Cuando aparecieron las redes WiFi, nos preocupaba mucho (y con justificada razón) la seguridad de las transmisiones en las redes inalámbricas. Actualmente ya no se habla mucho acerca de eso ¿significa que podemos dejar de preocuparnos?
La respuesta es: depende. Riesgos todavía existen, pero también ahora disponemos de tecnologías que nos protegen mejor, y con mayor facilidad. Vamos a examinar algunas de estas.
¿Qué riesgo existe?
Empecemos por decir que "la seguridad perfecta no existe". En el mundo de la seguridad informática, nuestra labor siempre consiste en evaluar el nivel de riesgo y mitigarlo hasta llevarlo a niveles aceptables; niveles que estemos dispuestos a asumir. Las redes inalámbricas no son la excepción. La señal WiFi se "escapa" de tu oficina, tu casa, tu escuela y llega a la casa/oficina/instalaciones del vecino, que podría estar interesado en hacer muchas cosas con tu red y tu información.
Robo de información, uso de nuestra red para actividades ilícitas, extorsión, robo de identidad, son algunas de las cosas que podría teóricamente hacer un intruso que tuviera acceso a nuestra red pero, vamos ¿qué tan probable es enfrentarse a eso?
Por otra parte, las redes WiFi nos dan una flexibilidad sin igual tanto para fines de trabajo como de entretenimiento. Hace algunos años cuando recibíamos visitas en la casa les ofrecíamos algo de beber. ¡Ahora les ofrecemos la contraseña del WiFi!
Entonces, no se trata de cancelar el uso del WiFi, sino de usarlo con las debidas precauciones.
¿Cómo protegernos?
En el mundo físico, así como en el mundo virtual, las medidas de protección deben ser acordes con el nivel de riesgo estimado y con el presupuesto para desplegarlas. Algunas tecnologías son demasiado costosas para instalarlas en la casa de cada empleado que hace Home Office, pero se justifican sin pensarlo mucho en una oficina. Otras tecnologías se han abaratado tanto que, no usarlas sería verdaderamente irresponsable.
Por otra parte, el concepto de "Defensa a Fondo" en seguridad informática significa que no debemos depender de un único mecanismo de protección, sino que debemos tener varios, por si alguno falla.
En consecuencia, las recomendaciones serán diferentes si estamos tratando de proteger una oficina, un auditorio, un hotel, un ciber-café o nuestra casa, pero un poco de sentido común puede ayudarnos a encontrar el nivel de protección apropiado, con un costo aceptable.
Recomendación #1 - Mejorar la Tecnología Inalámbrica
Existen múltiples tecnologías de protección incorporadas a los protocolos WiFi pero, ¿las estás usando? ¿Tal vez estás usando el mismo equipo de hace 10 años con lo que se consideraba la mejor protección... hace 10 años?
- WEP - Wired Equivalent Privacy. Desaconsejado. Es casi trivial romper la protección, haciendo una captura de tráfico.
- WPA - Wireless Protected Access. Desaconsejado. Durante un tiempo ofreció mejor protección que WEP, al rotar las llaves de encripción, pero fue rápidamente reemplazado por algo mejor: WPA2
- WPA2 - Incorporado al estándar 802.11I del IEEE. Es probablemente la tecnología más extendida actualmente (2021). Tiene dos modos de operación: "personal-PSK" y "enterprise". El algoritmo de encripción AES utilizado en ambos modos sigue siendo considerado muy robusto, pero el modo "personal" ya no. El modo personal es susceptible de ser atacado mediante tramas de control que provocan una des-asociación (desconexión) de los clientes inalámbricos para que el atacante capture los paquetes que se intercambian durante la re-asociación y pueda romper la protección por contraseña. PSK: pre-shared Key = contraseña compartida. Una vez que la conoce el atacante, ya no hay protección. El modo "enterprise" ofrece una protección mucho más robusta, que todavía no ha sido comprometida, pero requiere un servidor de autentificación (con un protocolo como RADIUS o TACACS+). El modo "enterprise" sigue considerándose seguro, pero el costo del servidor adicional provoca que probablemente sólo se justifique en ambientes de oficina.
- WPA3 - Apareció en el 2018, publicado por la "Alianza WiFi" (sin corresponderse con un estándar del IEEE). Ofrece la mejor seguridad posible, con los mismos dos modos de operación que WPA2: modo "personal" y modo "enterprise". WPA3 encripta las tramas de control, volviendo imposible los ataques que funcionaban con WPA2 en modo personal. El modo "enterprise" incrementa la seguridad en varios órdenes de magnitud.
¿La conclusión? Si tu tecnología inalámbrica no soporta WPA3, es hora de considerar renovarla. Esta es probablemente la mejor acción individual que puedes tomar. Sin embargo, toma en cuenta que pueden existir equipos "antiguos" que necesiten conectarse a la red WiFi (impresoras, equipos IoT, smartphones, etc.) pero que no soporten WPA3 y no puedan actualizarse al nuevo protocolo. Si bien es posible hacer coexistir WPA3 con WPA2, esto erosiona buena parte de la protección.
Recomendación #2 - Hacer autentificación de usuarios
Tecnologías como WPA2 y WPA3 en modo "enterprise" te permiten autentificar a los usuarios individuales, generando credenciales de acceso personales (usuario y contraseña). Esto siempre es mejor que tener una contraseña compartida como es el caso en el modo "personal" de dichas tecnologías. La fortaleza de la encripción inalámbrica mejora dramáticamente cuando cada usuario tiene una contraseña distinta.
También se puede tener una página web funcionando como "portal cautivo" para autentificar huéspedes, comensales o visitantes de un hotel, restaurante o empresa. ¡Defensa a fondo!
Recomendación #3 - Usar contraseñas robustas
Todos los sistemas de seguridad basados en autentificar usuarios por medio de contraseñas son susceptibles de ataques "de diccionario" o "por fuerza bruta" en donde un robot intenta probar contraseñas desde una lista de palabras, o combinaciones de caracteres o combinaciones de palabras. La única protección posible ante estos ataques es hacer más larga y más difícil de adivinar la clave, de manera que un ataque por fuerza bruta deba durar años (¡si! ¡años!) para tener éxito.
Contraseñas con más de 12 caracteres, con combinaciones de mayúsculas, minúsculas, números, signos de puntuación son las mejores... pero también son dificilísimas de recordar. Una aplicación de tipo "libreta de passwords" se vuelve necesaria para administrar dichas contraseñas.
¿Llegaremos alguna vez a un mundo sin contraseñas? Hay quien dice que sí, pero todavía estamos lejos de ese lugar, así que ¡a endurecer los passwords!
Recomendación #4 - Habilitar encripción en todas partes
Siempre debería ser preferible el uso de protocolos con encripción nativa: HTTPS en lugar de HTTP, SSH en lugar de Telnet, etc. En otras palabras, si vas a usar una red inalámbrica riesgosa, no transmitas información en "texto claro". Mejor aún, siempre usa encripción en tus comunicaciones, así como para proteger los archivos (cifrado) de tu laptop, tablet, smartphone, etc.
Recomendación #5 - Medidas de protección en la infraestructura
Si bien, su costo es alto, en redes corporativas puede justificarse más fácilmente la instalación de equipos con funcionalidades de protección avanzada. Equipos como IDS (Intrusion Detection Systems), Firewalls, etc. pueden mejorar enormemente la protección en la red. Funcionalidades como DHCP Snooping, Dynamic ARP Inspection, Port-Security en los switches LAN ponen controles automatizados que elevan la protección de la red. La buena noticia es que, salvo en las gamas más bajas de equipos de infraestructura, muchas de esas funcionalidades ya están disponibles en los equipos que tiene la red y sólo es cosa de saber cómo configurarlas.
Recomendación #6 - Aislar las redes inalámbricas
Si todas las medidas anteriores parecen insuficientes, tal vez estés manejando información crítica que no deba transmitirse en redes inalámbricas. Para no sacrificar la flexiilidad que te dan las tecnologías WiFi, una posible medida de protección podría ser instalar la red inalámbrica como una red completamente aislada, con acceso a Internet pero sin conexión directa a la red de la organización.
¿Suena como el nivel de protección de la red de un Cyber-café? Si. Pero es una red bajo tu control, en la que puedes hacer vigilancia. Es como estar conectado a Internet a través de una red pública, pero en la oficina. Puedes combinarla con restricciones sobre el tipo de información a la que tienen acceso los empleados que hacen Home Office. Mejor aún, ¡los usuarios de tu red no tendrán que salir de la oficina e irse a trabajar a un café internet! (esto llega a suceder, por absurdo que parezca).
Recomendación #7 - Hacer vigilancia proactiva en la red
Vigilar los dispositivos conectados, revisar las bitácoras, hacer detección de intrusiones, automatizar la generación de alertas ante discrepancias, todo esto debería ser parte de la administración cotidiana de la seguridad de la red. Esto aplica también a las redes no-inalámbricas. La vigilancia de la red debe formar parte de los procesos de seguridad informática.
Desgraciadamente, para organizaciones pequeñas este tipo de vigilancia puede resultar prohibitivamente caro. Contar con un Centro de Operaciones de Ciberseguridad (Security Operations Center - SOC), puede representar un costo alto frente al riesgo percibido. Sin embargo, las organizaciones crecen y llega un momento en el que el costo de los incidentes de seguridad supera con mucho al costo de las medidas de protección. ¡Hay que saber tomar la decisión a tiempo!
Recomendación #8 - Desconfiar de las redes abiertas
¿Quién desprecia un regalo? Si en el centro comercial, en el restaurante, en el metro, en el parque te dan acceso WiFi gratuito ¿porqué no usarlo? De acuerdo, úsalo, pero con precaución. Toma en cuenta que probablemente estarás compartiendo datos personales con el proveedor de servicio ¿qué destino tendrán tus datos? ¿Quién los maneja? ¿Cómo se protegen?
Por otra parte, las redes abiertas usualmente no implementan encripción, para facilitar la conexión y el uso de las mismas. Entonces: ¡haz tu propia encripción! Sólo usa aplicaciones que transmitan sus datos en forma cifrada. No hagas uso de aplicaciones que manejen información sensible o confidencial cuando estés en esas redes. Por ejemplo: usar Google Maps en una red abierta probablemente sea una actividad de bajo riesgo y con altísimos beneficios. Usar tu aplicación de banca electrónica en una red abierta probablemente sea mala idea, por el tipo de información que manejarías. Mejor espérate a llegar a casa. Mejor aún: en esos casos puedes usar el servicio de datos móviles de tu smartphone, que es más difícil de interceptar que tu conexión WiFi.
Recomendación #9 - Usar un servicio VPN de confianza
Un servicio VPN (Virtual Private Network) establecerá una conexión cifrada entre tu laptop/tablet/smartphone y un equipo "terminador". El terminador VPN más confiable es probablemente el de tu compañía, cuando tu empresa decide instalar un Firewall con esas capacidades para recibir las conexiones de los usuarios móviles o remotos (Home Office).
Usar un proveedor comercial de servicios VPN puede parecer buena idea, y de hecho protegería tus comunicaciones en la zona inalámbrica. Sin embargo, una vez que tus paquetes de datos llegan al "terminador" de la conexión VPN, que puede estar en otro país, tus datos se desencriptan y se envían a Internet. ¿Podría el proveedor de servicio estar espiando tus comunicaciones? ¿Podría un atacante introducirse a la infraestructura del proveedor y ponerse a espiar tus comunicaciones? Toma en cuenta que si el servicio VPN comercial es de bajo costo, su seguridad probablemente también lo será.
Recomendación #10 y Conclusión - ¡Usar el sentido común!
Finalmente, podemos decir que muchos riesgos pueden minimizarse con el simple uso del sentido común. Debemos acostumbrarnos a re-examinar con ojo crítico lo que hacemos en las redes inalámbricas y actuar en consecuencia.
Desconfiar de las redes abiertas, mantener actualizada la tecnología, reaccionar ante las advertencias que puedan surgir, usar defensa a fondo son comportamientos y actitudes que pueden mejorar enormemente nuestra protección.
Ninguna tecnología puede darte protección perfecta, no importa lo que digan los fabricantes.
"La seguridad está en la manera de hacer las cosas" (Marco González).