¿Son seguras las redes wi-fi?

Internet está plagada de tutoriales acerca de como crackear una red wi-fi. El último lo vi ayer en el menéame y es tan simple que no merece la pena siquiera echarle un vistazo pero raxor de bandaancha envió a los comentarios otro realmente bueno. En cualquier caso no es algo que parezca preocuparle a demasiada gente: a poco que nos paseemos por ahí podemos comprobar que existen centenares de personas dispuestas a hacerle la competencia a FON por su propia cuenta y riesgo.

Volviendo al título ¿son seguras las redes wi-fi? Si, sin duda. Una red wi-fi (con los dispositivos actuales) se puede configurar con relativamente muy poco esfuerzo de forma que sea absolutamente infranqueable para el 99,99% de los mortales. Y no vamos a tener la mala fortuna de que la simpática y guapa vecina del piso de al lado no sea la azafata que dice ser y disponga de tecnología secreta de la CIA y un super-ordenador para utilizarla. ¿Te has fijado si baja la intensidad de la luz de tus bombillas cuando ella llega a casa?

Hacer seguras las comunicaciones con un router wifi casero es bastante sencillo. Existen unas pocas de medidas que simplemente serviran para hacer desistir al vecino que se ha leído el útimo artículo de PC-WORLD pero que no está de más utilizar, a saber:

  • Ocultar el identificador (SSID) de nuestra red
  • Deshabilitar el DHCP del router y asignar direcciones manualmente a los dispositivos de nuestra red
  • Limitar el número de direcciones IP posibles en nuestra LAN (¿para que diablos queremos una clase C completa?)
  • Realizar filtrados de accesos por MAC

Aparte de estas ‘argucias’ existen dos medidas que son las que realmente nos garantizan la seguridad en nuestra red:

  • Asegurar el acceso a nuestro router.
  • Usar un protocolo seguro y correctamente configurado para el cifrado de las comunicaciones inalámbricas.

Sólo dos. No hace falta nada más.

Asegurar el acceso a nuestro router es bien sencillo. Lo primero que debemos de hacer es cambiar la contraseña de acceso al mismo. No seamos ‘rácanos’ en esto. Se trata de una contraseña que no tenemos que memorizar porque estará en nuestra casa y a salvo de miradas indiscretas. Basta con escribirla en un pos-it y guardarla pegada tras la portada de uno de nuestros libros favoritos, así que usaremos una cadena de caractéres absolutamente ininteligible del tamañó máximo permitido por nuestro router, generada automáticamente por un programa y que use letras mayúsculas y minúsculas, números y signos. Existen múltiples utilidades para esta labor: os indico una pero a vuestro aire. Una pequeña manía personal: yo elijo siempre una password que empieze por un símbolo en lugar de por una letra o número. Casi todos los programas que realizan ataques por fuerza bruta comienzan probando números y cifras así que esto retrasará unos cuantos meses el trabajo de tú vecina. A continuación debemos de limitar el acceso a la interfaz de configuración del router. Deberíamos de deshabilitar el acceso a través de la WAN (por motivos diferentes al tratado en este post) y, en cuanto a la LAN, limitaremos el acceso a la configuración del mismo exclusivamente a través de la IP de nuestro equipo (no olvideis que hemos tenido que deshabilitar anteriormente el DHCP y asignar IP’s manualmente)

La segunda medida absolutamente necesaria es el cifrado: olvidaros del WEP, por favor, y elegid WPA o WPA2. En este punto y, según vuestro router, os podeis encontrar diferentes opciones: WPA, WPA2, WPA-PSK, WPA-EAP, etc. ¿cuál diablos es la buena? Vayamos por partes.

WPA y WPA2 (Wi-Fi Protected Access) proporcionan autenticación en el acceso y privacidad en las comunicaciones. A grandes rasgos tienen dos modos de funcionamiento: el llamado «modo empresarial» o EAP (Extensible Authentication Protocol) que precisa de un servidor de autenticación externo y el modo personal o PSK (Pre Shared Key) que no lo necesita. Existen cinco standards diferentes de autenticación EAP cuyos detalles, si os interesan, podeis consultar aquí o aquí. La nomenclatura en los routers con los que he trabajado no suele ser demasiado clara: normalmente cuando sólo pone WPA se están refiriendo al modo empresarial y cuando lo hacen al modo personal pone WPA-PSK, pero en algunas ocaciones me he encontrado que el modo personal es WPA y el empresarial WPA-EAP. Un lío, pero para identificarlos basta una nota: si se están refiriendo al PSK nos exigirá una frase password mientras que si se refieren al EAP nos pedirá la dirección de un servidor de autenticación. ¿Fácil no?

Nos centramos en el PSK, pues. Todo lo dicho para la contraseña de administración del router es válido para la frase password que nos proporcionará la autenticación y que es necesario introducir en ambos extremos de la comunicación. Nada de elegir la ya manida «En un lugar de la mancha de cuyo nombre no quiero acordarme» ni, por supuesto la también muy explotada «Muchos años después, frente al pelotón de fusilamiento, el coronel Aureliano Buendía había de recordar aquella tarde remota en que su padre lo llevó a conocer el hielo». Usad una frase o un dicho ‘familiar’ o usado entre vuestros amigos y que no tenga mucho significado fuera de vuestro entorno.

Como protocolos se suelen ofrecer dos opciones: TKIP o AES. ¿Cual elegimos? Si disponemos de las dos opciones en cliente y servidor AES, sin lugar a dudas, que es un verdadero algoritmo de cifrado. TKIP es, en realidad, un ‘apaño’ que se lanzó para reemplazar el cifrado usado por WEP sin necesidad de reemplazar el hardware. Pero no temais: se trata de un mecanismo suficientemente seguro (por el momento, al menos) para la labor que realiza.

Y por último ¿cuál es la diferencia entre WPA y WPA2? En la forma, WPA fue definido por la Wi-Fi alliance y WPA2 estandarizado por la IEEE en forma de la norma 802.11i. En el fondo se reemplazó el código de autenticación de mensajes que usaba WAP WPA (llamado Algoritmo de Michael) por CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) y RC4 es sustituido por AES como algoritmo de cifrado. Aquí los fabricantes también suelen introducir cierta confusión: me he encontrado routers que, por ejemplo, te permiten elegir WPA y AES o WPA2 y TKIP lo cual no es muy coherente pero teniendo las cosas claras la configuración es bien sencilla: preferimos WPA2 antes que WPA y AES por delante de TKIP aunque podemos estar tranquilos de que si escogemos una frase password adecuada la combinación más débil (WPA y TKIP) es lo suficientemente segura como para no tener que preocuparnos de nadie. Salvo de la vecina, ya sabeis…

Para quien, una vez configurado, quiera auditar la seguridad de sus comunicaciones existen dos herramientas básicas para ello: aircraft (disponible para GNU/LINUX y windows) y cowpatty un proyecto semiabandonado hecho en C standard e independiente de la plataforma.

ACTUALIZACI?N: Durante estos cinco años se ha encontrado alguna vulnerabilidad en WPA que lo hacen bastante menos seguro que WPA2. En Security by Default han publicado recientemente un buen resumen de las características de este último.

23 comentarios

  1. Excelente explicación para ponernos al tanto sobre proteger de manera eficiente nuestra red..
    Quería preguntarte acerca de lo de limitar la cantidad de ip’s permitidas.. cómo hacemos eso?

  2. Muy buena informacion Josemaria, yo no sabia como mejorar la seguridad de mi WiFi, y con esta informacion ya supe como hacerlo y con la seguridad de que ahora se que estoy moviendo en realidad.

    Saludos!

  3. Oye una duda espero no sonar muy idiota pero.. me podrias dar un ajemplo de cada una?.. cual es una wep.. una wap.. una wap2 y asi…. espero tu respuesta…

  4. Hola desde Lima Peru, muy buen articulo, resumido y breve, ya configure mi modem router con WPA2, pero quisiera si me puden aorienta si es posible poner como AP un router Zyxel 660hw conentada por rj45 va un Otro Zyxel sin WIFI por donde quiero que sea la puera de entrada a Internet y el otro Zyxel (660)WIFI sea un AP o el que emita las señales para acceso ainalambrico..

  5. Wow, siempre busqué este tipo de información ya que tenia dudas en cambiar el tipo de cifrado de mi router porque tiene las opciones de cifrado WEP(predeterminado), WPA-PSK Y WPA-EAP (estas dos ultimas tienen el cifrado TKIP, lastima que no tengan AES).

    Buen post

    Otra cosa: ¿Estuvo bien que haya cambiado el cifrado de WEP por WPA-PSK?

    Les agradeceria una respuesta

  6. Hola, me ha parecido bastante bueno el post sobre seguridad wifi. Aunque de hecho estaba buscando otra cosa: Necesito configurar mi router «ECOM EW125TGARM Turbo-G ADSL Router» para que deshabilite la conexión wifi a partir de las 12 de la noche, o restringir un IP o Mac a partir de esa hora. Se podria hacer algo, sin tener que limitar las horas de inicio de sesion de las cuentas de usuario??

  7. José Luís:

    Aconsejo desactivar la configuración del router vía wi-fi simplemente para evitar que alguién tome el control del mismo a través de una clave de administración que tal vez ni siquiera conozcas (impuesta por el proveedor o fabricante) o aprovechando alguna vulnerabilidad del interfaz de administración del router. De esta forma sólo alguién conectado físicamente al router podría cambiar la configuración del mismo lo cual te proporciona algo más de seguridad, que es de lo que se trata.

    El hecho de que abras puertos a través de un interfaz o de otro no debería de afectar: si están abiertos, están abiertos 😉

    Y una sugerencia: tanto si usas XP como si usas alguna distribución de Gnu/Linux puede que tengas cerrados los puertos en el firewall personal de tu ordenador. Incluso puede que uses algún antivirus con cortafuegos u otro cortafuegos personal. Recuerda que también tienes que abrir ahí los puertos para que funcione correctamente.

  8. Pese a mis limitados conocimientos sobre la materia, encuentro que el artículo sobre seguridad WIFI es impecable. Pondero sobremanera la claridad de la exposición. Me quedo con las ganas de saber cúal es la diferencia entre configurar mi router via LAN ó via WIFI. Por lo tanto no sé si esa será la causa (configurarlo via WIFI)de que pese a seguir las instrucciones del manual al pie de la letra, los puertos que en teoría le abrí a los crios para el eMule parece que no han queddo abiertos.De nuevo felicidades y gracias or su atención.

  9. Gracias Felipe. Demasiados WPA’s para no equivocarme en alguno 🙂
    Y gracias por tú referencia. No la había leído y me servirá, seguro, para una implantación que tendré que acometer en breve.

    Johana: gracias a tí también. No puedo añadir a tú consulta más de lo que ya te dice Sergio en su comentario. Busca un lugar hacía el que no te cueste demasiado tirar un cable y coloca otro punto de acceso allí. Una forma casera para ver dónde te interesa ponerlo es que hagas un plano de tu casa y te pasees con un portatil anotando la calidad de la señal en las distintas zonas y así tendras una mejor perpectiva de donde te conviene colocarlo.

  10. La principal responsabilidad de que haya tantos puntos inalámbricos inseguros es, a mi juicio, de los proveedores de servicio Mario. La práctica totalidad de los routers que se venden van en los famosos kits autoinstalables y a las compañías les costaría muy, muy poco trabajo distribuir un tutorial o incluso un asistente en el que se guiara al usuario para que lo configurara de forma segura obligándolo a cambiar las contraseñas, generándole de forma automática una frase-password aleatoria, etc… De todas formas con un poquito de tiempo e interés, la documentación de tu router (que si no te la han entregado seguro que la encuentras en Internet) y las pautas que te he dado aquí seguro que puedes configurarlo tú mismo. ¡Ánimo!

Responder a Felipe Alfaro Solana Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información

ACEPTAR
Aviso de cookies