Seguridad WLAN: aprende a fortalecer tu red inalámbrica

Independientemente de si se trata de una red privada o corporativa, garantizar su seguridad debe ser siempre una prioridad. Por su naturaleza, las redes tradicionales con conductos y cables cuentan con cierto grado de protección contra ataques externos. Sin acceso físico a las líneas que, lógicamente, se extienden por el interior de un edificio, los extraños no pueden escuchar la información o acceder a los datos.

Quien quiera aprovechar las posibilidades prácticas de una red inalámbrica se enfrenta a un problema de seguridad mucho mayor. Aquí no se habla de un medio de transmisión por cable, sino del espacio libre, cuyo alcance no se mide por la longitud del cable sino por la fuerza de la red inalámbrica. Para que una persona sin escrúpulos pueda interceptar estas señales y acceda a los datos de una red inalámbrica de área local (WLAN) solo se necesita un aparato receptor. Así, y para hacer uso de los beneficios de la comunicación inalámbrica sin preocupaciones, es importante garantizar la seguridad WLAN.

Wireless Local Area Network, Wireless LAN o WLAN es el término en inglés para designar una red de área local inalámbrica. Este tipo de redes se utilizan, principalmente, cuando el cableado de los dispositivos de red no es posible, es muy difícil de realizar o está asociado a un alto esfuerzo, aunque también por pura comodidad. Está particularmente extendida en el espacio privado, donde representa una excelente solución para que haya Internet en todas las habitaciones de una vivienda sin necesidad de conectar cables. Las redes inalámbricas también resultan muy útiles en las oficinas, especialmente cuando hay que conectar un gran número de dispositivos como ordenadores portátiles, smartphones o tablets.

Existen tres modos diferentes de operar una red inalámbrica:

• Modo infraestructura: la estructura de este modo es similar a la de una red móvil. Un punto de acceso inalámbrico (Wireless Access Point) es el responsable de la coordinación de todos los participantes de la red y envía pequeños paquetes de datos con información sobre el nombre de la red, las tasas de transmisión soportadas o el tipo de cifrado. El punto de acceso inalámbrico es, a menudo, un router.

• Wireless Distribution System: debido a que Ethernet y WLAN utilizan el mismo modo de direccionamiento, es posible conectarse a las redes cableadas (u otras redes inalámbricas) sin complicaciones a través del punto de acceso inalámbrico. De esta forma, puedes enlazar estas redes y aumentar, por ejemplo, su alcance. Es por esto que se habla de un Wireless Distribution System (en español, un sistema inalámbrico de distribución).

• Ad hoc Modus: en las redes ad hoc no existe una instancia de control central, por lo que los respectivos terminales deben encargarse por sí mismos de la coordinación. Estas redes se utilizan para la comunicación rápida y directa entre los participantes individuales. Sin embargo, el uso de este modo no está muy extendido, pues las tecnologías alternativas como el Bluetooth se utilizan mucho más.

Las especificaciones para la comunicación en redes inalámbricas son definidas por la norma IEEE 802.11 del Institute of Electrical and Electronics Engineers (IEEE), cerca de Nueva York. Sin embargo, a la hora de definir los estándares WLAN, no se prestó mucha atención a la seguridad. En sus inicios, la transmisión de datos se realizaba sin cifrar y sin necesidad de una autenticación de usuario, permitiendo que todo el que se encontrara dentro de su alcance tuviera libre acceso a la red inalámbrica. En última instancia, la demanda de medidas de seguridad WLAN favoreció el desarrollo de los siguientes métodos de cifrado y autenticación:

• Wired Equivalent Privacy (WEP): creado en 1997, WEP es el estándar de cifrado inalámbrico más antiguo. Dispone de dos métodos de autenticación: Open System Authentication (todos los clientes están habilitados) y Shared Key Authentication (activación a través de la contraseña). Adicionalmente, WEP contiene el método de cifrado RC4. Debido a algunos puntos débiles, WEP es considerado como inseguro y obsoleto.

• Wi-Fi Protected Access (WPA): WAP se basa en la arquitectura WEP y fue diseñado para erradicar las debilidades de este último. Para lograrlo, WPA utiliza una clave dinámica basada en el Temporal Key Integrity Protocol (TKIP). Debido a que WPA tiene ciertas deficiencias de seguridad, no está permitido que nuevos puntos de acceso inalámbrico (desde 2011) y todos los dispositivos WLAN (desde 2012) lo utilicen.

• Wi-Fi Protected Access 2 (WPA2): en 2004, aparece el estándar IEEE 802.11i junto con el método de cifrado y autenticación actual más seguro: WPA2. En vez de utilizar TKIP, WPA2 utiliza el moderno método de cifrado AES. Como consecuencia, al configurar un WLAN siempre deberás considerar WPA2 antes que WEP y WPA.

• Wi-Fi Protected Setup (WPS): el estándar WPS no es una técnica de transmisión o cifrado, sino un mecanismo de gestión que tiene como objetivo facilitar la configuración de nuevos participantes en la red inalámbrica. La autenticación se realiza pulsando un botón (WPS-PBC), es decir, físicamente desde el punto de acceso o virtualmente a través de un botón implementado en el software, o ingresando un PIN (WPS-PIN). Alternativamente existe la oportunidad de compartir la configuración de red en una memoria USB o por medio de la tecnología NFC (Tecnología de radio de corto alcance).

Aunque WPA2 representa un legítimo y seguro sucesor para WEP y WPA, algunos operadores siguen utilizando estos obsoletos estándares para cifrar sus redes inalámbricas, siempre y cuando sean compatibles con el punto de acceso. Es irrelevante si se hace sin intención o por razones de compatibilidad (para garantizar el acceso de los dispositivos más antiguos), pero lo que está claro es que con estos modos las redes están expuestas a un riesgo de accesos no autorizados mucho mayor. Esta negligencia es una de las principales razones de las críticas a la seguridad de las redes inalámbricas. Otros errores que llaman la atención de los atacantes y que, por lo tanto, tienen consecuencias fatales para las redes inalámbricas son, entre otros:

• Introducir los nombres de usuario y contraseñas estándar en Wireless Access Points

• Aceptar configuraciones básicas inseguras en Wireless Access Points

• Una implementación errónea de WPA2 y WPS

Además, aun con la ayuda de las medidas estándar de seguridad WLAN mencionadas anteriormente, toda red inalámbrica es vulnerable a ataques DoS y DDoS y a los llamados ataques Evil Twin (gemelo malvado). En este último, con un firmware especial, los atacantes se infiltran en la red creando un Wireless Access Point falso para mantener el contacto con los participantes de la red. El gemelo malvado reacciona creando una solicitud de autenticación falsa para recibir los datos de acceso al dispositivo de red conectado al WLAN. Adicionalmente, este asume la dirección MAC del cliente (MAC Spoofing) y de esta forma tiene todos los datos que necesita para establecer la conexión. Especialmente las redes WLAN de acceso público suelen estar bajo la amenaza de este tipo de ataques.

Las desventajas en seguridad mencionadas anteriormente demuestran que lo importante es aprovechar al máximo las múltiples posibilidades disponibles para la seguridad de redes inalámbricas. Quien pretenda proteger su red inalámbrica con un cortafuegos y una contraseña se dará cuenta, después de un ataque, de que estas no son las mejores maneras de defenderse. Detrás de la seguridad de una red inalámbrica se encuentran acciones más allá del encendido de un router, de una configuración de cinco minutos y de la búsqueda de una palabra secreta que no sea tan fácil de adivinar pero tampoco tan difícil de recordar. En otras palabras, invertir grandes esfuerzos en la configuración WLAN y en su administración, te permitirán asegurar tu red en un futuro.

El punto de acceso inalámbrico (por lo general un router) es la unidad central de control de la red y la pieza clave del rompecabezas de la seguridad. Esto quiere decir que la configuración de este componente de hardware es un factor determinante para que terceros accedan a tu red inalámbrica en segundos o para que sus acciones se queden en intentos. A continuación te mostramos los pasos más importantes de su configuración:

Paso 1: Crear un acceso personalizado como administrador

Para poder configurar un punto de acceso se ejecuta el llamado firmware. Este presenta una interfaz de usuario en cualquier navegador de Internet cada vez que se visita la dirección IP del Access Point. El acceso a esta interfaz se logra por medio de una cuenta de administrador que, por defecto, está compuesta por un nombre de usuario y una contraseña. Estos datos de inicio de sesión no son individuales, sino que son iguales para todos los dispositivos de cada modelo y, por lo tanto, son tan simples como p. ej., “admin” (contraseña y nombre de usuario) o “1234”. Así, el primer paso siempre es crear credenciales propias de acceso para la cuenta de administrador. Recuerda escribirlos y guardarlos en un lugar seguro y de ninguna manera almacenarlos en tu ordenador sin la debida protección por contraseña.

Paso 2: Seleccionar WPA2 como método de encriptación

Siempre deberás decantarte por WPA2 para cifrar tu red inalámbrica, pues, como mencionamos anteriormente, sus antecesores WPA y WEP ya están obsoletos y su uso significa un aumento del riesgo de seguridad. Las combinaciones mixtas “WPA/WPA2” tampoco son recomendables. Por el contrario, trata de configurar tu WLAN con dispositivos que soporten WPA2 y no los viejos métodos de cifrado en la red. Para trabajar con el mecanismo de gestión automático WPS solo es necesario activarlo cuando se requiera.

Paso 3: Crear una contraseña WLAN segura

Hasta ahora, en WPA2 solo se han presentado ataques contra las contraseñas. Los ataques de fuerza bruta y los ataques de diccionario son especialmente populares entre los cibercriminales. Es por esto que nunca se debe subestimar el valor de una contraseña WLAN compleja. Si quieres prevenir los ataques de herramientas que implementan algoritmos de decodificación y listas de palabras, es recomendable que al crear la contraseña de tu WLAN utilices el mayor número de caracteres posible, combinando mayúsculas, minúsculas, números y caracteres especiales. Evita palabras muy comunes y trata de distribuir los caracteres de manera aleatoria. Recuerda que no es recomendable almacenar la contraseña de tu red inalámbrica de manera digital, es mejor si la apuntas en un papel y la guardas en un lugar seguro.

Paso 4: Especifica un nombre de red no identificable

Una medida de seguridad para tu WLAN, que sirve sobre todo para protegerte personalmente, es la formulación de un identificador de conjunto de servicio (SSID) que no sea fácilmente identificable con tu red. El SSID es el nombre de la red y todos los que están en el rango de la señal lo conocen. A no ser que estés ejecutando un punto de acceso público, debes evitar a toda costa datos personales que apunten a ti, a tu empresa o a tu ubicación. Es común que algunos usuarios oculten el nombre de su WLAN, pues esto representa una garantía de seguridad. Sin embargo, esta técnica no necesariamente implica un obstáculo para los cibercriminales y, por el contrario, puede dificultar la conexión para los clientes autorizados. En otras palabras, si ocultas el SSID de tu red inalámbrica es posible que algunos dispositivos dejen de ver el punto de acceso y que, por lo tanto, no puedan conectarse. 

Paso 5: Activa la actualización automática del firmware

Para garantizar una mejor seguridad de tu WLAN es obligatorio que el firmware del punto de acceso inalámbrico esté siempre actualizado. Al igual que con cualquier software, los atacantes también pueden aprovecharse de pequeños fallos de seguridad y, por ejemplo, obtener privilegios administrativos o instalar software malicioso. Algunos puntos de acceso cuentan con una función de actualizaciones automáticas para el firmare instalado, función que debes activar sin pensarlo dos veces. Si este no es el caso, debes comprobar periódicamente si hay actualizaciones disponibles para tu dispositivo y descargarlas e instalarlas manualmente.

IEEE 802.1X es un concepto de seguridad basado en el puerto que solo permite el acceso a los clientes de conexión una vez han sido revisados y aprobados por un servidor de autenticación (RADIUS). Este se basa en una lista predefinida que le informa si el cliente solicitante se puede conectar con el Wireless Access Point. El método de autenticación se basa en el Extensible Authentication Protocol (EAP), también compatible con WPA2. Esta variante también es conocida como WPA2 Enterprise, WPA2-1X o WPA2/802.1X.

Si has configurado tu Wireless Access Point como lo recomendamos anteriormente, ya has fijado las bases de la seguridad de tu red inalámbrica. Dependiendo de la aplicación, también hay algunas tareas por hacer después de la configuración. Debido a que la mayoría de las redes WLAN están conectadas a otra red, más específicamente a Internet, asegúrate de ajustar el firewall incluido en el Access Point o de configurar uno propio para filtrar conexiones no deseadas. Además, es recomendable que consideres un sistema de detección de intrusos para que puedas detectar y evitar ataques antes de que sea demasiado tarde.

Si deseas proveer clientes con acceso inalámbrico a Internet, debes implementar un SSID separado creado y configurado adicionalmente para la red WLAN o LAN de tu lugar de trabajo. Recuerda que, como propietario de una red inalámbrica, eres el responsable del uso de la terminal, por lo que cualquier infracción a los derechos de propiedad intelectual caerá sobre ti. Para estar aún más seguro, debes vigilar constantemente el uso de tu banda ancha y bloquear el acceso a páginas sospechosas en la configuración del router.

Las herramientas específicas que ponen a prueba la seguridad de un WLAN resultan de gran utilidad si operas una red inalámbrica en un entorno profesional. Estos instrumentos simulan ataques informáticos comunes y determinan si las medidas de seguridad utilizadas son eficaces. En este caso también aplica el principio de la totalidad del proceso de seguridad de una red inalámbrica: cuanto más concienzudo y detallado lo hagas, mejor. Es por esto que te recomendamos invertir esfuerzos en

• la configuración del punto de acceso inalámbrico (Wireless Access Point),

• la implementación de componentes de seguridad adicionales como IEEE 802.1X, un cortafuegos o un sistema de detección de intrusos (Intrusion Detection System),

• la operación por separado de redes de trabajo y de invitados

• y la comprobación regular de la actualidad y eficiencia de los componentes de red.

De esta forma estarás dificultando el acceso de terceros a tu WLAN.