La conexión inalámbrica a Internet cambió el “diseño interior” empresarial, hoy en día no es necesario tener un sinnúmero de cables para entrar a la red, no obstante esta “bendición” acarrea algunos inconvenientes de seguridad.
Por: Juan David Pineda C.
Por estos días se ha vuelto una necesidad básica no sólo en hogar sino también en la pequeña, mediana y gran empresa tener acceso a Internet desde todos los lugares.
Con el advenimiento de las redes inalámbricas ahora es posible estar conectado a la red de redes desde cualquier dispositivo que tenga una tarjeta de red inalámbrica, sin importar si es un equipo de escritorio, un laptop o un teléfono móvil; sin embargo son realmente pocas las compañías que prestan atención a la configuración y despliegue de dispositivos de acceso a la red, y mucho menos a la definición de políticas organizacionales que permitan proteger la información, tanto la pública como la privada.
Ante este cuestionamiento les pregunto: ¿cómo está su red inalámbrica abierta? ¿Se encuentra cifrada? Si la información de su red viaja cifrada, ¿cuál es el esquema de cifrado que utiliza? Estos son algunos cuestionamientos que deberían poner a pensar a cualquier encargado de la red en una organización, ya que es la misma información de su empresa la que corre peligro; tanto información pública como confidencial está siendo transmitida Isotrópicamente a todos el mundo sin discriminación.
¿Cómo roban información?
Algunos protocolos de cifrado como el WEP han sido quebrados desde hace unos años por los hackers y hoy en día con herramientas fácilmente obtenidas en Internet como aircrack (http://www.aircrack-ng.org/) pueden “crackearse” contraseñas en periodos de dos a tres minutos, dependiendo de la cantidad de tráfico que pueda capturar el atacante.
Protocolos como WPA e incluso WPA2 a pesar de no haber sido completamente quebrados son susceptibles a ataques de fuerza bruta, un tipo de ataque que por medio de técnicas estadísticas reduce el campo muestral considerablemente para que un programa pueda ensayar distintas claves hasta que dé con la correcta, a pesar de ser tedioso y largo éste puede llegar a ser un ataque efectivo si el intruso es paciente.
Lo más preocupante del asunto es que no sólo se siguen viendo redes inalámbricas configuradas con cifrados débiles como WEP, sino que seguimos haciendo uso indiscriminado de redes abiertas, no sólo en las compañías sino en restaurantes, centros comerciales y demás lugares públicos, redes que al no llevar cifrado le permitirán a cualquier persona acceder fácilmente a datos confidenciales que estén viajando por la red; ahora no se necesita ser un “überhacker” para hacer esto, herramientas como Firesheep (http://codebutler.github.com/firesheep/) ponen al alcance de cualquier usuario sin conocimiento técnico la posibilidad de extraer información personal de cualquiera que se conecte a una red inalámbrica abierta, tan sólo instalando un plugin para el navegador Firefox… Ésta es sólo una de las más conocidas, existen herramientas en Internet que permitirán a un tercero esto y mucho más.
Contraseñas y políticas de seguridad
Cuando se recibe a un cliente, un proveedor externo o simplemente a un visitante en la compañía, y este necesita acceso a Internet, ¿se le niega? ¿Se le entrega la contraseña? ¿Esa contraseña por cuánto tiempo es válida? Y ¿si es un cliente estratégico? Estas son preguntas que ponen a tambalear a más de uno y a preguntarse acerca de la seguridad y de la manera en que está conformada y configurada su red inalámbrica.
En este último caso del usuario invitado a la compañía, deberá entonces existir una implementación de la red que segregue la red privada de la empresa y la red para “invitados”, la cual esté regida por políticas y controles restrictivos a la hora de poder acceder a la red interna. Además de organización en la red, también existen protocolos y esquemas técnicos empresariales como portales cautivos para establecer una capa de control de acceso basado en roles, asó como protocolos que permitan la Autenticación, Autorización y Contabilidad(AAA), haciendo uso mecanismos de Infraestructura de Clave Pública (PKI)y protocolos como RADIUS http://www.lanarchitect.net/Articles/Wireless/SecurityRating/.
Se hace necesario entonces tener dentro de la organización políticas de conformidad de uso en las cuales se especifique que está y que no está permitido hacer a los usuarios de esta red, incluyendo una política de manejo y cambio de contraseñas, ya que gracias a estas es que se reduce la posibilidad de que la red caiga ante ataques de fuerza bruta.
Afortunadamente en el Latinoamérica se viene concientizando acerca de la importancia de la seguridad de la información, no solo a nivel empresarial sino a nive gubernamental, en países cómo Colombia existen iniciativas y leyes en este tema tan neurálgico, como la Ley 1273 de 2009(http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html), conocida como la Ley de Delitos Informáticos en Colombia, la cual protege la información, los datos y los sistemas que utilicen TIC.
Una buena lectura que debería seguir aquel que esté preocupado por su red corporativa o incluso hogareña, es la “Guía para asegurar redes inalámbricas legadas IEEE 802.11” del Instituto Nacional de Estándares y Tecnología norteamericano (NIST por sus siglas en inglés)( http://csrc.nist.gov/publications/nistpubs/800-48-rev1/SP800-48r1.pdf), un documento que definitivamente le ayudará a empezar a endurecer su red contra ciber-criminales, pero esto sólo es el comienzo de una serie de contramedidas técnicas y organizacionales, recuerde que la seguridad no es un proyecto, es un proceso fundamental dentro de la organización.
* Juan David Pineda es Ingeniero de Sistemas de la Universidad Eafit (Medellín, Colombia) e investigador en seguridad informática. Actualmente realiza sus estudios de maestría en la Universidad Oberta de Catalunya en Seguridad Informática, es docente universitario y coordina distintos grupos y semilleros de investigación en el tema de la seguridad. Si desea puede escribirle a [email protected]
Deje su comentario