¿Cómo proteger nuestra red inalámbrica Wi-Fi?
Antes de todo, vamos a aclarar que aquí vamos a tratar sobre seguridad en redes Wi-Fi, explicaremos como protegerse y cual es el problema. Existen otros ataques como infectar el ordenador con un virus o interceptar los datos en Internet propiamente hablando. Ataques que pueden ser similares a los aquí comentados, pero no iguales, los trataremos en otros artículos en www.jarroba.com. Aquí solo nos centramos en la conexión entre receptores y emisores Wi-Fi.
Para empezar, entenderemos porqué una conexión directa por cable no compromete apenas la seguridad sin aplicar ningún tipo de seguridad. Mientras una conexión inalámbrica la compromete en gran medida si no tenemos seguridad alguna.
Conexión directa por cable
Pongamos por caso lo siguiente: tenemos un vecino que quiere conectarse a nuestro Internet. Como el Router ADSL se conecta por cable a nuestro ordenador -no tiene Wifi o lo tiene desactivado- es la manera más fiable de asegurarnos que no nos robe Internet. Existe un método por el que el vecino podría conectarse a nuestro Internet: si entra en nuestra casa y hace un empalme de cables -esto es demasiado para alguien que pretende hacer uso de Internet ajeno sin ser presenciado.
Conectar el ordenador por el cable Ethernet, directamente al Router ADSL es tan seguro y casi imposible de asaltar (siempre hay un casi, en este caso hacer un empalme de cables dentro de nuestra propia casa, cosa complicada ¿no?). No existe forma de proteger este tipo de conexión, porque es tan sumamente segura que no hace falta.
Se puede decir, que la conexión directa por cable es 100% segura. Por lo que no será necesario adoptar medidas extras de protección.
Conexión por Wi-Fi
Ahora, supongamos que tenemos un Router ADSL Wi-Fi (Sabemos que es Wi-Fi porque lo pone en algún sitio de la carcasa del aparato, algunos modelos tienen antenas externas, o existe un símbolo de ondas con un led luminoso que indica que el Wi-Fi está funcionando). Esto es muy cómodo porque podemos mover el equipo (portátil, Tablet, Smartphone, etc) y llevarlo a cualquier parte de nuestra casa y así seguir teniendo Internet sin la necesidad cables.
En el siguiente ejemplo representamos el alcance del Wi-Fi con un círculo morado. Allá donde vayamos con nuestro portátil, móvil, etc, dentro de ese círculo tendrá Internet.
El problema viene cuando un Router ADSL Wi-Fi tiene un radio demasiado amplio. Algunos están configurados para no tener más radio que unos metros, otros sin embargo, están configurados para que tengan el alcance máximo, que normalmente es de 100 metros (Tendemos a pensar que el radio de alcance del Router ADSL Wi-Fi es horizontal, pero ¿y los vecinos que viven por encima o por debajo? ¿A qué distancia están de nuestro Router ADSL Wi-Fi? Como mucho a 3 metros de distancia, el alcance les llega de sobra). Tanto alcance llega a otras casas que no son la nuestra y sobre todo si vivimos en un piso.
Un vecino o alguien que pase por la calle, que quiera Internet gratis, va a tener la posibilidad. Solo si nuestro Router ADSL Wi-Fi no está bien configurado, y por tanto protegido.
Como bien habrás deducido, la conexión inalámbrica Wi-Fi no es 100% segura. Su seguridad depende de las medidas que tomemos.
¿Porqué es peligroso?
Como hemos visto en el artículo que expicábamos como funcionaba la Wi-Fi y haciendo uso del mismo ejemplo: para que podamos enviar un correo a alguien, primero ha tenido que salir desde nuestro portátil y viajar hasta el Router ADSL Wi-Fi.
Aquí el peligro radica en que cualquier dato que enviemos o recibamos con Wi-Fi, podría ser capturado por alguien que no queramos, y este podría leer el correo privado.
En la siguiente imagen el correo de respuesta de nuestro amigo llega a nuestro Router ADSL Wi-Fi desde Internet. Por la lógica del Router ADSL Wi-Fi se manda en todas las direcciones. Todos los que estén conectados a la red podrían leer su contenido (Nota para los entendidos en la materia que se estén diciendo que si el correo está cifrado no pasaría nada, para el resto es mejor obviar el contenido de este paréntesis. Esto es un ejemplo de captura de datos; y, aunque esté cifrado el contenido, sí se pude leer, pese a que el contenido sea una montón de caracteres sin sentido por la cifra. Teniendo el correo se podría intentar descifrar, si no se tiene no se puede ni hacer el intento).
Imaginemos por un momento que el correo de respuesta de nuestro amigo fuese interceptado por un vecino cotilla de intenciones dudosas. Puede que te digas: “la ley de protección de datos me ampara y si me entero de que alguien lee mis correos privados le denunciaré”. Ahora el problema a la anterior afirmación: no hay manera de saber si realmente le ha llegado a alguien y los está leyendo (al menos que el vecino cotilla sea idiota y te diga un día por la calle, a la cara, que te está leyendo la correspondencia porque le apetece, cosa presumiblemente imposible ¿No?).
Esta captura de datos podrá realizarse tanto por la emisión desde el Router ADSL Wi-Fi como por la del portátil u otro aparato Wi-Fi. En el ejemplo, el vecino que captura los datos también podría haber capturado el correo que le mandamos a nuestro amigo (siempre que la cobertura del ordenador portátil le hubiera llegado, pues está saliendo desde el ordenador al Router ADSL Wi-Fi), por lo que podría tener toda nuestra conversación. Y no solo la conversación por correos, sino todo lo que hagamos en Internet a través de nuestro Wi-Fi.
Visto el peligro, seguro que te surge la siguiente duda.
¿Cómo proteger mí Red Inalámbrica Wi-Fi?
Aquí vamos a explicar primero como funciona cada forma de protección. Al final de cada explicación existe un vínculo de como llevar a cabo dicha protección.
Cada protección que apliquemos será un paso más en la protección. Recordemos que nada, ni si quiera el cable, es verdad que está 100% protegido, siempre existen maneras de romper la seguridad. Pero cuantas más protecciones más difícil será -el símil es el de los bancos, cuantos más policías y cajas fuertes con paredes más gordas, más difícil es romper la seguridad, pero, y siempre existe un pero, se podría llegar a romper.
Cambiar algunos datos que vienen de fábrica de la configuración del Router ADSL Wi-Fi
Siempre es importante cambiar el nombre del Router ADSL Wi-Fi. también lo es el nombre de usuario y la contraseña de acceso al mismo (no confundir la contraseña de acceso al Router ADSL Wi-Fi con la contraseña de cifrado Wi-Fi que veremos en el punto siguiente).
Alguien ajeno que se conecte a nuestra red tendrá fácil acceso al aparato que nos da Internet, por tanto a saber mucho y a poder inutilizarnos Internet.
Existen programas que si le dices el nombre por defecto del Router ADSL Wi-Fi, pueden sacar las claves de cifrado Wi-Fi al momento (La relación que existe entre el nombre y la clave de cifrado es el algoritmo empleado por los fabricantes a la hora de generar ambos; por esto es importante cambiar el nombre).
Otro problema son los nombres de usuario y contraseñas por defecto. Que normalmente son muy fáciles de saber porque la contraseña que viene de fábrica rara vez cambia de "0000" y el nombre de usuario "admin". Buscando por Internet es sencillo saber tanto la contraseña como el usuario que trae por defecto el Router ADSL Wi-Fi. Vienen así para que los cambies nada más tengas el Router ADSL Wi-Fi.
Contraseña de cifrado Wi-Fi
Proteger nuestra red Wi-Fi no es otra cosa que cifrar el contenido de los datos que se transmiten. Cifrar es, por ejemplo, en un mensaje cambiar todos los caracteres de orden para que el mensaje no se entienda por nadie que no sepa poner los caracteres en el orden correcto. La manera de colocar en la posición correcta a los caracteres lo indica la clave secreta (hablaremos de esto en un artículo futuro). Para hacer esto se usa una clave que diseñamos nosotros mismos, y la introducimos en todos los dispositivos que vayan a comunicarse -por ejemplo, el Router ADSL Wi-Fi y el portátil.
Como podemos ver en la siguiente imagen, representamos la clave por una llave que ponemos en todos los sitios que queramos que se entiendan.
Vamos seguir con el ejemplo anterior, en la parte de recepción del correo del amigo. El correo de nuestro amigo llega, como vimos siguiendo el camino desde el ordenador de nuestro amigo a Internet, y luego desde Internet hasta nuestro proveedor de Internet. Nuestro proveedor mandará el correo a nuestro Router ADSL Wi-Fi y este lo cifrará. Creando así un conjunto de caracteres de apariencia aleatoria (en la imagen representamos el cifrado con el correo morado con candado). Ojo, que quien lea estos datos cifrados no sabrá si quiera si es un correo u otra cosa; no sabrá nada si no tiene la clave correcta.
Y, como es habitual, en una red Wi-Fi: el Router ADSL Wi-Fi mandará el correo en todas las direcciones. ¡Pero cuidado!, nuestro vecino cotilla quiere capturar un correo.
Afortunadamente, al estar cifrado, nuestro vecino cotilla lo único que tiene en su ordenador es un montón de datos sin sentido que no le sirven para nada. Sin embargo, nuestro ordenador, con la clave, nos ha descifrado al instante esos datos sin sentido y lo ha convertido en el mensaje original que mandó nuestro amigo ¡Nosotros sí lo podemos leer en nuestro ordenador! (Nota: un dato puede estar múltiple veces cifrado. En el caso del ejemplo y como se indicó en la anterior nota, podría estar cifrado el correo en sí desde el ordenador de nuestro amigo; luego el Router ADSL Wi-Fi lo vuelve a cifrar y lo manda, cuando nos llega al ordenador descifrará las dos veces para que los podamos leer. De esto hablaremos en otros artículos con más profundidad).
Con esto, conseguimos transmitir datos de una manera segura entre un punto de acceso Wi-Fi y un equipo con Wi-Fi (esto se da en ambas direcciones, desde el Router ADSL Wi-Fi al portátil, y viceversa). Es casi como si tuviéramos un cable conectado entre nuestro Router ADSL Wi-Fi y nuestro ordenador, pues nadie puede ver el contenido de los datos que se envían.
Se ha puesto el ejemplo de un correo que es enviado y recibido mediante Wi-Fi. Este correo representa todos los datos que viajan entre el Router ADSL Wi-Fi y nuestro portátil, por lo que podría ser un vídeo, una imagen, etc. Si no lo has deducido ya, quiere decir que solo tendrán Internet mediante esta red Wi-Fi los equipos que dispongan de la clave correcta. Por tanto, para conectarse a nuestra red LAN necesitarán la clave que hemos puesto, sino no podrá conectarse a nuestra red.
Protección por filtrado de direcciones MAC
No, no es que el ordenador de la marca Apple tenga tanta protección que le sobra para proteger hasta nuestra Red Inalámbrica Wi-Fi.
Además de ser el nombre de la marca de un ordenador, MAC es el acrónimo del inglés Media Access Control -lo que significa en castellano como: control de acceso al medio. Y este MAC es una dirección, de ahí que se denomine “dirección MAC”. También la podemos encontrar con el nombre de “dirección física”.
Como dirección que es, al igual que la dirección de tu casa, es única. Un ejemplo de dirección MAC es “12:34:56:78:90:ab”, lo que son 6 grupos de dos cifras hexadecimales (si no lo recordamos, un número hexadecimal puede ser cualquiera de los siguientes: 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F).
La dirección MAC se encuentra ubicada en la tarjeta de red. Todo aparato con conexión a Internet tiene al menos una tarjeta de red (se llama tarjeta, pues empezaron montándose como las tarjetas gráficas dentro de los ordenadores, en las ranuras de expansión; hoy día suele verse como un chip en el interior de portátiles, Smartphones, Tablets, etc).
¿No sería maravilloso poder solo permitir el acceso a nuestra red inalámbrica Wi-Fi a los ordenadores que nosotros queramos y no a todos? Pues se puede gracias al filtrado por direcciones MAC.
Tenemos nuestro ordenador con una dirección MAC única, lo que significa que no hay dos iguales en todo el planeta. Y tenemos nuestro Router ADSL Wi-Fi con una tabla vacía en la que poder guardar direcciones MAC (el Router ADSL Wi-Fi, al igual que el ordenador tiene memoria para poder guardar datos).
Copiamos la dirección MAC de nuestro ordenador al Router ADSL Wi-Fi.
Es importante activar el “Filtrado por direcciones MAC” de nuestro Router ADSL Wi-Fi, para poder hacer uso de la protección. Hasta ahora, todos los equipos estaban permitidos. Desde que lo activemos, solo estarán permitidos los ordenadores que tengan la dirección MAC en la tabla donde se guardan en el Router ADSL Wi-Fi. Cada petición que haga cualquier ordenador al Router ADSL Wi-Fi, el Router ADSL Wi-Fi preguntará por la dirección MAC del equipo, y si figura en la tabla del Router ADSL Wi-Fi, entonces pasará el filtro y tendrá Internet el ordenador.
Después de haber hecho esto, supongamos lo siguiente: el vecino ladrón de Wi-Fi quiere otra vez conectarse a nuestra Red. Su ordenador tiene una dirección MAC diferente que también es única.
En cuanto intente establecer conexión a nuestra red, el Router ADSL Wi-Fi le preguntará por su dirección MAC. Comprobará que no coincide con ninguna de las que tiene guardadas y le rechazará. Sin embargo, cuando el Router ADSL Wi-Fi coteje nuestra dirección MAC nos dará acceso a la red y por tanto a Internet.
Esta manera de protección es muy robusta. Tanto que es muy difícil saltársela. Para poder conectarse el vecino, tendría cambiar la dirección MAC de su tarjeta de red para poder engañar al Router ADSL Wi-Fi y que le de acceso (esto no es ciencia ficción, se puede hacer). Aún si lo hace, para conectarse todavía necesitaría conocer alguna dirección MAC permitida. El vecino lo tiene imposible.
Me gustó el artículo, aunque en esto de la seguridad es cuestión de cuidarse. Por cierto ayer estaba leyendo este artículo [Dato borrado por seguridad. Más información en http://jarroba.com/faq/ ] y me parece que tiene muy buenos consejos para prevenir este tipo de circunstancias.
Se los dejo por aquí, espero les sirva.
María Teresa
Hey! Gracias, está bien interesante!
Bastante interesante!!! Gracias por la explicación!