Desde que Marconi fundara en 1903 la Marconi’s Wireless Telegraph Company, Ltd., que mantuvo un servicio de noticias entre Europa y los Estados Unidos, hasta nuestros días, la comunicación inalámbrica ha facilitado en gran medida el funcionamiento del mundo tal y como lo conocemos.
Las ondas permiten una velocidad y comodidad que no proporcionan los cables. Sin duda, el futuro se describe sin cables que nos aten. ¿Podemos sentirnos seguros ante la llegada de esta nueva tecnología? Describimos los ataques más comunes y las formas de protegerse.
En cuento nacemos, se nos separa de nuestras madres, rompemos el cordón umbilical que nos une físicamente y quedamos ya desde entonces, expuestos a los más oscuros peligros del mundo exterior. Así quedan las empresas que deciden romper con los cables que los atan a las paredes, expuestos sus datos en el aire, si saber realmente que pueden estar divulgando literalmente a los cuatro vientos toda la información con la que cuentan.
“Esnifar” o “pinchar” la red wireless es casi trivial y se puede tener acceso libre a muchos datos. Al ser una estructura relativamente nueva, su configuración provoca muchos despistes de los que se aprovechan los llamados hackers, que luego, con razón, podrán tachar al administrador de incompetente. Como veremos, esto no es necesario.
Las ondas de radio viajan a través de las paredes, se nos escapan y distribuyen más allá del ordenador al que van destinadas. Esta propiedad supone el problema esencial para este tipo de redes, aparte de otros factores que son más difíciles de controlar o detectar (interferencias, distancia, inestabilidad atmosférica…).Con un escáner de frecuencia que suele costar entre 100 y 200 euros, cualquiera puede acceder a una red privada. Normalmente, este tipo de intrusión se realiza con un simple portátil equipado con una tarjeta WNIC (Wireless Network Interface Cards) del tipo PCMCIA y un software que busque automáticamente puertas de enlace o nodos de acceso válidos. Tan fácil como ejecutar un programa y esperar mientras te mueves por la ciudad. A esta técnica de búsqueda de nodos de acceso wireless se la conoce por varios nombres: warchalking, wardriving o stumbling. El wardriving cuenta cada vez con más adeptos que publican en diversas páginas web aquellos puntos de acceso que encuentran sin protección. Si se consigue una dirección de IP válida para una red, no sólo se podrán absorber datos personales, sino que probablemente, como cualquier otro usuario legítimo de esa red, se tendrá acceso gratuito y anónimo a Internet.
Y para muestra un botón. Hispasec proporcionaba la noticia: Un estudio realizado por Hewlett-Packard demuestra la penosa situación de seguridad que sufren las redes inalámbricas en Madrid (y por extensión las españolas). En concreto, dos terceras partes de la red se encontraban desprotegidas ante los ataques más básicos.
Como si de un test de intrusión a nivel general se tratara (de ellos ya he hablado en otro artículo) los investigadores de HP realizaron un recorrido por las calles con un vehículo, con la única compañía de un ordenador portátil con tarjeta Wi-Fi, un software de detección de redes y una antena omnidireccional. Con este método pudieron detectar cerca de 7.500 ordenadores y sistemas conectados a 518 puntos de acceso inalámbrico. El diez por ciento pertenecía a grandes empresas.
Orthus, una organización del Reino Unido dedicada a la información sobre seguridad, realizó un estudio en 2002 sobre la seguridad de las redes inalámbricas en Europa. Orthus, con un equipo que consistía en un ordenador portátil equipado con una tarjeta ‘wireless’ y un software de detección de red aérea, comprobó que de las 1689 redes accesibles desde las calles de siete de las más importantes ciudades europeas, sólo el 31% tenía habilitado WEP (Wired Equivalent Privacy, el equivalente a la privacidad con redes físicas) para cifrar su tráfico. El 57% mantenía su red con los valores por defecto que vienen de fábrica, y el 43 % cometía otros grandes errores que hacían muy fácil la detección e interceptación del tráfico, como por ejemplo, habilitar DHCP (la posibilidad de recibir direcciones IP dinámicas en tiempo real), lo que posibilita a los hackers maliciosos el robo de las direcciones, tomar “prestado” ancho de banda o montar ataques a terceros a través de esa red.
Pero, aunque estos datos sean de hace más de un año, parece que no aprenden la lección. En Irlanda del Norte, Kevin Curran, catedrático de la Universidad del Ulster advertía hace algunas semanas del dramático estado de las redes wireless en Londonderry, una pequeña ciudad en Derry, Belfast. En esta localidad, pudieron entrar en una tarde en 15 empresas distintas, y descubrieron que, con poco esfuerzo, podrían haber violado la seguridad de otras cinco. Lo que necesitaron, una vez más, fue un equipo casero, no demasiado caro, accesible a cualquiera que desee hacer una inversión mediana en un ordenador. “No había ni una sola red bien protegida” sentenció Curran para terminar.
Las redes Wireless se imponen con fuerza, pero pocos se preocupan de securizarlas convenientemente. EL propio estándar ofrece ciertos problemas de diseño. El protocolo 802.11b, o Wi-Fi (Wireless Fidelity), es un estándar desarrollado por la Wireless Ethernet Compatibility Alliance, que une a más de cien empresas como Intel, Cisco, IBM o Microsoft. Su éxito radica en su velocidad, 11 Mbps, y en que usa una frecuencia que no necesita licencia, 2,4 GHz. El IEEE (Institute of Electrical and Electronics Engineers) ya ha definido el nuevo estándar 802.11i, una versión mejorada del que ya deben seguir todas las redes inalámbricas. Reparará los agujeros de seguridad existentes en la norma actual 802.11, pero los productos que lo implementen no se distribuirán hasta dentro de aproximadamente un año.
Cuando la red convencional comienza a concienciarse sobre el problema de la configuración y la actualización de sus sistemas, surge una nueva forma de comunicación en el que parece que todos confían ciegamente, sin saber que probablemente, estará en el punto de mira de la nueva generación de hackers, ávidos de excitantes experiencias que les permitan aprender con nuevas tecnologías.
No hay comentarios:
Publicar un comentario