Inicio Portada Si tienes WIFI, es probable que tengas un grave problema de seguridad

Si tienes WIFI, es probable que tengas un grave problema de seguridad

Cómo todo hijo de vecino que tiene contratado un servicio de Internet, dispondrás de un flamante router de servicio que te ha proporcionado y en ocasiones instalado, tu proveedor de Internet. Hoy día la mayoría de estos router están equipados con WIFI, algo a lo que muy pocos están dispuestos a renunciar por las evidentes ventajas que supone el hecho de no depender de un cable para poder disfrutar de Internet en tu ordenador, tableta o móvil.

La mayoría de los usuarios y profesionales saben lo fácil que puede resultar romper la seguridad de una red WIFI y aprovecharse del servicio de Internet del vecino o que el vecino se termine aprovechando del tuyo, nadie está a salvo.

Al igual que ha ocurrido en el ámbito doméstico, las redes WIFI han proliferado enormemente en mundo el empresarial, pero su reputación de baja seguridad ha hecho que su uso en este ámbito esté mucho más restringido y se enfoque a proporcionar un servicio para visitas o para usuarios con gran movilidad. Aún así, la mayoría de las WIFI desplegadas en empresas, sobre todo si son pequeñas, adolecen de los mismo problemas que las WIFI domésticas, y el motivo es bien simple: los proveedores de servicios de Internet instalan los mismos router en las empresas que en tu casa. Algo que desde mi punto de vista resulta completamente incomprensible, puesto que los escenarios son totalmente distintos, y las necesidades y requisitos muy diferentes.

No importa el router que te instalen, todos son “chinos”, como se suele decir de casi todo hoy día, se adquieren por cientos o miles a proveedores asiáticos, y son equipos que están diseñados para ofrecerte unas funcionalidades muy básicas, por mucha velocidad que pueda tener tu línea, en definitiva, no le pidas peras al olmo.

Lo cierto es que uno esperaría que estos aparatos estuvieran un poco más evolucionados, y que proporcionasen mecanismos o diseños que reforzaran la seguridad, teniendo en cuenta que están instalados en millones de hogares y empresas, pero no es así, de hecho su funcionamiento sigue siendo exactamente igual que hace 10 años, y peor aún, todos ellos incorporan un fallo de diseño que sigue ahí después de muchos años y nadie parece haberse dado cuenta.

Usualmente el router permite que te conectes de dos formas: por cable y por WIFI. Imagina tu ordenador de sobremesa conectado por cable a tu router y al mismo tiempo tu móvil o tableta conectado a la WIFI. Es un escenario muy normal, aparentemente no hay nada raro. Teniendo en cuenta este escenario, seguramente ya sabrás que el ordenador de sobremesa y el móvil, son visibles entre si, puesto que a pesar de que ambos están conectados por medios distintos (cable y WIFI) ambos equipos están en la misma red, y lo que es aún peor, ambos están en el mismo segmento de red, en definitiva es como si los dos estuvieran conectados a un switch y por tanto, se podrán ver entre si, sin ningúna restricción. Aunque esto pueda parecer muy cómodo, desde el punto de vista de la seguridad, ES UNA BARBARIDAD, SE MIRE COMO SE MIRE.

Teniendo en cuenta los problemas de seguridad que tienen ya de por si las redes WIFI y que casi todo el mundo las configura de una forma muy laxa y básica, estamos abriendo nuestra red doméstica o de empresa de par en par, a través de nuestra estupenda WIFI.

REDES SEPARADAS

La solución es bastante sencilla. Bastaría con crear dos redes completamente separadas entre sí en el router (dicha separación se debería de llevar a cabo en la capa 2 y capa 3 del modelo de Referencia OSI, esto es para los informáticos y aquellos que poseen algún conocimiento de redes) y debería de ser una funcionalidad nativa, es decir, que estaría incorporada de fábrica en el router y sería la configuración por defecto.

Un router con esta configuración de base, permitiría disponer de WIFI pero mantener tu red de cable completamente aislada y viceversa. Tanto los equipos de la red de cable, como los equipos de la red WIFI dispondrían de Internet, pero por así decirlo, estarían en dos salas completamente separadas y cada una de esas salas dispondría de una puerta para salir a Internet completamente independiente la una de la otra.

Si un intruso consiguiera acceder a nuestra WIFI, el mayor de los males sería que se aprovecharía de nuestro servicio de Internet, pero los ordenadores y equipos de nuestra red de cable estarían a salvo.

CONTROL DE ANCHO DE BANDA

Además, un diseño de este tipo permitiría implementar fácilmente un control de ancho de banda para el acceso a Internet. Por ejemplo, si la red de cable es la más importante, se podría establecer en el router que el 80% del ancho de banda disponible para salir a Internet estuviera dedicado exclusivamente para la red de cable, y el 20% restante estuviera destinado a la WIFI. En caso de que un intruso accediera a nuestra WIFI, su velocidad estaría limitada, por lo que la red de cable no se vería afectada en gran medida, seguiría disponiendo del 80% de la velocidad y el intruso no podría saturar nuestro servicio de Internet.

REGLAS DE PASO ENTRE REDES

Si un usuario necesitara comunicación entre la red WIFI y la red de cable, se podrían establecer reglas sencillas para permitir el paso entre ellas. Esto no significa perder las ventajas que ofrece la separación que hemos comentado, las reglas podrían permitir el paso a una sola IP, o varías, no necesariamente a todas.

Este diseño está cada vez más extendido en las empresas y organizaciones que conocen los riesgos de las redes WIFI, pero por desgracia, para poder aplicar este diseño tendrás que invertir en un router que lo permita, que los hay y que permite hacer muchas más cosas, lógicamente con ciertos conocimientos.

Las implicaciones que tendría un diseño base como el que se ha comentado para la mejora de la seguridad son muchas. Las redes WIFI dejarían de ser un “enorme problema de seguridad”, seria más pequeño. Un diseño como este, no solucionaría todos los problemas y desde luego no va a evitar que alguien consiga acceder si posee los conocimientos necesarios, pero será mucho más difícil y sería el complemento perfecto a las medidas tradicionales que ya existen, como el uso de contraseñas robustas, el uso de WPA2+PSK, el acceso controlado por MAC, etc.

Si lo piensas, ahora mismo millones de hogares y empresas dependen de un router que se instala sin apenas medidas de seguridad. Si a estas alturas estamos así, tal vez no estamos haciendo las cosas demasiado bien.

tbi