que viene integrado en los AP.
WPS: Wifi Protected Setup. Mecanismo que incorporan los AP modernos para facilitar la autenticación en una red. Al ser más susceptible de ser atacado que una clave WPA, disminuye la seguridad de tu red a una mala configuración. La seguridad de un sistema informático es igual a su punto más débil.
Radius: Conjunto de protocolos que se instalan en un equipo de la red que integra un mecanismo de autenticación extra (usuario+contraseña). No todos los AP tienen la opción de configurarse con Radius, de modo no siempre es posible su implementación.
SSID: Nombre de la red. Por ejemplo: ONO1234, MOVISTAR_A45B … o la más cachonda hasta la fecha: «Wifi a cambio de sexo.»
Llegados a este punto, ya no tenéis excusa para ponérselo difícil al vecino gorrón. ¡Hasta la próxima!