Seguridad WLAN: la mejor protección para tu red

La posibilidad de que terceras personas no autorizadas accedan a tu red wifi no es descabellada. Independientemente de si se trata de una red particular o corporativa, para hacer uso de los beneficios de esta forma de comunicación inalámbrica sin preocupaciones es esencial garantizar su seguridad. Aquí te explicamos cómo.

¿Qué son las redes wifi?¶

Aunque en la actualidad se usa el término wifi como sustantivo común para designar al tipo de redes inalámbricas basadas en el estándar IEEE 802.11, se trata realmente de una marca registrada (Wi-Fi) por la Wi-Fi Alliance, una organización sin ánimo de lucro que certifica la interoperabilidad de los productos basados en el estándar antes nombrado.

Este tipo de red inalámbrica permite la conexión de dispositivos (como smartphones, ordenadores o tablets, entre otros) a Internet o a otros dispositivos dentro de un área específica a través de ondas de radio.

Existen tres modos diferentes de operar una red wifi:

• Modo infraestructura: es el más usado en redes wifi. Un punto de acceso inalámbrico (Wireless Access Point), que a menudo es un router, es el responsable de la coordinación de todos los participantes de la red y envía pequeños paquetes de datos con información sobre el nombre de la red, las tasas de transmisión soportadas o el tipo de cifrado.

• Wireless Distribution System: en el contexto de las redes wifi, permite conectar las redes cableadas (u otras redes inalámbricas) sin complicaciones a través del punto de acceso inalámbrico. De esta forma, puedes aumentar el alcance de la wifi.

• Ad hoc Modus: en las redes ad hoc no existe una instancia de control central, por lo que los respectivos dispositivos deben encargarse por sí mismos de la coordinación. No está muy extendido este modo en las redes wifi, más usado en otro tipo de redes inalámbricas como el bluetooth.

Las vulnerabilidades de las redes wifi¶

Las especificaciones para la comunicación en redes wifi son definidas por los estándares IEEE 802.11 del Institute of Electrical and Electronics Engineers (IEEE). Además, la demanda de medidas de seguridad wifi favoreció el desarrollo de los siguientes métodos de cifrado y autenticación:

• Wired Equivalent Privacy (WEP): creado en 1997, WEP es el estándar de cifrado inalámbrico más antiguo. Dispone de dos métodos de autenticación: Open System Authentication (todos los clientes están habilitados) y Shared Key Authentication (activación a través de la contraseña). Adicionalmente, WEP contiene el método de cifrado RC4. Debido a algunos puntos débiles, WEP es considerado como inseguro y obsoleto.
• Wi-Fi Protected Access (WPA): WAP se basa en la arquitectura WEP y fue diseñado para erradicar las debilidades de este último. Para lograrlo, WPA utiliza una clave dinámica basada en el Temporal Key Integrity Protocol (TKIP). Debido a que WPA tiene ciertas deficiencias de seguridad, no está permitido que nuevos puntos de acceso inalámbrico (desde 2011) y todos los dispositivos WLAN (desde 2012) lo utilicen.
• Wi-Fi Protected Access 2 (WPA2): en 2004, aparece el estándar IEEE 802.11i junto con el método de cifrado y autenticación actual más seguro: WPA2. En vez de utilizar TKIP, WPA2 utiliza el moderno método de cifrado AES. Como consecuencia, al configurar una red wifi, siempre deberás considerar WPA2 antes que WEP y WPA.
• Wi-Fi Protected Setup (WPS): el estándar WPS no es una técnica de transmisión o cifrado, sino un mecanismo de gestión que tiene como objetivo facilitar la configuración de nuevos participantes en la red inalámbrica. La autenticación se realiza pulsando un botón (WPS-PBC), es decir, físicamente desde el punto de acceso o virtualmente a través de un botón implementado en el software, o ingresando un PIN (WPS-PIN). Como alternativa, existe la oportunidad de compartir la configuración de red en una memoria USB o por medio de la tecnología NFC (Tecnología de radio de corto alcance).

Aunque WPA2 representa un legítimo y seguro sucesor para WEP y WPA, algunos operadores siguen utilizando estos obsoletos estándares para cifrar sus redes inalámbricas, siempre y cuando sean compatibles con el punto de acceso. Es irrelevante si se hace sin intención o por razones de compatibilidad (para garantizar el acceso de los dispositivos más antiguos), pero lo que está claro es que con estos modos las redes están expuestas a un riesgo de accesos no autorizados mucho mayor. Esta negligencia es una de las principales razones de las críticas a la seguridad de las redes wifi. Otros errores que llaman la atención de los atacantes y que, por lo tanto, tienen consecuencias fatales para las redes inalámbricas son, entre otros:

• Introducir los nombres de usuario y contraseñas estándar en Wireless Access Points
• Aceptar configuraciones básicas inseguras en Wireless Access Points
• Una implementación errónea de WPA2 y WPS

Además, aun con la ayuda de las medidas estándar de seguridad wifi mencionadas anteriormente, toda red es vulnerable a ataques DoS y DDoS y a los llamados ataques Evil Twin (gemelo malvado). En este último, con un firmware especial, los atacantes se infiltran en la red creando un Wireless Access Point falso para mantener el contacto con los participantes de la red. El gemelo malvado reacciona creando una solicitud de autenticación falsa para recibir los datos de acceso al dispositivo de red conectado al wifi. Adicionalmente, este asume la dirección MAC del cliente (MAC Spoofing) y de esta forma tiene todos los datos que necesita para establecer la conexión.

La seguridad wifi es cuestión de coherencia¶

Las desventajas en seguridad mencionadas anteriormente demuestran que lo importante es aprovechar al máximo las múltiples posibilidades disponibles para la seguridad de redes wifi. Quien pretenda proteger su red inalámbrica con un cortafuegos y una contraseña se dará cuenta, después de un ataque, de que estas no son las mejores maneras de defenderse. Detrás de la seguridad de una red wifi se encuentran acciones más allá del encendido de un router, de una configuración de cinco minutos y de la búsqueda de una palabra secreta que no sea tan fácil de adivinar, pero tampoco tan difícil de recordar. En otras palabras, invertir grandes esfuerzos en la configuración de la red wifi y en su administración te permitirán asegurar tu red en un futuro.

La base de la seguridad wifi: una correcta configuración¶

El punto de acceso inalámbrico (por lo general un router) es la unidad central de control de la red y la pieza clave del rompecabezas de la seguridad. Esto quiere decir que la configuración de este componente de hardware es un factor determinante para que terceros accedan a tu red inalámbrica en segundos o para que sus acciones se queden en intentos fallidos. A continuación, te mostramos los pasos más importantes de su configuración:

Paso 1. Crear un acceso personalizado como administrador¶

Para poder configurar un punto de acceso se ejecuta el llamado firmware. Este presenta una interfaz de usuario en cualquier navegador de Internet cada vez que se visita la dirección IP del Access Point. El acceso a esta interfaz se logra por medio de una cuenta de administrador que, por defecto, está compuesta por un nombre de usuario y una contraseña. Estos datos de inicio de sesión no son individuales, sino que son iguales para todos los dispositivos de cada modelo y, por lo tanto, son tan simples como p. ej., “admin” (contraseña y nombre de usuario) o “1234”. Así, el primer paso siempre es crear credenciales propias de acceso para la cuenta de administrador. Recuerda escribirlos y guardarlos en un lugar seguro y de ninguna manera almacenarlos en tu ordenador sin la debida protección por contraseña.

Paso 2. Seleccionar WPA2 como método de encriptación¶

Siempre deberás decantarte por WPA2 para cifrar tu red wifi, pues, como mencionamos anteriormente, sus antecesores WPA y WEP ya están obsoletos y su uso significa un aumento del riesgo de seguridad. Las combinaciones mixtas “WPA/WPA2” tampoco son recomendables. Por el contrario, trata de configurar tu wifi con dispositivos que soporten WPA2 y no los viejos métodos de cifrado en la red. Para trabajar con el mecanismo de gestión automático WPS solo es necesario activarlo cuando se requiera.

Paso 3. Crear una contraseña segura para la red wifi¶

Hasta ahora, en WPA2 solo se han presentado ataques contra las contraseñas. Los ataques brute force y los ataques de diccionario son especialmente populares entre los cibercriminales. Es por esto por lo que nunca se debe subestimar el valor de una contraseña compleja para permitir el acceso a la red wifi. Si quieres prevenir los ataques de herramientas que implementan algoritmos de decodificación y listas de palabras, es recomendable que al crear la contraseña de tu wifi utilices el mayor número de caracteres posible, combinando mayúsculas, minúsculas, números y caracteres especiales. Evita palabras muy comunes y trata de distribuir los caracteres de manera aleatoria. Recuerda que no es recomendable almacenar la contraseña de tu red inalámbrica de manera digital, es mejor si la apuntas en un papel y la guardas en un lugar seguro.

Paso 4. Especifica un nombre de red no identificable¶

Una medida de seguridad para tu wifi, que sirve sobre todo para protegerte personalmente, es la formulación de un identificador de conjunto de servicio (SSID) que no sea fácilmente identificable con tu red. El SSID es el nombre de la red y todos los que están en el rango de la señal lo conocen. A no ser que estés ejecutando un punto de acceso público, debes evitar a toda costa datos personales que apunten a ti, a tu empresa o a tu ubicación. Es común que algunos usuarios oculten el nombre de su wifi, pues esto representa una garantía de seguridad. Sin embargo, esta técnica no necesariamente implica un obstáculo para los cibercriminales y, por el contrario, puede dificultar la conexión para los clientes autorizados. En otras palabras, si ocultas el SSID de tu red inalámbrica es posible que algunos dispositivos dejen de ver el punto de acceso y que, por lo tanto, no puedan conectarse.

Paso 5. Activa la actualización automática del firmware¶

Para garantizar una mejor seguridad de tu wifi es obligatorio que el firmware del punto de acceso inalámbrico esté siempre actualizado. Al igual que con cualquier software, los atacantes también pueden aprovecharse de pequeños fallos de seguridad y, por ejemplo, obtener privilegios administrativos o instalar software malicioso. Algunos puntos de acceso cuentan con una función de actualizaciones automáticas para el firmare instalado, función que debes activar sin pensarlo dos veces. Si este no es el caso, debes comprobar periódicamente si hay actualizaciones disponibles para tu dispositivo y descargarlas e instalarlas manualmente.

Optimizar la autenticación con IEEE 802.1X¶

IEEE 802.1X es un concepto de seguridad basado en el puerto que solo permite el acceso a los clientes de conexión una vez han sido revisados y aprobados por un servidor de autenticación (RADIUS). Este se basa en una lista predefinida que informa si el cliente solicitante se puede conectar con el Wireless Access Point. El método de autenticación se basa en el Extensible Authentication Protocol (EAP), también compatible con WPA2. Esta variante también es conocida como WPA2 Enterprise, WPA2-1X o WPA2/802.1X.

Otras medidas significativas de seguridad wifi¶

Si has configurado tu Wireless Access Point como lo recomendamos anteriormente, ya has fijado las bases de la seguridad de tu red wifi. Asegúrate de ajustar el firewall incluido en el Access Point o de configurar uno propio para filtrar conexiones no deseadas. Además, es recomendable que consideres un sistema de detección de intrusos para que puedas detectar y evitar ataques antes de que sea demasiado tarde.

Si deseas proveer clientes con acceso inalámbrico a Internet, debes implementar un SSID separado creado y configurado adicionalmente para la red wifi o LAN de tu lugar de trabajo. Recuerda que, como propietario de una red inalámbrica, eres el responsable del uso de la terminal, por lo que cualquier infracción a los derechos de propiedad intelectual caerá sobre ti. Para estar aún más seguro, debes vigilar constantemente el uso de tu banda ancha y bloquear el acceso a páginas sospechosas en la configuración del router.

Las herramientas específicas que ponen a prueba la seguridad de una red wifi resultan de gran utilidad si operas una red inalámbrica en un entorno profesional. Estos instrumentos simulan ataques informáticos comunes y determinan si las medidas de seguridad utilizadas son eficaces. En este caso también aplica el principio de la totalidad del proceso de seguridad de una red inalámbrica: cuanto más concienzudo y detallado lo hagas, mejor. Es por esto por lo que te recomendamos invertir esfuerzos en

• la configuración del punto de acceso inalámbrico (Wireless Access Point),
• la implementación de componentes de seguridad adicionales como un cortafuegos o un sistema de detección de intrusos (Intrusion Detection System),
• la operación por separado de redes de trabajo y de invitados
• y la comprobación regular de la actualidad y eficiencia de los componentes de red.

De esta forma estarás dificultando el acceso de terceros a tu wifi.