Telecomunicaciones

XXXXXXXXXXXXXXX Test: Seguridad en redes WiFi

Foto: Gettyimages. Montaje: Computer Hoy.

Sumario
Test: Seguridad en redes WiFi As hemos analizado las redes Prctico: asegura tu red inalmbrica Configuracin de los PCs Filtrado MAC Guardar tus contraseas Crear una contrasea segura Test: Nokia N90 90 91 94 95 95 96 96 98

Qu ests
sar redes inalmbricas es algo cada vez ms habitual. Su fcil configuracin, la ausencia de cables para interconectar los ordenadores y el consiguiente ahorro que supone, ha impulsado a muchos usuarios a abandonar las convencionales redes de cable y optar por este sistema. La configuracin de una red wireless slo requiere un punto de acceso (router) que recibe y enva las seales a los ordenadores conectados a l mediante una tarjeta de red inalmbrica.Al igual que ocurre con la radio, la informacin se transmite por las ondas y, aunque la seal emitida tiene menos alcance (100 o 150 metros), es suficiente para que los ordenadores de un mismo edificio puedan conectarse entre s. De este modo, es posible compartir
90

Aunque las redes wireless han eliminado los cables, puedes tropezar con enemigos mucho peores. Se trata de intrusos que acceden a tu conexin y utilizan los recursos compartidos de la red.

mirando?
datos, dispositivos de hardware e, incluso, utilizar la misma conexin a Internet. No obstante, las ondas no distinguen barreras y esa informacin que flota por el aire est al alcance de cualquiera que sepa atraparla. Y aqu est el punto dbil de la tecnologa wireless.

Acceder a una red WiFi no resulta complicado

Con la misma facilidad que se configura una red sin cables, cualquiera puede conectarse a ella. Slo necesita una tarjeta WiFi, una antena con suficiente alcance y un software especfico que detecte las redes inalmbricas ms cercanas. Despus, con un software especial, puede descifrar las contraseas de acceso al router, encontrar el rango de IP y acceder a

los recursos compartidos de la red. En el caso, claro est, de que se haya utilizado algn mtodo de encriptacin. La mayora de las veces el proceso resulta an ms fcil, ya que los usuarios no suelen utilizar ningn mtodo de cifrado porque desconocen la vulnerabilidad de estas redes. Otros estn convencidos de que instalar un firewall es suficiente para mantenerse a salvo. Si decides recorrer la ciudad en coche junto con un porttil que tenga tarjeta WiFi, una antena con suficiente alcance y un software especfico para detectar redes inalmbricas, estars haciendo wardriving. En principio, este curioso paseo no tiene que esconder malas intenciones. Tanto es as que, para poN 184

der escribir este artculo, hemos utilizado un sistema similar con el nico objetivo de comprobar la seguridad que existe en las redes inalmbricas. Eso s, el wardriving puede ser una amenaza cuando las redes no estn correctamente cifradas. De hecho, hasta se puede conectar un GPS que identifique la zona exacta donde se encuentra instalada la red wireless.

La mayora de las veces este tipo de acceso se utiliza para aprovechar la conexin a Internet de una red inalmbrica cercana. De modo que si notas que la tasa de transferencia de datos en tu ordenador disminuye notablemente, puede ser que alguno de tus vecinos se haya abonado gratis a tu conexin ADSL.

Pueden hacer algn dao al ordenador?

Qu es el wardriving?

Cuando un intruso se conecta a una red inalmbrica puede acceder a los datos y recursos compartidos, como Internet.

Test: Seguridad en redes WiFi

Los daos pueden ser an mayores, ya que pueden robar contraseas o acceder a informacin privada.Adems, es muy fcil conocer la configuracin original de algunos routers desde su direccin HTTP. Esto supone que cualquiera que acceda a l puede usar el nombre y contrasea iniciales (como admin y 1234), y modificarlos. Sin darte cuenta, en ese momento habrs perdido el control de tu conexin. guridad WEP (Wired Equivalent Privacy) que genera una contrasea de acceso a la red, as como un cdigo para cifrar los paquetes de datos que se transmiten. Esta clave permite una longitud de cifrado de hasta 256 bits. Aunque ms compleja, se puede romper con facilidad ya que durante la tranpositivos Wi-Fi lo permiten y tampoco es seguro al cien por cien.Actualmente se trabaja en el estndar 802.11i que reforzar la seguridad. Otro mtodo es el bloqueo de direcciones MAC. Cada tarjeta inalmbrica cuenta con una direccin nica proporcionada por el fabricante, de manera que slo se podrn conectar a la red las tarjetas con la direccin indicada. Pero, aunque es ms dficil, se puede averiguar el cdigo y falsificarlo. Por ltimo, es aconsejable desactivar el DHCP que asigna una direccin IP automticamente a cualquier ordenador que lo solicita. Tambin, conviene cambiar la IP local que trae el router, as como el SSID o nombre de la red inalmbrica asignada por defecto.

Telecomunicaciones

Usar cdigos cifrados dificulta el acceso

ferencia de datos parte de ella queda al descubierto. Para solucionarlo, se utiliza el protocolo WPA (WiFi Protected Access), una versin ms segura con un sistema de encriptacin dinmico (cambia el cdigo cada cierto tiempo). Sin embargo, no todos los dis-

Cmo puedo proteger mi conexin wireless?

Aplicaciones como Wi-Fi Defense localizan a los usuarios conectados a la red wireless y as detectar a posibles intrusos.

Como no existe una garanta plena de seguridad en las redes wireless, conviene usar uno o varios mtodos de cifrado para dificultar el acceso a ella. El estndar IEEE 802.11 emplea el protocolo de se-

Cmo detecto a los posibles espas?

A pesar de no existir un metdo seguro para proteger las redes wireless, puedes utilizar algn programa para encontrar intrusos. Uno de ellos es Wi-Fi Defense que ofrece una versin de

prueba durante 14 das que se puede descargar desde www.otosoftware.com. El programa escanea el equipo y si encuentra una conexin desconocida muestra un mensaje con su direccin IP, MAC, marca de su tarjeta de red y nombre del equipo.

As hemos analizado las redes wireless

Desde hace tiempo, tenamos indicios suficientes para pensar que las redes inalmbricas actuales no contaban con la proteccin adecuada y no resultaba nada complicado acceder a ellas. De hecho, y seguramente en ms de una ocasin, habrs escuchado a algn conocido presumir de cmo se conecta a la lnea ADSL de su vecino sin pagar ni un cntimo. Para demostrar la vulnerabilidad de las redes inalmbricas, hemos recorrido Madrid en coche con un sencillo sistema de deteccin. Como queramos obtener una muestra bastante completa, hemos rastreado zonas empresariales, centros de enseanza y barrios residenciales repartidos por el rea urbana y seleccionadas previamente sobre el plano. El montaje del sistema de deteccin no requiere un equipo sofisticado ni su uso resulta complicado. De hecho, slo es necesario un ordenador porttil que cuente con una tarjeta de red wireless y un software especfico, que se consigue de forma gratuita en Internet, para escanear y analizar de modo automtico las redes inalmbricas que encuentre. Adems, para obtener un resultado ms aproximado y fiable, hemos colocado una antena en el exterior del vehculo conectada a la tarjeta wireless del porttil . El sistema de captacin (tarjetas y antenas) elegido, facilitado por www.wifisafe.com, ofrece potencia para que el radio de alcance sea amplio y detecte el mximo nmero de redes. Por fin, hemos puesto en marcha el coche y recorrido el itinerario que nos habamos propuesto muy elevado ya que cualquier persona, provista de un equipo con un adaptador inalmbrico semejante al nuestro, puede conectarse sin ninguna dificultad a la red y utilizar cualquier tipo de datos o recursos compartidos de la misma, como Internet. Cuando un tercero logra acceder al router puede tambin cambiar la configuracin de los puertos abiertos para mejorar la velocidad de las descargas de la red en su equipo e, incluso, llegar a conseguir el control total de la misma. Sin embargo, lo que nos ha reslo eso. El problema se agrava an ms cuando observamos que algunos centros de trabajo comparten directorios en la red que quedan de esta forma al alcance de cualquiera. Aunque resulte difcil de creer, encontramos carpetas con el nombre de Facturas, donde posiblemente se guardaran datos de facturacin y contabilidad. Si un usuario accediese a ellos con malas intenciones, podra causar ms de un problema en la empresa. Incluso hemos podido acceder a la red inalmbrica de un colegio mayor universitario que no con-

Montaje del sistema

con el equipo en funcionamiento a ver qu encontrbamos . Por desgracia, el resultado ha confirmado nuestra sospechas: las redes wireless no cuentan con las medidas de proteccin adecuadas. Si bien es cierto que no hace falta un software muy avanzado para romper las claves encriptadas y acceder a cualquier red inalmbrica, nos ha sorprendido encontrarnos con que la mayora de las redes particulares situadas en en zonas residenciales estaban abiertas, es decir, a disposicin de cualquiera que intentase acceder a ellas ya que no contaban con un mnimo sistema de cifrado. Esto supone un riesgo
N 184

Seguridad, poca

Con el software adecuado puedes obtener informacin de todas las redes wireless dentro del alcance de tu antena.

sultado ms alarmante ha sido comprobar que muchas de las redes inalmbricas ubicadas en zonas de oficinas o polgonos industriales, utilizan claves de acceso de tipo WEP que no resulta complicado descifrar. Y no

taba con las medidas de proteccin mnimas. Tras los resultados de nuestra prueba, podemos confirmar que la proteccin actual de las redes wireless resulta ms que insuficiente y pocas son seguras.
91

Telecomunicaciones

Test: Seguridad en redes WiFi

Resultados del test por zonas

A continuacin te detallamos la cantidad de redes halladas en diferentes puntos de Madrid y lo fcil que resulta acceder a ellas.

1 Aeropuerto Redes encontradas: 7

14,29%

10

Conde de Casal

Redes encontradas: 43
50,87% 7,27%

2 Atocha Redes encontradas: 19 3 Azca Redes encontradas: 333

36,84% 10,53%

85,71%

41,86%

de Espaa 11 Plaza Redes encontradas: 65

33,33%

52,63%

60,00%

Rivas Vaciamadrid 12 P.I. Redes encontradas: 26 San Marcos Getafe 13 P.I. Redes encontradas: 4
35,90% 17,95%

6,67%

48,65%

mayores 4 Colegios Redes encontradas: 146

37,09% 14,26%

46,15%

60,27%

Mara de la Cabeza 5 St. Redes encontradas: 20 Va 6 Gran Redes encontradas: 149

35,00%

35,54% 4,18%

75,00%

14 Princesa Redes encontradas: 75 15

Puerta de Hierro Reina Victoria
37,78%

25,00%

65,00%

54,67%

7,56%

Redes encontradas: 59
30,51% 5,08%

55,70%

Lavapis

41,69%

2,61%

64,41%

Redes encontradas: 76
38,60% 4,82%

16

Redes encontradas: 49
29,39% 19,59%

56,58%

8 Orense Redes encontradas: 296

de Castilla 9 Plaza Redes encontradas: 137
47,74%

51,02%

17 Serrano Redes encontradas: 153

46,96%

5,30%

63,40%

Carlos III Getafe 18 Uni. Redes encontradas: 6

32,53% 4,07%

64,23%

29,81% 5,96%

83,33%

16,67%

Resultados totales
El nmero de redes halladas ha sido elevadsimo, tanto en zonas residenciales como en puntos de la ciudad que recogen una actividad comercial o industrial. Lo ms sorprendente es que la mayora de ellas estn abiertas, de modo que (salvo que dispongan de filtrado por direcciones MAC o algn otro sistema que impida a un intruso conectarse). Algo menos de la mitad utilizan el sistema WEP para cifrar la informacin transmitida. De stas, slo unas pocas utilizan WPA, por lo que son vulnerables si el atacante utiliza software capaz de capturar y analizar la informacin transmitida. En total, menos del 7% de las redes wireless detectadas disponen de una proteccin eficaz contra los intrusos, algo que casi siempre se puede obtener actualizando el firmware y los drivers de los dispositivos wireless.
92

Total: 1663

54,42%

6,78% 38,80%

Sin cifrado

WEP

WPA

N 184

Test: Seguridad en redes WiFi

N 184

Getafe

Aeropuerto Madrid-Barajas

Rivas-Vaciamadrid

Telecomunicaciones

93
Cartografa original: Instituto Geogrfico Nacional / Centro Nacional de Informacin Geogrfica. Montaje: Computer Hoy.

Telecomunicaciones

Prctico: Asegura tu red inalmbrica

Activar cifrado WPA

A continuacin te contamos, paso a paso, qu debes hacer para blindar tu conexin. En este ejemplo te

el nico cifrado disponible es WEP. En este ltimo caso tendrs entonces que actualizar el firmware del router.

Si no sabes el modelo exacto del router, com-

Asegura
i tienes una red wifi en tu casa, seguramente ahora mismo te estars preguntando si, al igual que muchas de las que hemos encontrado en nuestras pruebas, la tuya est totalmente abierta al pblico y, por lo tanto, cualquier vecino puede aprovechar tu conexin a Internet o, lo que es peor, fisgar entre todos tus archivos. Eso s, tampoco es cuestin de que desconectes el router inalmbrico y lo tires a la basura. Es cierto que las redes pueden ser inseguras, pero no es menos verdad que, si tomas las medidas de seguridad adecuadas, tu red puede llegar a ser bastante segura. El problema es saber qu es realmente seguro. No, no pienses que para ello tendrs que emplear costosos y complicados programas y dispositivos. La nica inversin que debes hacer para que tu red sea segura es, precisamente,
94

explicamos cmo hacerlo con un router Zyxel, aunque el proceso es bastante parecido en la mayora de los dispositivos de este tipo. En primer lugar debes comprobar si tu router inalmbrico permite em-

prubalo en la ventana , que se muestra cuando te conectas al router. Puedes verlo en la parte central de

Dale cerrojazo a tu red inalmbrica, y evita de esa manera que alguien se cuele en ella. No sabes cmo hacerlo? Pues basta con que sigas todos los pasos que te indicamos en este articulo.

tu conexin
este ejemplar de Computer Hoy. A continuacin te contamos, paso a paso, todo lo que debes saber para ello, qu ajustes debes efectuar en la configuracin, y otros detalles que no debes olvidar a la hora de establecer una slida defensa que proteja tu red de fisgones, e impedir quealguien aproveche tu conexin a Internet para navegar por la cara.

Asegurar tu red es barato y sencillo

Eso s, tampoco pienses que, al hacer lo que aqu te indicamos, tu red ya ser segura para siempre. Cada poco tiempo, especialistas en seguridad disean nuevos y mejores sistemas, al mismo tiempo que, aquellos que ya llevan algn tiempo en uso, empiezan a ser rotos por personas, ya sean aficionados intersados en la seguridad, o (en

el peor de los casos) por fisgones con no muy buenas (por no decir muy, muy malas intenciones). En Computer Hoy somos conscientes de esto, y una prueba evidente de ello es la prueba a la que hemos sometido las redes inalmbricas de las zonas que hemos recorrido para hacer este artculo. Por nuestra parte esto no queda aqu, sino que nos comprometemos a mantenerte puntualmente informado de cuantos cambios y novedades se produzcan al respecto, sobre todo en los casos en los que stos puedan afectar directamente a tu seguridad. Y, precisamente por ello, te recomendamos que no bajes la guardia, tomes todas las medidas de seguridad que te indicamos, y no dejes de invertir 1,80 en seguridad semana s, semana no. No te parece una gran inversin?
N 184

plear WPA. Para ello conctate al mismo del modo habitual, por ejemplo . Accede entonces a las propiedades de configuracin de las funciones de conexin inalmbrica, , y, en caso de que se muestre un nuevo men ,

A continuacin ve a la pgina web del fabricante y busca el apartado de soporte tcnico, . Accede al mismo y busca all el rea de descargas, por ejemplo ,

la ventana, por ejem. plo

a la que debes acceder en este momento.

pincha de nuevo en

Ve ahora hasta la parte inferior de la pgina de configuracin, y comprueba si all se puede seleccionar WPA (en tal caso salta ahora al paso 8 ), o por el contrario

En el apartado que tras unos segundos se mostrar en la pgina, , escribe ahora el modelo del dispositivo (o, si lo prefieres, seleccinalo de la lista que se muestra) y para continuar haz click en .

En unos segundos se mos-

Prctico: Asegura tu red inalmbrica

Telecomunicaciones

4
trarn todos los archivos encontrados . Busca en dicha lista la entrada y descarga a continuacin ese archivo.

Si en ese momento se muestra un Asistente como ste, ,

apartado anterior. Pincha en y unos pocos segundos despus se establecer la conexin

que slo acepte conexiones de determinadas tarjetas de red, es decir, de las que t le vas a indicar.

Configuracin de los PCs

Una vez bajado el archivo , descomprmelo y comprueba su contenido .

Sigue estos pasos para que tus equipos puedan conectarse al router. La mayora de fabricantes recomiendan emplear su propio software, no dudes en aceptar su ayuda con un click en . Cuando llegues a la ventana de configuracin de la conexin , accede al apartado de seguridad, , y selecciona

En la ventana de configuracin de la

1
a

Accede a la configuracin del router, luego ve , busca el apartado

Vuelve ahora a la configuracin del router, busca , y all encontrars el apartado .

Haz click en ge, en la ventana

y esco-

en vez de la utilidad de conexin a redes inalmbricas de Windows. Para descactivar sta, busca el icono , y en el Systray, haz doble click en l y, cuando se abra la ventana ,

tarjeta, podrs encontrar ms informacin sobre el enlace

de filtrado por direcciones MAC y accede al mismo .

el archivo de actualizacin del firmware. Pincha entonces en , sigue los pasos que se te indicarn en pantalla, y de este modo habrs actualizado el firmware del router.

all el sistema de seguridad . Pincha entonces en y, en el apartado que se mostrar , escribe la contrasea que configuraste en el paso 8 del pincha en el botn

y la fuerza de la seal

De entre los distintos sistemas de seguridad que se muestran ,

2 3

En la ventana que se abrir, asegrate de desmarcar la entrada y confirma el cambio con un click en el botn . Accede a continuacin a las propiedades de configuracin de la tarjeta, por ejemplo , y haz click en para de esta forma buscar el router. Tras unos segundos, se mostrarn todos los dispositivos detectados . Selecciona entonces tu router e indica a continuacin al programa que te quieres conectar a l.
N 184

Filtrado MAC
Cada tarjeta de red tiene una identificacin, llamada direccin MAC, nica en to-

Para averiguar la direccin MAC de tu tarjeta de red, haz click en , , muvete hasta ve entonces al grupo y pincha ya en la entrada .

Cuando se abra la ventana ,

escoge a continuacin y selecciona a continuacin la contrasea necesaria para poder conectarse al router .

do el mundo. As que un sistema bastante seguro de proteger tu conexin es configurar el router para

escribe , pulsa la tecla y espera unos segundos a que se muestren los resultados . Busca en ellos la lnea y toma nota de la direccin MAC, que se muestra a la derecha, dividida en seis bloques de dos caracteres.
95

Confirma la accin con un click en y ya nadie podr colarse en tu conexin.

Telecomunicaciones

Prctico: Asegura tu red inalmbrica

lista que se mostrar, un servidor en Europa, por ejemplo , y haz click en el icono que hay a su derecha, y descarga el programa del modo habitual. Una vez bajado, haz doble click en y sigue los pasos que se indican para instalarlo. selecciona el grupo al que pertenece la contrasea que vas a configurar, por ejemplo , y pincha a continuacin en el botn . Entonces se abrir la ventana . Escribe en a qu corresponde la contrasea, por ejemplo . Despus, , el nombre de en usuario , y si lo deseas, escribe en la direccin donde tienes que utilizar la contrasea. Por defecto, el programa crea en este momento una contrasea nueva .

Vuelve a la configuracin del router, y escribe en la direccin MAC, por ejemplo en este caso . Repite esta operacin con todos los ordenadores que vayan a conectarse a tu red.

4 5

Busca despus el apartado ,

y en el campo escoge la entrada , y despus en selecciona . Pincha en y y ya habrs configurado el router para que slo acepte conexiones desde las tarjetas de red que has configurado.

Para abrir el programa, haz doble click ahora en el icono y, cuando se abra la ventana ,

Para verla no tienes ms que hacer click en y sta se mostrar, . Confirma con un click en y la contrasea se mostrar ya en la lista del apartado central ;

Guardar contraseas

Inicia la conexin a Internet, abre tu navegador y escribe (http://keepass. sourceforge.net) en la barra de direcciones. Cuando se abra por fin la pgina , haz click en , busca el apartado

Recordar muchas contraseas, y especialmente si son seguras, puede ser poco menos que imposible. Pero no te preocupes, porque a continuacin te enseamos a utilizar un programa con el que podrs gestionarlas. De esta manera slo tendrs que recordar la contrasea del programa, y l recordar el resto por ti.

haz click en . En ese momento se abrir la ventana , en la que tienes que utilizar el apartado para escribir la contrasea con la que se bloquea el acceso al programa. A medida que empieces a escribir, vers que una barra te va indicando el nivel de seguridad de la contrasea . En el momento en el que la barra llegue al color verde , y especialmente si has seguido las recomendaciones de seguridad que te hemos dado, la contrasea ser muy, muy segura.Y es importante que lo sea, pues esta contrasea proteger todas las que guardes en el programa.

Ahora ya slo tienes que configurar la nueva contrasea en el programa o dispositivo que vaya a proteger. Cuando quieras consultarla, slo tendrs que abrir el programa, hacer doble click en la contrasea, y hacer que se muestre tal y como te hemos indicado en este mismo paso.

Crear una contrasea segura

Por algn curioso y extrao motivo, muchsima gente no le da importancia a la creacin de una buena contrasea, y en vez de ello utilizan algunas increblemente fciles de averiguar. Para conseguir que la seguridad de tu red sea realmente alta, sigue estos pasos a la hora de establecer cualquier contrasea: no consiste en otra cosa que en probar todas las contraseas posibles. Y si tu contrasea est formada por slo dos, tres o cuatro caracteres, probablemente sea averiguada en poco tiempo. primera no soportara ni cinco minutos de ataque, mientras que la segunda es mucho ms robusta y segura.

No te repitas. Otro problema

Tipos de caracteres. Muchos

Huye de recuerdos. Si aca-

y pincha en .

Cuando se abra la pgina ,

Para confirmarla haz click , y vuelve a esen cribirla en

busca el apartado

bas de tener un hijo, de comprarte un coche o de adoptar un perro, evita la tentacin de emplear su nombre como contrasea. Muchos ataques provienen de personas cercanas, y una de las primeras pruebas que se hacen para intentar romper una contrasea es buscar palabras de ese tipo. menos caracteres tenga, es (aunque con ciertas salvedades) ms fcil de averiguar. Un sistema habitual para averiguar contraseas es el llamado ataque de fuerza bruta, y que
N 184

De vuelta a la ventana principal del programa ,

Atencin al tamao. Cuantos

y p i n ch a e n t o n c e s e n .A continuacin busca, en la
96

usuarios slo emplean letras en sus contraseas, lo que supone una cierta ventaja para los atacantes, que pueden descartar los nmeros y otros caracteres especiales en los ataques de fuerza bruta. Por lo tanto, si aades algn nmero a tu contrasea, ya hars ms difcil que la averigen. En algunos sistemas, se hace distincin entre minsculas y maysculas, as que el empleo de ambas refuerza an ms la seguridad de la misma.Si adems empleas algn caracter especial, como comas, puntos, etctera, la dificultad ser an mayor.En resumen, la diferencia entre david y <<:;DaV1d;:>>, es que la

habitual que compromete mucho la seguridad, es la utilizacin de la misma contrasea para todo, y de manera vitalicia. Es recomedable emplear contraseas distintas y cambiarlas regularmente. De esta manera, si alguien consigue averiguar una de tus contraseas, slo tendr acceso a lo que sta protega, y no barra libre a cuantos elementos tengas protegidos. Por otra parte, algunos ataques de fuerza bruta pueden durar mucho, mucho tiempo. Todo depende del inters que tenga el atacante en averiguar la contrasea. Por ello, es recomendable que cada cierto tiempo procedas a cambiar las contraseas, evitando cualquier repeticin entre unas y otras.