4.4 Seguridad: WEP, WAP, WPA-PSK, WEP2, filtrado de MAC’s.

El filtrado MAC básicamente es una opción para evitar la entrada de determinados dispositivos a nuestro router. Dicho de otra forma, podemos crear una lista blanca para que solo esos equipos que hemos seleccionado puedan conectarse al Wi-Fi y tener conexión. Cualquier otro aparato que intente conectarse no podría, incluso aunque tuviera la contraseña.

Es una medida más bien disuasoria para evitar que determinados equipos se conecten en un momento dado o incluso usuarios que no tengan los conocimientos necesarios. Sin embargo si buscamos realmente seguridad no es la mejor medida.

Un usuario con los conocimientos necesarios podría hacer uso de herramientas que permiten saltarse esta barrera de seguridad. Podrían utilizar sniffer con el objetivo de clonar esa dirección MAC. Así podrían acceder a la conexión como si fuera realmente el dispositivo legítimo. Esto lo logra al capturar paquetes en la red y localizar los clientes que estén conectados.

Eso sí, un usuario sin los conocimientos y herramientas necesarios no podría hacer frente a esta barrera. Directamente vería imposible conectarse. Por tanto podemos decir que en cierta medida puede ser una barrera para evitar la entrada de intrusos, pero si hablamos de aspectos más técnicos y de fiabilidad no es la mejor solución.

Un usuario puede cambiar fácilmente su MAC y poner esa que han clonado. Así el router reconocerá el dispositivo del intruso como si fuera legítimo en realidad.

Qué medidas son las más efectivas para proteger el Wi-Fi

Hemos visto que el cifrado MAC no es una buena medida para proteger nuestra red Wi-Fi. Ahora bien, ¿cuáles son las técnicas más efectivas que podemos utilizar? Por suerte podemos llevar a cabo una serie de acciones sencillas para evitar que los intrusos lleguen a acceder a nuestros dispositivos. El objetivo es evitar que puedan acceder a nuestra red inalámbrica y al propio router. Hay muchos tipos de ataques que de una u otra forma podrían poner en riesgo nuestra privacidad y seguridad.

Cambiar las credenciales de fábrica

Algo importante y que muchos usuarios pasan por alto es el hecho de cambiar siempre las credenciales que vienen de fábrica. Esto significa cambiar el nombre del router, por ejemplo. De esta forma no daremos pistas sobre qué modelo estamos utilizando, ya que podría facilitar el trabajo a los intrusos. También debemos cambiar la contraseña para acceder al propio router y nunca dejar la que viene de fábrica.

Esto es algo que va a hacer que ganemos en seguridad. Es importante también echar un vistazo a la configuración, ya que podemos agregar diferentes capas como es elegir correctamente el tipo de cifrado. La idea aquí es hacer que nuestra red esté lo más protegida posible. Hay que evitar dejar todo tal y como viene, tanto al hablar del router como de cualquier otro dispositivo de red que permita configurarlo.

Utilizar claves fuertes y complejas

Por supuesto la contraseña del Wi-Fi tiene que ser fuerte y compleja. Ésta tiene que contener letras (mayúsculas y minúsculas), números y otros símbolos especiales. Todo ello de forma aleatoria y con una longitud considerable. Es importante no utilizar palabras o dígitos que nos relacionen. Va a ser la principal barrera que mantenga a los intrusos alejados y debemos elegir una buena, que no tenga ninguna vulnerabilidad que pueda aprovecharse.

Como medida adicional podemos cambiar esa contraseña de manera periódica. De esta forma nos aseguramos de que la contraseña es fiable siempre y evitamos así posibles ataques de fuerza bruta que puedan llegar a romperla en un momento dado.

Tener un buen cifrado

No basta solo con tener una buena contraseña. Es importante hacer mención al tipo de cifrado que utilicemos en nuestro router. Hay que evitar los que están obsoletos y pueden ser vulnerables. Por ejemplo hablamos del cifrado WEP. Podrían ser explotados por posibles intrusos con los conocimientos y herramientas necesarios. Esto pondría en riesgo la seguridad de todos los equipos conectados a la red.

Nuestra recomendación es utilizar cifrados que sean fiables y actuales. Hablamos por ejemplo de WPA-2 y la última versión, WPA-3. Esto va a permitir que tengamos las redes inalámbricas correctamente protegidas y que no haya ninguna brecha de seguridad que pueda ser explotada por un atacante. A fin de cuentas de nada serviría tener una buena contraseña si usamos un mal cifrado. Hay que evitar riesgos innecesarios.

Mantener el firmware actualizado

No puede faltar el hecho de mantener el firmware siempre actualizado. A veces pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos para llevar a cabo sus ataques. Es esencial que tengamos siempre los últimos parches y actualizaciones instaladas. Es algo que debemos aplicar sin importar el tipo de dispositivo o sistema que estemos utilizando.

Por suerte los propios fabricantes suelen lanzar esas actualizaciones en cuanto surgen fallos de seguridad. Simplemente debemos estar al tanto y no dejar pasar mucho tiempo desde que ocurren esos fallos. Como hemos mencionado, también conviene actualizar otros equipos que tengamos conectados, la tarjeta de red, etc. Siempre es necesario contar con las últimas versiones.

En definitiva, el filtrado MAC puede parecer una medida interesante para proteger nuestros routers y conexiones inalámbricas. Sin embargo en caso de toparnos con alguien con los conocimientos adecuados resultaría en un problema y no sería efectivo. Es por ello que recomendamos a los usuarios contar con otras medidas de seguridad más eficaces como las que hemos mencionado. Así mantendremos siempre el buen funcionamiento y reduciremos el riesgo de ser víctimas de algún tipo de ataque.

WEP (Wired Equivalent Privacy) utiliza una contraseña de entre 40 y 104 bits, y casi desde el principio, fue objetivo de controversias debido a su falta de seguridad.

Su principal problema era que, mediante el análisis automatizado de una buena cantidad de tráfico de red, era posible acabar descubriendo la contraseña, por lo que rápidamente fueron publicadas herramientas que automatizaban los ataques.

La corrección de errores del protocolo está basada en CRC (Cyclic Redundancy Check), que permite alterar la información sin tener conocimiento de la clave, ya que solamente es preciso modificar unos pocos bits.

Es por ello que, actualmente, WEP está en desuso, aunque todavía es posible hallar la posibilidad de establecer una contraseña WEP en los routers y puntos de acceso.

Había que encontrar una solución a los problemas de debilidad que presentaba WEP, así que en 2003 nació el WPA.

WPA (Wi-Fi Protected Access) introduce un nuevo elemento en la ecuación de la seguridad: un servidor de autentificación.

Dicho servidor funciona con una tecnología llamada RADIUS, la cual permite distribuir una contraseña por usuario, aunque en la mayoría de los casos, se utiliza una sola contraseña, ya que el grupo de usuarios es muy reducido. También facilita acceso a cuentas de usuario.

Ello es práctico, por ejemplo, en empresas, ya que permite que a la marcha de un trabajador, se dé de baja su contraseña, sin tener que cambiar las passwords de todos los demás, lo que supondría un pequeño caos. Es para esto para lo que sirve un servidor RADIUS.

La clave sube a un total de 128 bits, con la posibilidad de cambiar de forma dinámica las claves de encriptación de la información mientras se está utilizando la red. Gracias a esto, es capaz de evitar los ataques de recuperación de clave por análisis de grandes grupos de paquetes, ya que al cambiar la clave cada cierto tiempo, se pierde el trabajo hecho en el hackeo.

También incorpora, respecto al WEP, una corrección de errores mejorada, de forma que no es posible modificar la información de cada paquete sin conocer la clave.