La mayoría de los hogares y empresas hacen todo lo posible para mantener a los usuarios no autorizados fuera de sus redes, pero los puntos de acceso y enrutadores Wi-Fi pueden proporcionar a los piratas informáticos una forma conveniente de ingresar.
Esto se debe a que las señales de Wi-Fi a menudo se transmiten más allá de las paredes de edificios y casas hacia las calles, una invitación atractiva para los piratas informáticos. No es de extrañar que el engaño o la conducción por pirateo sea un pasatiempo favorito entre los cibercriminales.
Dado que muchas empresas permiten o incluso alientan activamente a los empleados a conectarse a la red utilizando sus propios dispositivos móviles, tabletas y teléfonos inteligentes, así como computadoras portátiles, no es práctico para la mayoría de las empresas desconectar el acceso a Wi-Fi.
Lo mismo se aplica a los usuarios domésticos de banda ancha que pueden tener invitados que vienen con frecuencia.
A continuación te damos unos consejos para hacer el Wi-Fi seguro:
1. Usa encriptación más fuerte
Algunos puntos de acceso a Wi-Fi aún ofrecen el estándar de protección WEP (Privacidad equivalente a cable) más antiguo, pero está fundamentalmente roto. Eso significa que los piratas informáticos pueden entrar en una red protegida con WEP utilizando una suite de pirateo como Aircrack-ng en cuestión de minutos.
Por lo tanto, para evitar la entrada de intrusos, es esencial utilizar alguna variante de protección WPA (acceso protegido Wi-Fi), ya sea WPA o el estándar WPA2 más nuevo (o WPA3 más adelante).
Para empresas y hogares más pequeños, puede ser práctico utilizar WPA con una clave previamente compartida. Eso significa que todos los empleados o miembros de la familia usan la misma contraseña para conectarse, y la seguridad de la red depende de que no compartan la contraseña con personas externas.
También significa que la contraseña debe cambiarse cada vez que un empleado abandona la empresa.
Algunos enrutadores Wi-Fi ofrecen una función llamada Configuración de protección inalámbrica (WPS) que proporciona una manera fácil de conectar dispositivos a una red inalámbrica protegida por WPA. Sin embargo, los hackers pueden explotar esto para recuperar su contraseña WPA, por lo que es importante deshabilitar WPS en la configuración del enrutador.
En organizaciones más grandes, tiene más sentido usar WPA en modo empresarial, lo que permite a cada usuario tener su propio nombre de usuario y contraseña para conectarse a la red Wi-Fi.
Esto hace que sea mucho más fácil administrar cuando los empleados se van regularmente, ya que simplemente puede deshabilitar las cuentas de ex empleados; pero para usar WPA en modo empresarial, debe ejecutar un servidor (conocido como servidor RADIUS) que almacena la información de inicio de sesión para cada empleado.
2. Use una contraseña segura WPA
Asegúrese de que cualquier contraseña (o frase de contraseña) que proteja su red Wi-Fi sea larga y aleatoria para que un hacker determinado no pueda descifrarla.
Es muy fácil configurar cualquier equipo con su configuración predeterminada, especialmente porque el nombre y la contraseña de administrador predeterminados a menudo se imprimen en el enrutador para permitir un acceso y una configuración rápida. Esto significa que los piratas informáticos lo intentarán para acceder a su red. Cambiar tanto el nombre de acceso como la contraseña dificultará el acceso de un delincuente.
Puede probar la seguridad de su red protegida WPA (sin revelar su contraseña o frase de contraseña) utilizando el servicio CloudCracker. Se le pedirá que proporcione algunos datos (los mismos datos que un pirata informático podría capturar o "olfatear" del aire con una computadora portátil desde cualquier lugar dentro del alcance de su red) y el servicio intentará extraer su contraseña.
Si el servicio no tiene éxito, tampoco es probable que un hacker tenga éxito. Pero si el servicio encuentra su contraseña, entonces sabe que debe elegir una más larga y segura.
Tenga en cuenta que incluso el estándar de seguridad WPA2 es poco probable que resista a un hacker o grupo de hackers bien organizado y obstinado gracias a la falla de Wi-Fi de KRACK que se descubrió en octubre de 2017.
3. Proporcionar una red separada para invitados
Si desea permitir que los visitantes usen su Wi-Fi, es conveniente ofrecer una red de invitados. Esto significa que pueden conectarse a Internet sin tener acceso a la red interna de su empresa o familia. Esto es importante tanto por razones de seguridad como para evitar que infecten accidentalmente su red con virus u otro malware.
Una forma de hacerlo es mediante el uso de una conexión a Internet separada con su propio punto de acceso inalámbrico. De hecho, esto rara vez es necesario, ya que la mayoría de los enrutadores inalámbricos de grado empresarial (y muchos consumidores más nuevos) tienen la capacidad de ejecutar dos redes Wi-Fi a la vez: su red principal y otra para invitados (a menudo con el SSID "Invitado").
Tiene sentido activar la protección WPA en su red de invitados, en lugar de dejarla abierta, por dos razones importantes. El primero es proporcionar un cierto nivel de control sobre quién lo usa: puede proporcionar la contraseña a los invitados que lo soliciten, y siempre que la cambie con frecuencia, puede evitar que el número de personas que conocen la contraseña crezca demasiado.
Pero lo más importante, esto protege a sus invitados de otras personas en la red de invitados que pueden intentar espiar su tráfico. Esto se debe a que, aunque utilizan la misma contraseña WPA para acceder a la red, los datos de cada usuario están encriptados con una "clave de sesión" diferente, que los mantiene a salvo de otros invitados.
4. Ocultar el nombre de su red
Los puntos de acceso Wi-Fi generalmente están configurados de manera predeterminada para transmitir el nombre de su red inalámbrica, conocida como el identificador del conjunto de servicios o SSID, para que sea más fácil encontrarla y conectarse a ella. Pero el SSID también se puede configurar como "oculto" para que tenga que conocer el nombre de la red antes de poder conectarse.
Dado que los empleados deben saber el nombre de la red Wi-Fi de su empresa (y lo mismo ocurre con los miembros de la familia y amigos en un hogar), no tiene sentido transmitirlo para que cualquier otra persona que pase pueda encontrarlo fácilmente también.
Es importante tener en cuenta que ocultar su SSID nunca debe ser la única medida que tome para proteger su red Wi-Fi, porque los hackers que usan herramientas de escaneo de Wi-Fi como airodump-ng aún pueden detectar su red y su SSID incluso cuando está configurado como "oculto."
Pero la seguridad se trata de proporcionar múltiples capas de protección, y al ocultar su SSID puede evitar atraer la atención de los piratas informáticos oportunistas, por lo que es una medida simple que vale la pena tomar.
5. Usa un firewall
Los firewalls de hardware proporcionan la primera línea de defensa contra los ataques que provienen de fuera de la red, y la mayoría de los enrutadores tienen firewalls incorporados, que verifican la entrada y salida de datos y bloquean cualquier actividad sospechosa. Los dispositivos generalmente están configurados con valores predeterminados razonables que aseguran un trabajo decente.
La mayoría de los firewalls usan el filtrado de paquetes, que examina el encabezado de un paquete para determinar sus direcciones de origen y destino. Esta información se compara con un conjunto de reglas predefinidas y / o creadas por el usuario que rigen si el paquete es legítimo o no y, por lo tanto, si debe permitirse o descartarse.
Los firewalls de software generalmente se ejecutan en la computadora de escritorio o computadora portátil de punto final, con la ventaja de proporcionar una mejor idea del tráfico de red que pasa por el dispositivo. Más allá de qué puertos se están utilizando y hacia dónde van los datos, sabrá qué aplicaciones se están utilizando y puede permitir o bloquear la capacidad de ese programa para enviar y recibir datos.
7. Habilite la autenticación MAC para sus usuarios
Puede limitar aún más quién accede a su red inalámbrica permitiendo que ciertos dispositivos se conecten a ella y bloqueando el resto. Cada dispositivo inalámbrico tendrá un número de serie único conocido como dirección MAC, y la autenticación MAC solo permite el acceso a la red desde un conjunto de direcciones definidas por el administrador.
Esto evita que dispositivos no autorizados accedan a los recursos de la red y actúa como un obstáculo adicional para los piratas informáticos que quieran penetrar en su red.