Una de las medidas que podemos adoptar para mejorar la seguridad de nuestra red wifi, es cambiar los datos de acceso a nuestro router inalámbrico. Muchos routers se quedan instalados con las opciones de fábrica, donde el nombre de usuario y contraseña puede ser algo tan difícil de adivinar como «admin» y «admin», o «admin» y «1234», o cualquier otra combinación poco segura.
Para un atacante, averiguar las credenciales por defecto de nuestro router es tan sencillo como buscarlas en internet, ya que existen recopilaciones donde se detallan las contraseñas de gran cantidad de routers.
En cuanto al establecimiento del protocolo de seguridad, ya hemos visto que el protocolo WEP está obsoleto, debido a su vulnerabilidad. Aún así, al realizar auditorías inalámbricas, todavía nos encontramos con redes que mantienen dicho protocolo.
Muchas veces el usuario no tiene ninguna noción de seguridad en temas informáticos y, por tanto, es obligación del proveedor de servicios de internet configurar adecuadamente los parámetros de seguridad adecuados, no pretendiendo que sea el usuario quien decida sobre estos aspectos técnicos.
Un caso práctico muy reciente
Nos contratan para auditar la red wifi de un centro educativo privado. Tienen sospechas de que se pueden haber filtrado las preguntas de algunos exámenes. Al monitorizar la red observamos con sorpresa que tiene establecido el protocolo WEP.
El proveedor del servicio es Vodafone. Está claro que la red puede haber sufrido un ataque para robar información, aprovechando la debilidad del protocolo de seguridad. Dicho ataque es sencillo de realizar, existiendo muchos tutoriales en internet para llevarlo a cabo. No hace falta tener conocimientos especializados de alto nivel.
Sorprendidos por la existencia del protocolo WEP, que indica una dejación por parte del ISP, decidimos iniciar un ataque de ingeniería social, para ver qué nos encontramos.
Fase I:
Llamada a Vodafone para intentar averiguar el tipo de router de la red y sus credenciales de acceso. El operario que nos atiende solicita el número de teléfono de la línea y se lo damos. Aunque la línea va a nombre de una persona de sexo femenino y nosotros no lo somos, en ningún momento se nos pide identificación, ni datos que puedan demostrar que nuestras intenciones no son delictivas.
El operario nos dice que el router es un Cisco de un determinado modelo, y nos da las credenciales de acceso: admin-admin. Amablemente, nos indica que si no nos funciona probemos con admin-cisco.
Fase II:
Llamada a Vodafone para intentar conseguir la contraseña de la red wifi. Le decimos a la operaria que hemos perdido la contraseña para acceder a nuestro wifi. Aunque no distorsionamos la voz, se dirige a nosotros llamándonos por el nombre de la titular de la línea, que es una señora. Antes de que nos pida nada le decimos el nombre de nuestra red wifi y la dirección donde se encuentra el centro educativo. Estos datos parece que le resultan suficientes para deletrearnos amablemente las letras y números que componen la contraseña de red. Nos dice que si queremos puede cambiar la contraseña por otra que nos resulte más sencilla de recordar. Le decimos que no y nos despedimos dándole las gracias.
Conclusión: independientemente de las posibles acciones que pudieran tomarse dadas las deficientes medidas de seguridad que han quedado patentes, los usuarios, tanto particulares como empresas, tenemos que concienciarnos de que no podemos dar por hecho que las medidas de seguridad de nuestras redes son las adecuadas, por lo que se hace necesario realizar auditorías de seguridad para fortalecer dichas medidas y evitar el acceso y robo de nuestros datos.
Intercambio de claves
Habitualmente, encontramos en una red doméstica una autenticación basada en PSK o clave compartida previamente (pre shared key). Ejemplo: una familia cuyos miembros se conectan al punto de acceso wifi de su casa utilizando todos las misma clave. Sus ordenadores, tablets, teléfonos y otros dispositivos con capacidades wifi comparten siempre dicha clave.
Cuando se puso en evidencia la deficiente seguridad del protocolo WEP, apareció el protocolo WPA con un nuevo mecanismo de cifrado denominado TKIP o «temporal key integrity protocol». Fue una solución temporal y actualmente está desfasado.
Fue sustituido por CCMP (counter mode CBC-MAC protocol) en el año 2009. Actualmente podemos encontrarnos WPA-TKIP, también representado como WPA-PSK-TKIP, PSK-TKIP y PSK-CCMP.
CCMP también es conocido como AES CCMP y puede ser utilizado tanto en WPA (para darle más seguridad) como con WPA-2.
Cuando la red inalámbrica está conectada a un servicio Radius, que es un sistema de autenticación que verifica el usuario y contraseña de la persona que está intentando conectarse, nos encontraremos en nuestros escaneos con las siglas WPA MGT o WPA-2 MGT (MGT es la abreviaturia de management). En estos casos las claves no son pre-compartidas. Las redes Wi-Fi MGT son utilizadas principalmente en entornos empresariales.
Muchas redes soportan los protocolos WPA y WPA2, aparte de WEP. La opción preferible de seguridad es WPA2, y es conveniente activarla como preferencia, desactivando WEP y WPA. También es recomendable desactivar TKIP, manteniendo únicamente CCMP.
Resumiendo: estableceremos nuestro protocolo de seguridad en WPA2-CCMP (WPA2-PSK-CCMP), a no ser que por problemas de compatibilidad con dispositivos antiguos necesitemos utilizar WPA2-PSK-TKIP.
