Llegamos a ustedes gracias a:



Reportajes y análisis

Cinco mitos de seguridad Wi-Fi que debe abandonar ahora


[08/11/2013] El Wi-Fi ha evolucionado a lo largo de los años, y también lo han hecho las técnicas para la seguridad de su red inalámbrica. Una búsqueda en Internet podría proporcionar información que es obsoleta y poco segura o impertinente, o que sea solo un mito.
Vamos a separar la señal del ruido y le mostraremos los medios más actuales y eficaces para asegurar su red Wi-Fi.
Mito No. 1: No transmitir el SSID
Cada router inalámbrico (o punto de acceso inalámbrico) tiene un nombre de red asignado. El término técnico es un identificador de conjunto de servicios (SSID, por sus siglas en inglés). Por defecto, un router difunde su SSID en balizas, por lo que todos los usuarios dentro de su área de distribución pueden ver la red en su PC u otro dispositivo.
Evitar que su router transmita esta información y hacerla invisible para la gente que no desea en su red, puede sonar como una buena idea. Sin embargo, algunos dispositivos -incluyendo PC que ejecutan Windows 7 o posterior- seguirán viendo todas las redes existentes, incluso si no se puede identificar a cada una por su nombre, y desenmascarar un SSID oculto es una tarea relativamente trivial. De hecho, intentar ocultar el SSID de esta manera podría despertar el interés de los hackers que merodean el Wi-Fi, al sugerirles que su red puede contener datos sensibles.
Puede evitar que su router incluya su SSID en su transmisión, pero no puede evitar que se incluya esa información en sus paquetes de datos, sus peticiones de asociación/reasociación y sus solicitudes/respuestas de la sonda. Un analizador de red inalámbrica como Kismet o CommView for Wi-Fi, puede arrancar un SSID de las ondas en poco tiempo.
Deshabilitar la difusión del SSID ocultará el nombre de su red para los demás, pero no es ningún obstáculo para cualquier intento de intrusión en la red, ya se trate de un blackhat experimentado o un chico del vecindario que se solo está probando.
Mito No. 2: Habilitar el filtrado de direcciones MAC
Una única dirección Media Access Control (MAC) identifica cada dispositivo en la red. Una dirección MAC es una cadena alfanumérica separada por dos puntos, por ejemplo: 00:02:D1:1A:2D:12. Los dispositivos de red utilizan esta dirección como identificación cuando envían y reciben datos a través de la red. Un mito afirma que la tecnología puede proteger su red y evitar que los dispositivos no deseados se unan al configurar el router para permitir solo los dispositivos con direcciones MAC específicas.
Este analizador de red inalámbrica muestra el SSID oculto de 'cottage111' después de conectar un dispositivo a la red. El analizador captura el SSID de los paquetes de asociación que el dispositivo intercambia con el router.
La creación de estas instrucciones de configuración es fácil, aunque el proceso es tedioso: El usuario determina la dirección MAC de cada dispositivo que desea permitir en la red, y luego debe llenar una tabla en la interfase de usuario del router. Ningún dispositivo con una dirección MAC que no esté en esa tabla será capaz de unirse a la red, incluso si se conoce la contraseña de la red inalámbrica.
Pero no necesita preocuparse por esa operación. Un hacker con un analizador de red inalámbrica podrá ver las direcciones MAC de cada computadora que ha permitido en la red, y puede cambiar la dirección MAC de su computadora para que coincida con la que está en esa tabla que ha creado cuidadosamente. Lo único que habrá logrado siguiendo este procedimiento es perder algo de tiempo -a menos que piense que tener una lista completa de las direcciones MAC de los clientes de red sería útil para otros fines.
El filtrado de dirección MAC pueden ayudarle a bloquear a las personas 'normales' para que no se conecten al router desde una computadora u otro dispositivo no autorizado, pero no va a detener a un hacker decidido. Esto hará que su red sea más difícil para los usuarios legítimos, debido a que tendrá que configurar el router cada vez que añada un nuevo dispositivo o le proporcione acceso temporal a un invitado.
Mito No. 3: Límitaerel conjunto de direcciones IP del router
Cada dispositivo de la red debe ser identificado por una dirección única de protocolo de Internet (IP). Una dirección IP asignada por el router contendrá una cadena de dígitos como este: 192.168.1.10. A diferencia de una dirección MAC, que el dispositivo envía al router, el router utilizará su servidor de protocolo de configuración dinámica de host (DHCP, por sus siglas en inglés) para asignar y enviar una dirección IP única para cada dispositivo que se una a la red. Según un mito persistente en tecnología, se puede controlar el número de dispositivos que pueden conectarse a la red mediante la limitación de la reserva de direcciones IP que el router puede generar -un rango de 192.168.1.1 a 192.168.1.10, por ejemplo. Eso no tiene sentido, por la misma razón que sigue a continuación.
Un analizador de red inalámbrica escanea las ondas y muestra las direcciones MAC de los routers inalámbricos y puntos de acceso de la red, así como todas las computadoras y otros dispositivos conectados a ella.
 
Mito No. 4: Inhabilitar el servidor DHCP de su router
La lógica defectuosa detrás de este mito afirma que puede proteger su red mediante la desactivación del servidor DHCP del router, y asignar manualmente la dirección IP a cada dispositivo. Supuestamente, cualquier dispositivo que no tenga una de las direcciones IP que ha asignado no podrá conectarse a la red. En este escenario, debe crear una tabla que consta de las direcciones IP y los dispositivos que están asignados, como lo haría con una dirección MAC. También necesitará configurar cada dispositivo de forma manual para utilizar su dirección IP especificada.
Desactivar el servidor DHCP del router y limitar manualmente el número de direcciones IP que pueda asignar, no son procedimientos eficaces de seguridad.
 
La debilidad que niega estos procedimientos es que si un hacker ya ha penetrado en la red, un escaneo rápido de IP puede determinar las direcciones IP que utiliza la red. El hacker puede asignar manualmente una dirección compatible con un dispositivo con el fin de tener acceso completo a la red. Al igual que con el filtrado de direcciones MAC, el principal efecto de la limitación de direcciones IP (o asignarlas de forma manual) es complicar el proceso de conexión de nuevos dispositivos a su red.
Mito No. 5: Las redes pequeñas son difíciles de penetrar
Este mito sugiere que la reducción de la potencia de transmisión de su router inalámbrico hará que sea más difícil que alguien fuera de su casa o lugar de trabajo se pueda colar en la red, ya que no será capaz de detectarla. Esta es la idea de seguridad más estúpida de todas. Cualquier intento de craqueo de la red inalámbrica utilizará una antena grande para captar las señales de su router. La reducción de la potencia de transmisión del router solo reducirá su alcance y la eficacia de los usuarios legítimos.
Esta aplicación de escaneo revela todas las direcciones IP que se utilizan en una red inalámbrica.
 
No mito: El cifrado es la mejor seguridad de la red
Ahora que nos hemos deshecho de cinco mitos de seguridad Wi-Fi, vamos a discutir la mejor manera de asegurar su red inalámbrica: La encriptación. También llamado cifrado, básicamente revolver los datos que viajan a través de la red es una poderosa forma de evitar que los intrusos accedan a los datos en una forma significativa. A pesar de que pueden tener éxito en interceptar y capturar una copia de la transmisión de datos, no serán capaces de leer la información, capturar sus contraseñas de inicio de sesión, o apropiarse de sus cuentas a menos que tengan la clave de cifrado.
WPA2, con una clave cifrada AES previamente compartida, es un protocolo de seguridad efectivo para las redes domésticas.
Existen varios tipos de cifrado que han surgido en los últimos años. Wired Equivalent Privacy (WEP) proporcionaba la mejor seguridad en los primeros días del Wi-Fi. Sin embargo, el cifrado WEP puede actualmente ser violado en cuestión de minutos. Si esa es la única seguridad que proporciona su router, o si algunos de sus dispositivos de red son tan viejos que pueden trabajar solo con WEP, debería haberlos reciclado y actualizado a un nuevo estándar hace mucho tiempo.
WiFi Protected Access (WPA) vino después, pero ese protocolo de seguridad tuvo problemas de seguridad también, y ha sido reemplazado por el WPA2. WPA2 ha existido por casi 10 años. Si su equipo es lo suficientemente mayor como para limitarse a la seguridad WPA, debe considerar una actualización.
Tanto WPA como WPA2 tienen dos modos diferentes: Personal (también conocido como PSK, un acrónimo de Pre-Shared Key) y Enterprise (también conocido como RADIUS, un acrónimo de autenticación remota telefónica de usuario del servidor). WPA Personal está diseñado para uso en el hogar y es fácil de configurar. Solo tiene que establecer una contraseña en el router y luego introducir esa contraseña en todas las computadoras y otros dispositivos que desee conectar a la red Wi-Fi. Siempre y cuando utilice una contraseña segura -recomiendo el uso de 13 o más caracteres en mayúsculas y minúsculas y símbolos- debe estar bien. No utilice palabras que se encuentren en el diccionario, nombres propios, nombres de personas, los nombres de sus mascotas, ni nada de eso. Una contraseña segura podría tener este aspecto: h&5U2v$(q7F4*.
Su router puede incluir un elemento de seguridad de botón denominado WiFi Protected Setup (WPS). WPS le permite añadir un dispositivo a su red inalámbrica segura WPA2-pulsando un botón en el router y un botón en el cliente (si el cliente también es compatible con WPS). Una falla en WPS hace que sea vulnerable a los ataques de fuerza bruta, sin embargo. Si es particularmente consciente de la seguridad, podría considerar la posibilidad de apagar WPS en el router.
En modo Enterprise, WPA2 está diseñado para redes gestionadas por empresas y organizaciones. Proporciona un nivel de seguridad más alto que WPA, pero requiere un servidor RADIUS o un servicio RADIUS alojado.
Ahora que conoce la mejor manera de asegurar su red, dedíquele unos minutos, asegurándose de que el router esté configurado correctamente.
Eric Geier, PC World (EE.UU.)