¿Cómo asegurar nuestras redes Wi-Fi?
En algún momento, los ambientes de OT y TI de las empresas pueden ser comprometidos: desde un par de colaboradores con sus equipos con malware que afectan su productividad hasta un problema catastrófico que deja a la organización paralizada por días y con su información subastada al mejor postor en el mercado negro de la web.
Por más medidas de control que establezcamos o mejores sistemas tecnológicos de seguridad que dispongamos, es un hecho que el cibercrimen y sus víctimas seguirán aumentando. Pero ¿existe una manera de estar completamente seguros de nuestra conexión?
El acceso a Internet por medio inalámbrico como Wi-Fi se ha convertido en una parte esencial de nuestras vidas. Si bien estar conectados desde cualquier lugar sin tener limitaciones de movilidad nos ha facilitado las tareas, este tipo de tecnología puede ser vulnerada si no se cuenta con las medidas mínimas de seguridad, dada su naturaleza propensa a interferencias o pérdidas de señal del propio entorno y a la existencia de softwares especializados capaces de capturar información y comprometer a nuestra red.
¿Cómo podemos comprobar si nuestra red inalámbrica es segura?
Al realizar un chequeo rápido es común encontrarnos con redes inalámbricas abiertas o desprotegidas, con cifrados obsoletos o que no cuentan con las medidas necesarias para evitar intrusiones. ¿Qué debemos tener en cuenta?
- Al adquirir o levantar equipamiento inalámbrico debemos cambiar inmediatamente los valores por defecto o de fábrica de los dispositivos. ¿Qué significa esto? El nombre de la red, configuraciones de acceso al router, etc.
- Verificar si nuestro equipamiento Wi-Fi está actualizado con el último firmware liberado por el fabricante.
-
Comprobar que nuestras contraseñas sean robustas. En este punto no solo nos referimos a la de Wi-Fi, sino también a las credenciales de administración del router. Una contraseña segura debe contener letras (mayúsculas y minúsculas), números y otros símbolos especiales con una extensión no menor a 10 caracteres.
- Cambiar de forma periódica las contraseñas, tanto para Wi-Fi como para la administración del dispositivo.
-
Más allá de tener una contraseña segura, hay que verificar el tipo de cifrado que utilizamos en nuestra red Wi-Fi, por ello es fundamental no usar cifrados obsoletos como: WPS, WEP, WEP 64, WEP 128, WPA-PSK (TKIP) o WPA-PSK (AES).
- El uso de cifrados WPA2 es lo más adecuado para nuestros tiempos. En este caso, los WPA2 se dividen en dos grandes grupos: WPA2-PSK (TPIK) y WPA2-PSK (AES), pero solo recomendamos el empleo de WPA-PSK (AES), debido a que WPA2-PSK (TPIK) fue dado de baja por Wi-Fi Alliance.
-
Actualmente, se trabaja en masificar el cifrado WPA3, pero, por el momento, no es compatible con todos los dispositivos que se encuentran en el mercado. Para uso doméstico se utiliza WPA3 Personal y no se recomienda WPA2/WPA3, la versión con compatibilidad para dispositivos más antiguos, por los problemas de cifrado con tecnologías. Para empresas se sugiere WPA3 Enterprise.
-
Revisar los dispositivos conectados para reconocer si se ha infiltrado alguien no autorizado a nuestra red. En caso de que veamos alguno que no debiera estar ahí, cualquier móvil, ordenador o equipo ajeno a nosotros, eso podría ser una señal de que nuestra red es insegura y la han logrado comprometer.
Sigue leyendo
Las amenazas se complejizan: ¿Cómo responder frente a los ataques?
Pentesting a nuestra red inalámbrica
Chipset |
Fabricante |
AR9462 RT8812AU RT5370N RT3070L RT3572L RT5572N |
Atheros Realtek Ralink Ralink Ralink Ralink |
El test de penetración o pentesting se crea para estimar el alcance de los fallos de seguridad de un sistema. Si la intensión es adquirir hardware para realizar estas pruebas, se recomiendan los siguientes chipset, los cuales nos permiten realizar las inyecciones a nuestra red Wi-Fi.
Teniendo lo necesario a nivel de hardware, hay distribuciones de sistemas operativos optimizados para realizar el testeo a nuestro Wi-Fi:
- Kali Linux
- Parrot OS
- WiFiSlax
Existen herramientas adicionales que permiten realizar diversos tipos de prueba, como:
- Reaver: realiza pruebas de seguridad con el WPS de tipo PIN activado.
- FreeRadius-WPE: hace pruebas de tipo man-in-the-middle al momento de llevar a cabo la autenticación de tipo 802.1x.
- Wi-Fi Honey: crea falsos APs para capturar el tráfico y realizar ataques de tipo man-in-the middle.
- Pinecone-WiFi: herramienta de auditoría Wi-Fi.
- WEF Framework: ofensivo a las redes y protocolos 802.11 con diferentes tipos de ataques para WPA y WEP, cracking de hash de forma automática, hacking de Bluetooth, etc.
Lee también
¿Por qué América Latina es una mina de oro para los ciberdelincuentes?
Defendiendo nuestras redes inalámbricas
Teniendo en cuenta que la red inalámbrica es propensa a recibir ataques desde un medio exterior, ¿qué podemos hacer para defenderla?
Para dar respuesta a esta interrogante, surge The Nzyme Project, que utiliza adaptadores Wi-Fi en modo monitor para escanear las frecuencias en busca de comportamientos sospechosos, específicamente puntos de acceso no autorizados y plataformas de ataque Wi-Fi conocidas.
Con Nzyme es posible reconstruir lo que sucedió, quién fue el objetivo y quién fue comprometido con éxito, debido a que cada frame es capturado, analizado y enviado a un sistema de gestión de registros Graylog para el almacenamiento a largo plazo, lo cual permite realizar análisis forenses y respuesta a incidentes.
Los recursos y las herramientas para estar preparados ante un ciberataque son cada vez más usuales y eficientes. En definitiva, conocerlos y mantenerlos actualizados es la mejor manera de cuidar nuestras redes Wi-Fi.
¿Qué podemos hacer? ¿Hay alguna forma de estar preparados?