WiFi y la seguridad por oscuridad

Atención: este post es largo y tiene algunos tecnicismos, pero es sencillo de seguir.

Es ya bien conocido que la tecnología de las redes inalámbricas es insegura por naturaleza. Las implementaciones de la tecnología WiFi (Wireless Fidelity) la hacen suceptible a intrusiones de crackers novatos incluso. Y es que la tecnología de autenticación vía aerea, viene mal configurada de fábrica, por dar soporte a aparatos que no tienen soporte para las nuevas versiones y protocolos de seguridad. Aunque ya existe el protocolo para autenticar de manera segura, muchos dispositivos no se encuentran preparados para esta transición, y aun equipos nuevos se están desarrollando sin considerar los nuevos protocolos de autenticación.

Me explico. Popularmente las redes WiFi están cifradas con el protocolo llamado WEP (Wired Equivalent Privacy), que es un sistema de autenticación digamos básico. El sistema utilizado por WEP tiene la particularidad de utilizar una debil implementación de RC4, escencialmente en el Vector de Inicialización, lo que compromete la seguridad y privacidad de la red seriamente.

Muchos habremos escuchado ya que algún vecino, amigo o conocido están “navegando gratis” ya que “juanqueron la red de un vecino” (eso de juanquear es para hacer notar que de hackers nada, solo son gente que utiliza una fórmula pre-elaborada para lograr un -mal- crimen). Pues bueno, las redes que son comprometidas utilizan básicamente dos implementaciones de WiFi que han demostrado ser una mala combinación: WEP (en cualquiera de sus dos sabores, léase Shared u Open) y difusionar la SSID. Destacemos el caballo.

Primero, entendamos que WEP, para fines prácticos y breves, es lo peor para “asegurar” una red. Si decidimos por ejemplo usar WEP, entonces sería mejor dejar sin seguridad la red, ya que existen técnicas juanqueras para descubrir la contraseña en un promedio de 5 minutos, siempre que haya un equipo conectado por vía inalámbrica. Entonces, la opción natural que existe a estas alturas, sería WPA.

WPA (WiFi Protected Access) también se basa en RC4, básicamente porque WPA no está diseñado para eliminar la tecnología WEP, sino para robustecerla. Lo que pasa con WPA, es que tiene un Vector de Inicialización mucho mayor, digamos cuatro veces más grande que con WEP, lo que logra una contraseña mucho menos transparente para el cracker. Además, si somos paranóicos (como su servidor), usaremos una contraseña que no sea menor al máximo que nos permite la implementación (63 caracteres ASCII), lo que otorgará dos garantías: por el lado del protocolo, el Vector de Inicialización otorgaría un “almacenaje” seguro para la comunicación de la contraseña en el aire, mientras que la longitud de la contraseña haría inviable (a menos que nuestro juanquer tenga en su casa unas 10 computadoras en raid, con lo que lograría conocer nuestra contraseña en aproximadamente cuatro o cinco meses) que el cracker pudiera conocer la contraseña.

Además, para lograr el crackeo de una WEP (o inclusive una WPA), nuestro juanquer tiene que aplicar una técnica llamada “envenenamiento de ARP”. Esta técnica lo que en realidad hace es un desbordamiento de paquetes (en el estricto sentido de la palabra paquetes en el protocolo TCP/IP), lo que genera una desconexión entre el cliente y el punto de acceso. Esto se hace con la idea de actuar como un sniffer, capturando la información que el cliente hace al punto de acceso y poder tener acceso a la información encriptada.

(Paréntesis para no entendidos: digamos que es como el lobo y la abuelita en el cuento de la caperucita. El lobo se come a la abuela -o la encierra en el ropero- y se hace pasar por ella para poder comerse a la caperucita. Pero en este caso, al lobo le importa muy poco la caperucita, lo que le interesa es lo que la caperucita le lleva a su abuela).

Pues bien, WPA tiene prevista esta actividad, ya que fue desarrollada después de que WEP se viera comprometido y la técnica fuera publicada. Sabiendo que WEP fue comprometido gracias al envenenamiento de ARP, los ingenieros determinaron que si hay un intermediario que está capturando los paquetes y forzando la desconexión, el punto de acceso (la abuelita) dejará de responder tanto al cliente legítimo (la caperucita) como a cualquier intruso (el ciber-lobo). Y así, tendrá pocas oportunidades el lobo de hacerse pasar por la abuela, ya que mientras tanto, caperucita está preparada sabiendo cuánto tiempo estará desconectada de la abuela, mientras que el lobo intentará capturar los paquetes durante todo el tiempo, con lo que el cliente sabrá quién es el lobo, quedando totalmente desenmascarado.

Además, ya habiendo verificado la documentación que utilizan los juanquers, para lograr el ingreso a una red protegida con WPA es que para poder determinar la constraseña, no se utiliza la desencripción (como sucede cuando crackean las contraseñas WEP), sino que utilizan un ataque por diccionario. Así, si usamos por ejemplo, pepepecaspicapapas como contraseña, pues obviamente estaremos expuestos a un crackeo, pero si usamos p3p3p3c45p1c4p4p45 (lo mismo pero en l33tz), tendremos muchos menos problemas de seguridad.

Quedan detalles, claro. El único equipo seguro es el que está apagado y sin conexión de ninguna clase. Sin embargo, podemos extender más la seguridad (porque existen técnicas, desconocidas para los juanquers, pero que sí conocen crackers serios, y por supuesto que podrían romper de una forma “relativamente fácil” -los crackers serios tienen equipo serio- nuestra contraseña) utilizando una técnica de seguridad por oscuridad, que viene preimplementada en WiFi.

Primero expliquemos la seguridad por oscuridad: cuando éramos pequeños (y si su papá fue como el mío) en sus casas había por lo menos, una revista piernográfica. Pero nuestros papás eran bien “inteligentes” y tenían un escondite para sus fechorías. En escencia, el escondite es la seguridad por oscuridad: es la falsa sensación de seguridad que nos da el que los demás desconozcan parte de la información que requieren para obtener la información realmente sensible.

Implementar la oscuridad es sencillo: solo hay que configurar el módem de manera que no publique el nombre de la red. Depende de cada módem el método, pero es muy simple. A continuación les indico, en imágenes, cómo hacerlo:

En esta primera imágen, nos encontramos con el pánel básico de administración de un módem 2Wire. Estos módems son los que entrega Telmex para su servicio de aDSL, que además funcionan como Access Point. Cabe mencionar que estos módem/router tienen serios problemas de seguridad (insisto en que ningún sistema es seguro, salvo que no esté conectado a nada, ni al Internet ni a la corriente eléctrica), pero estamos en otro tema. Como es tan extendido el uso de este módem, pues entonces a los lectores mexicanos no les costará trabajo seguir este tutorial.

Como decía, en la primer imágen, notaremos que tenemos que dar clic sobre “Red Doméstica”, para poder entrar al pánel administrativo de la red doméstica, rangos de direcciones y configuración de acceso inalámbrico.

En el pánel de administración de red doméstica, daremos clic en el botón “MODIFICAR CONFIGURACIÓN” del apartado “Configuración Inalámbrica”. Puede que ustedes observen que la imágen no muestra ni nombre del equipo, ni direcciones, ni nada por el estilo. Aunque su pantalla aparezca con más datos, no importa, el resultado es el mismo.

En la configuración avanzada de la red, notaremos bastantes datos. Primero explicaré los datos indicados para este tutorial, y en adelante explicaré el resto de los datos para que puedan ir personalizando su red tanto como crean necesario. Sin embargo, si no saben qué efecto puede tener en su caso específico, recomiendo que no muevan más datos que los recomendados.

Lo primero, es cambiar el nombre de la red y quitar la pestaña de Difusión SSID. La difusión SSID, como ya se ha comentado, nos regala un poco más de seguridad que la que propiamente buscamos con WPA. Es sumamente importante utilizar esta función para poder mantener a ojos indeseables lejos de nuestra red.

En la sección de Seguridad Inalámbrica, seleccionamos “Habilitar”, y utilizaremos la autenticación WPA-PSK (WiFi Protected Access – Personal Shared Key, la mejor protección inalámbrica disponible). Además, utilizaremos una clave de encripción personalizada. Reglas ya dichas, pero que se repiten por lo indispensables que serán: no se deben usar palabras comunes (de preferencia inventadas), no usar combinaciones de palabras simples, y de preferencia utilizar los 63 caracteres que admite máximo el protocolo. Es importantísimo mezclar letras y números.

Si ustedes tienen varios equipos y visitas en casa, es un poco incómodo habilitar el filtrado de MAC, sin embargo también lo detallaré más adelante. Pero si son como yo que limitan bastante sus accesos a su red (por ejemplo, en casa no pasamos nunca de mi laptop y el iPod touch de un amigo que me pide que cargue software en él; y en la oficina generalmente somos los mismos que utilizamos la red WiFi), recomiendo ampliamente que utilicen el sistema de filtrado de MAC. Aunque en algunos momentos es un poco confuso, ya que encontrarse con una larga lista de equipos que han tenido acceso a nuestra red, puede darnos vértigo, sin embargo, con paciencia podrán limitar bastante bien el acceso solo a aquellos equipos que se quieran.

Expliquemos lo que no es fundamental: El modo inalámbrico, es la capacidad en megabits que se puede transmitir en una red específica. De momento, el Access Point del módem en cuestión solo puede transmitir a un máximo de 54 megabits, por lo que, a menos que deseemos una velocidad menor, respetaremos la configuración de 802.11b/g. El siguiente apartado nos muestra el Periodo de DTIM; DTIM es un indicador de entrega de datos, medido en kilomicrosegundos. A menor número, más a menudo deberá entregar el acuse de recibo a la red. Digamos que este valor lo podemos dejar en su valor original, a menos que tuviéramos horribles problemas con la red, y que el periodo DTIM estuviera desajustado. Finalmente existe la potencia de transmisión, y esa es un arma de doble filo: si queremos cubrir más área, le subimos la potencia, pero también damos más capacidad a los juanquers de encontrar nuestra red.

Por último, explicaré el filtrado de MAC, con tanto detalle como me pueda explicar. En los antiguos módems de 2Wire, existía un problema de seguridad, ya que si por ejemplo deseábamos que nuestro equipo ingresara a la red, todos los equipos tenían acceso a la red, siempre que tuvieran conocimiento de la clave de encripción. Como era muy sencillo hacerse con dicha clave, pues virtualmente cualquiera podía conectarse a la red. Poco a poco, la gente de 2wire comenzó a implementar los nuevos esquemas de seguridad (excepto, claro, el filtrado de MAC’s, hasta hace relativamente poco). El filtrado de MAC nos permite discrimiar qué equipos pueden acceder al sistema, aun cuando exista el conocimiento de la clave de encripción. De hecho, en una prueba de concepto que lancé antes de hacer este tutorial, tuve oportunidad de conocer una clave, pero cuando intentaba ingresar a su red, era rechazado por el sistema. El filtrado de MACs lo que hace es impedir que un equipo (o tarjeta de red inalámbrica) específico sea incapaz de interactuar con la red (aun cuando se empareje con el Punto de Acceso). Entonces, si un juanquer fue lo suficientemente capaz de colarse a nuestra red, solo habrá que habilitar el filtrado de MAC y dar acceso a aquellos equipos que deseamos autorizar. Y el resto, a chiflar la loma.

Una disculpa por la extensión de esta entrada, pero hay cosas (muchas, muchas cosas) que explicar en seguridad de redes, y esto solo cubre las partes más importantes y delicadas para cualquier red, incluyendo las hogareñas.

Y sí, estoy feliz de haber terminado

---

P.D. Por cierto, en los módems 2Wire, existe una pantalla más que por lo general verán cuando entran a cualquier configuración:

Solo hay que hacer la observación que si no han cambiado ya su contraseña, la cambien cuanto antes. Además del riesgo de la red que les mencioné, existen otros riesgos como la suplantación de sitios por DNS (pharming), que es menos detectable que el phising, pero persigue el mismo fin: robar su dinero de sus cuentas bancarias. Si cambian la contraseña por una personalizada (y no tratan de abrir todo correo que les llegue), tendrán ganada un poco más de seguridad.