Te en
cuentras cómodamente en el salón de tu casa, dispuesto a que salga humo de tu tarjeta de crédito haciendo compras en tu tienda online favorita, y como aliciente más para tu comodidad estás tirado en tu sofá preferido conectado al router con tu portátil a través de la red Wi-Fi. ¿Te has planteado si tienes una conexión que te brinde la seguridad suficiente para no ser víctima de intrusismo o ataque a tu red?
Por su naturaleza inalámbrica, se encuentra expuesta a diversas amenazas de seguridad adicionales a las de cualquier red o conexión convencional (por cable). El tráfico de datos entre el dispositivo inalámbrico (Portatil, PDA, smartphone, etc.) y el router o punto de acceso (AP) se transmite por el aire, hecho que puede aprovechar alguien para fácilmente “escuchar”, capturando y manipulando tus datos.
Por ello, en el caso de una red Wi-Fi doméstica es muy práctico complementar los habituales consejos de seguridad con una adicional serie de recomendaciones que permitan, proteger la red.
Es importante señalar que, aunque la mayoría de estas medidas no inhiben del acceso ilegítimo a nuestra red, realizan una función disuasoria. Configurando la misma de forma que sea “incómoda” de atacar, puede hacer que el atacante redirija la atención hacia otros objetivos más fáciles.
Algunas de las medidas básicas a tomar para proteger una red Wi-Fi son las siguientes:
Administración del router: los routers son comercializados con una cuenta de administración que permite modificar los parámetros del equipo, estando el acceso protegido con un usuario y contraseña. Cada fabricante establece unos valores por defecto ampliamente conocidos, por lo cual resulta indispensable cambiarlos para evitar intrusismo en la configuración del router.
Cifrado de la información: lo más importante para asegurar la seguridad de la red inalámbrica. Al ser el medio por donde se transmite la información público (el aire), es imprescindible cifrar dicha información. Los algoritmos WEP (muchos routers inalámbricos siguen presentando como opción por defecto) es altamente vulnerable en cuestión de segundos, desaconsejando encarecidamente su uso. Si todos los dispositivos de la red Wi-Fi lo permiten, deben utilizarse WPA2 o, al menos, WPA.
SSID broadcast: el SSID (Service Set Identifier) es el nombre que identifica la red Wi-Fi y que usan los dispositivos para determinar la red a la que conectarse. Los routers normalmente anuncian el SSID de la red a intervalos regulares, para que pueda ser identificada por nuevos dispositivos que quieran unirse. Este funcionamiento por defecto está pensado para entornos móviles y de negocios, siendo innecesario en un entorno doméstico, por lo que es conveniente su deshabilitación, haciendo más difícil que un atacante pueda identificar la red.
Filtrado MAC: Toda tarjeta de red se identifica de modo único a través de un número denominado dirección MAC. Muchos routers pueden filtrar las conexiones en función de la dirección MAC del dispositivo, estableciendo así un listado de dispositivos con permiso para conectarse.
Rango de direccionamiento IP: Por regla general, los routers ADSL comerciales vienen configurados por defecto con un rango de direccionamiento privado para su asignación por DHCP a los equipos conectados a la red. Dicho rango es similar en todos los casos y bien conocido por los atacantes. Hacer cambios en la configuración por defecto y utilizando un rango privado diferente se introduce una dificultad adicional en el intento de ataque.
Configuración DHCP: el protocolo DHCP (Dynamic Host Configuration Protocol) se emplea para asignar de forma dinámica y automática direcciones IP y otros elementos de configuración a los ordenadores de la red.
En una red doméstica inalámbrica o por cable que utilice un router ADSL, la configuración más habitual es que el propio router ejerza la función de servidor DHCP. De este modo, cualquier ordenador que se conecte con el router recibirá automáticamente una dirección IP y otros datos de configuración, sin necesidad de que el usuario los conozca. Esta funcionalidad es cómoda para el usuario, permite la rápida conexión de nuevos dispositivos y evita que se produzca duplicación de direcciones IP. Sin embargo, es posible que un atacante reciba también la información necesaria para conectarse a dicha red, por lo que es aconsejable deshabilitar el uso del protocolo DHCP. Esta medida obliga al atacante a descubrir y configurar los datos de la red necesarios para la conexión, dificultando el proceso de ataque.
Un mecanismo alternativo, que ofrece un compromiso entre seguridad y facilidad de uso, es mantener habilitada la funcionalidad DHCP, pero haciendo una limitación del rango de direcciones IP que pueden asignarse.
Tiempo de conexión: Un objetivo de los atacantes de redes inalámbricas es la obtención de una conexión que le permita acceder a Internet de forma continua y gratuita. Una medida disuasoria ante este tipo de atacantes es activar la red inalámbrica sólo cuando se vaya a utilizar; así se convertirá en un objetivo menos atractivo.