wi-fi

Cómo configurar un router Wi-Fi

In Ciberseguridad by Max Czapski16762 Comments

AÑO 2017: VULNERAR TU ROUTER WI-FI ES AÚN UN JUEGO DE NIÑOS.

A menudo, a pesar de conocer la magra posibilidad de ser comprendido, me tomo la molestia de informar a algún conocido de que el acceso a su router Wi-Fi comprende una invitación a ser violentado incluso por el más novicio de los aficionados a la seguridad informática. La reacción a mi sugerencia parecería casi siempre quedar acotada a un magro grupo de desconcertados contraargumentos:

  • “No soy una persona de interés público, ¿quién querría meterse en mi red?”
  • “¿Cuál es la probabilidad de que a alguien se le ocurra ensañarse precisamente con mi acceso Wi-Fi?”
  • “Tengo suficiente ancho de banda, no me afecta para nada.”
  • “No tengo nada que esconder. Si quieren, que miren.”
  • “No conozco a nadie que haya tenido problemas de este tipo, no creo que me pueda pasar justo a mí.”

Por lo general, el autor de tales frases disparadas a modo de aliviar un ego afectado en su sorpresa empieza a preparar sus defensas para apagar todo intento mío de impartir un poco de cátedra. Claro, así lo toma la mayoría, como un intento mío de manifestar arrogantemente mi conocimiento. Esta vez voy a aprovechar la generosidad del medio escrito para continuar la conversación y de manera muy sucinta explicar, sin tecnicismos innecesarios, cuáles son los riesgos de no tomarse en serio la propia seguridad informática.

Puesto que la vasta mayoría de las pequeñas y medianas empresas cuenta con redes de características incompatibles con el perfil de una entidad lucrativa —es decir, redes tanto de una infraestructura como de una administración dignas de una configuración familiar—, el presente artículo está dirigido a los responsables de velar por la seguridad y confidencialidad de la información que jamás debiera caer en manos de competidores o delincuentes. Sin ánimos de agitar las aguas corporativas, tengo la obligación de mencionar que las grandes multinacionales —aún habiendo gastado fortunas en equipo especializado— suelen incurrir en las mismas negligencias al contratar administradores de redes incompetentes o perezosos. Dado que en este último caso las soluciones conllevan una pesadilla de recursos humanos y burocracia, el presente texto no está dedicado al sector de las grandes empresas y corporaciones. Deseo pautar mis recomendaciones de tal modo que quien pueda manipular y configurar sus dispositivos de conectividad directamente, sea capaz de minimizar sus vulnerabilidades en el acto.

¿QUÉ PUEDE PASAR SI ALGUIEN VULNERA NUESTRA RED?

  1. Otros pueden observar información confidencial: accesos a cuentas de banco, números de tarjetas de crédito, contraseñas, mensajes personales, secretos comerciales, audio y video (también provenientes de cámaras de seguridad) y mucho más. Sí, hay más de una manera de lidiar con la seguridad que ofrecen los sistemas de encripción y certificados de conexión segura SSL
  2. La información que circula por nuestras redes y tiene salida a internet puede ser interceptada y reemplazada por otra de la manera que el atacante lo conciba.
  3. El flujo de nuestra red puede ser redireccionado y manipulado. Podemos estar accediendo a sitios peligrosos que simulan ser un servicio conocido por la víctima. El phishing es uno de tantos recursos utilizados para conseguir este fin.
  4. Podemos quedar expuestos a todo tipo de malware.
  5. Nuestra red puede quedar paralizada.
  6. Los atacantes pueden escalar privilegios informáticos hasta comprometer la totalidad de nuestra empresa o vida personal.
  7. Criminales pueden usar nuestros recursos (no sólo informáticos, sino todos los recursos comprometidos al quedar expuesta nuestra información confidencial) para cometer delitos.
  8. Existe la posibilidad de quedar injustamente incriminados de un delito de tal manera que probar nuestra inocencia dependa de un peritaje cuya realización resultaría inverosímil en nuestras circunstancias.

Las ramificaciones que pueden comprender las consecuencias de un ataque informático son impensables si suponemos que estamos en presencia de un criminal versado en ingeniería social. Vale recordar que la información que protegemos rara vez nos pertenece exclusivamente a nosotros mismos y la secuela de una fuga de datos suele culminar en la pérdida de clientes, visitas en juzgados, querellas, la revocación de permisos y licencias o un violento sacudón a nuestras relaciones afectivas.

¿POR QUÉ PENSAMOS EQUIVOCADAMENTE QUE ESTAMOS SEGUROS?

En mi opinión, por tres motivos que obligan a guardar el silencio:

  1. Una empresa que reconoce una infiltración es una empresa que comete suicidio. Para ilustrar: muchas veces el único delito que comete un pirata informático es el de extorsión al exigir dinero con la promesa de no divulgar la existencia de una vulnerabilidad informática que se dejó documentada sin violar accesos.
  2. Revelar nuestra condición de víctimas puede implicar la divulgación de lo personal o confidencial.
  3. La naturaleza técnica del problema, sumada a nuestra ignorancia y la patente impunidad de los criminales, nos incapacita para dar cuenta de los hechos. La documentación de pruebas de una infracción es a menudo una tarea irrealizable.

Todos los años miles (me gustaría pensar que la cifra no es un eufemismo, pero me es difícil hacerlo) de personas se convierten en víctimas de delitos informáticos y afines. Sobre los tipos de ataque escribiré en otro artículo, pero vale indicar que el año pasado varias persona que tengo el agrado de conocer sufrieron irreparables pérdidas en sus empresas a manos de diferentes ataques perpetrados con el protagonismo de diferentes tipos de ransomware. La falta de capacitación básica de su personal en el uso de computadoras en el lugar de trabajo fue suficiente para comprometer una significativa porción de las estaciones de trabajo conectadas a una misma red. Someterse al yugo de un cinturón de seguridad en el coche es suficiente criterio para ser clasificado como una persona con la iniciativa necesaria para comenzar a manejarse con más cuidado en materia tecnológica.

CONFIGURACIÓN DE UN ROUTER WI-FI, PARTE I: LOS PASOS.

Supongamos que accedemos a nuestro router tal y como viene de fábrica.

  • Acceso al panel de administración. Conectamos nuestra computadora directamente al router a través de un cable Ethernet. A continuación necesitamos la dirección de acceso al panel de administración del router, el nombre de usuario y la contraseña. Por lo general, podemos encontrar esta información debajo del dispositivo o en el manual de instrucciones del mismo. La dirección de ingreso suele ser 192.168.0.1 o 192.168.1.1 (direcciones de IP de tipo C pertenecientes a la red local) y la introducimos en la barra de direcciones de nuestro navegador web (Chrome, Safari, Firefox, etc.).
  • Cambio de contraseña de acceso al panel de administración del router. Es esencial cambiar la contraseña de acceso al panel de administración y, en lo posible, también el nombre de usuario. El nombre de usuario y la contraseña que tenemos por defecto varían según el fabricante y modelo del router, pero suelen ser predecibles y no se diferencian mucho entre sí. Además, podemos encontrar en internet listas completas de todos los detalles predeterminados de acceso a routers clasificados por fabricante y modelo. El acceso del que hablamos NO ES la clave que utilizamos para acceder a la red a través de Wi-Fi; es muchísimo más importante y, de no protegerlo, puede ser usado por cualquier desconocido para configurar la subred local controlada por el router de la manera que más le plazca. Para encontrar la sección que nos permite cambiar este acceso, debemos buscar referencias a la palabra “administración”.
  • Cambio de contraseña de acceso a la red a través de Wi-Fi. Si lo que nos interesa es el mayor grado de seguridad posible, aconsejo directamente desactivar el acceso inalámbrico a la red. Si deseamos tener acceso por Wi-Fi, es preciso introducir una contraseña compleja (de MÍNIMO 8 caracteres de longitud) creada por nosotros mismos (evitemos conservar la contraseña que en ciertos casos viene configurada de fábrica y anotada debajo de nuestro router, como en el caso de los routers que nos entregan los mismos proveedores de internet al contratar el servicio). En pocas situaciones se puede justificar una red abierta (sin contraseñas de acceso); si éste es nuestro caso, habrá que tomar precauciones adicionales (limitar el acceso a dispositivos con direcciones MAC específicas no sirve para nada: ver MAC spoofing).
  • Cifrado de la conexión Wi-Fi. Elegimos la opción de cifrado WPA2 y evitamos a toda costa el resto (WEP, WPA). Más información sobre esto ofrezco en la segunda parte de esta guía.
  • Opción WPS. Bajo ninguna circunstancia deberíamos activar la opción de acceso WPS. En general, los routers no profesionales la tienen defecto activada y debemos desactivarla. Más información sobre esto ofrezco en la segunda parte de esta guía.
  • Configuración de acceso WAN. Esta sección corresponde a la configuración del modem y es la que establece la conexión del dispositivo con nuestro proveedor de internet. Los detalles de configuración dependerán del proveedor, que será el responsable de suministrarlos.
  • Configuración de LAN. Ésta es la configuración de los parámetros de nuestra red local. Las opciones que elijamos dependerán de nuestras necesidades. Me limitaré a señalar que, a menos que tengamos una red cerrada con un número de dispositivos cuya identidad será constante, nos convendrá siempre activar el servidor DHCP, que nos permitirá una asignación dinámica de las direcciones IP internas y evitará conflictos y la necesidad de una permanente reasignación de direcciones manualmente.
  • Administración remota. Hemos repasado las opciones básicas de configuración de un router Wi-Fi destinado al uso personal (y en la práctica, muy inconvenientemente, usado universalmente por empresas). El último paso es asegurarse de no tener activada ninguna opción de administración remota que permita acceder a la configuración del dispositivo externamente desde internet.

Es importante ser consciente de que independientemente de las precauciones que tomemos en la configuración de un router destinado a consumidores, la gran mayoría de estos dispositivos es vulnerable a ataques de mayor complejidad.

CONFIGURACIÓN DE UN ROUTER WI-FI, PARTE II: LOS PECADOS CAPITALES.

  1. Las contraseñas: son dos, no una, y ambas son importantísimas. Si bien, por cuestiones de uso, solemos configurar una contraseña de acceso Wi-Fi propia, el curso típico de los pasos de configuración no lleva a cambiar el acceso al panel de administración del router. Debemos hacerlo; de lo contrario, cualquier usuario con acceso a la red tendrá la posibilidad de tomar el control completo de nuestro router y, en casos particularmente perniciosos, es incluso posible sobrescribir el firmware del dispositivo para convertirlo de manera persistente en una herramienta modificada con funcionalidades extendidas al servicio de los propósitos nocivos del intruso.
  2. Cifrado: jamás elijas la opción WEP. Para un completo extraño sin ningún tipo de información previa sobre nuestra red obtener acceso ella representa un esfuerzo de minutos o incluso segundos si hemos configurado nuestro router eligiendo la opción de cifrado WEP. No sólo es trivial el proceso de desencripción de la clave de acceso Wi-Fi a partir de paquetes interceptados en el éter, sino que, una vez dentro de la red, la lectura del flujo de paquetes interceptados se ve simplificada por el hecho de que cada dispositivo conectado a la red comparte la misma clave de cifrado y no se necesita recurrir a técnicas adicionales de falsificación de credenciales. Elegir WEP es invitar a una numerosa audiencia de desconocidos a que intercepte toda nuestra información confidencial.
  3. WPS: el botón para idiotas que atrae intrusos. WPS es una opción que nos permite asociar un dispositivo a nuestra red tan solo presionando un botón, sin necesidad de ingresar una contraseña de acceso. No conozco a nadie, ni he oído hablar de nadie que hiciera uso de esta función. A pesar de ello, WPS es una opción que suele venir activada de fábrica. El problema es que esta primitiva solución destinada a un público tan incompetente que sería incapaz de asimilar el uso de una contraseña, consiste en una autenticación basada en un número PIN  dentro de un grupo de 11.000 posibles variaciones. Violentar el acceso a la red ingresando una por una las combinaciones de números puede llevar desde segundos a un máximo de 10 horas en condiciones típicas. Algunos routers impiden probar sin limitaciones combinaciones de forma bruta, pero tal defensa es de poca ayuda frente a un atacante obstinado. Necesitamos desactivar la opción WPS: no sirve para nada y sólo representa un gran riesgo de seguridad.
  4. Acceso abierto para invitados: ¿es realmente necesario? La respuesta en la mayoría de los casos es “no”. Excepciones pueden ser el caso de un hotel u otros establecimientos que incluyan en su oferta acceso gratuito a internet para sus clientes. Dado el caso, deberíamos tomar la mayor cantidad de precauciones posibles para evitar un uso malintencionado del servicio. Recordemos que el acceso que ofrezcamos a nuestra red puede ser utilizado para cometer delitos en internet o ataques internos a otros usuarios de nuestra red. Medidas de seguridad a considerar incluyen tales como: a) limitación del acceso gracias al uso de una contraseña variable distribuida directamente a los clientes interesados; b) implementación de un portal de ingreso a la web que haga un esfuerzo por identificar a los usuarios y someterlos a una previa aceptación de nuestras condiciones de uso; c) limitación del tráfico a puertos determinados (por ejemplo, el puerto 80 para navegación de páginas web); d) definición de reglas estrictas en el firewall del router o servidor para impedir ciertas actividades como el escaneo de puertos o comunicación interna con otros dispositivos de la red local; e) restricciones de acceso a ciertas clases de contenido o servidores en internet; f) mantenimiento de detallados logs de uso de la red capaces de aportarnos un historial potencialmente útil sin comprometer los derechos de privacidad de los usuarios. Ofrecer acceso abierto a nuestra red sin restricciones es una terrible idea. Si al compartir nuestro acceso a internet con invitados y clientes estamos procurando ofrecer una cortesía, lo mejor sería buscar una manera diferente de agasajar al público.
  5. Interconexión e internet de las cosas. Cámaras de seguridad, televisores, impresoras, cerraduras, iluminación, accesorios y tecnología portátil, dispositivos de almacenamiento masivo y una infinidad de dispositivos más son los posibles huéspedes de nuestra red local. Si todos estos dispositivos conviven en la misma red a la que damos acceso a usuarios de diferente índole, estamos poniendo en un lugar de alto riesgo el contenido que se desprenda de tales soluciones tecnológicas. Las defensas que puedan ofrecer un servidor dedicado, router o el mismo dispositivo en cuestión son insuficientes para garantizarnos la seguridad de nuestra información. Una administración responsable exige la segmentación de la red con un modelo de jerarquía y restricciones bien planificado.

CONFIGURACIÓN DE UN ROUTER WI-FI, PARTE III: PRECAUCIONES ADICIONALES Y BUENAS PRÁCTICAS.

  1. Antes de adquirir un router es importante definir nuestras necesidades en su implementación. Llegado el momento de elegir un dispositivo, debemos realizar el trabajo de estudiar sus características e investigar las deficiencias del modelo que nos interese, puesto que no existen soluciones exentas de vulnerabilidades. A menudo, la promesas de alta funcionalidad se ven directamente ligadas un incremento de falencias en la impermeabilidad a posibles ataques.
  2. Si estamos desarrollando la infraestructura de una red empresarial, es recomendable considerar equipos destinados a funcionar en este tipo de entorno. No obstante, sería un error suponer que toda tecnología diseñada para el mercado corporativo es inherentemente más segura. En el caso de los routers de tipo corporativo (Enterprise), la diferencia yace en una limitación de las opciones de conectividad populares en favor de un control más rígido del flujo de información en la red. Más allá de las mejoras en este aspecto, los dispositivos destinados a este perfil de interconectividad profesional no dejan de presentar insuficientes soluciones a los complejos ataques de delincuentes versados en materia informática. Si nuestro objetivo es cancelar los esfuerzos de atacantes, no podemos dejar de replantearnos la minuciosa organización de los recursos proporcionados por esta pieza de hardware con el fin diseñar y acotar el caudal de transferencias en función de la dinámica necesaria para garantizar la conectividad requerida en la realización de los objetivos de la empresa. En resumen, hay que generar un balance beneficioso entre funcionalidad y restricción apropiado para los objetivos de la empresa y posteriormente neutralizar las vulnerabilidades propias de la plataforma, cuya inexistencia es una ficción. Los dispositivos mejor desarrollados cuentan con una amplia capacidad de análisis exhaustivo y heurístico del flujo de paquetes en tiempo real.
  3. Por último, conviene tratar como regla general la supresión de funcionalidad en favor de restricciones que garanticen un mayor nivel de seguridad, control y acotación de acceso indefinido. Un ejemplo muy simplificado que ilustra este principio podría ser la renuncia al acceso inalámbrico a nuestras redes si las condiciones necesarias para administrar nuestros sistemas es capaz de prescindir de ello.

CONFIGURACIÓN DE UN ROUTER WI-FI, PARTE IV: CUANDO LO QUE NECESITAMOS ES INFRAESTRUCTURA PROFESIONAL Y LA ASISTENCIA DE UN EXPERTO.

La presente guía no desarrolla ni ejemplifica escenarios pertinentes a la estructura de redes complejas en un entorno corporativo. Esquemas de conectividad de semejante índole implican una amplia gama de equipos y sistemas integrados que por separado cumplen funciones muy específicas, operando en los niveles más bajos y elementales de los protocolos que posibilitan la transferencia de datos digitales acorde a los estándares vigentes de interconectividad. Si el entorno informático de tu organización corresponde a este grado de complejidad y has identificado conflictos en su funcionamiento o inconsistencias que afecten la coherencia del flujo de datos, te proponemos que compartas tus inquietudes con nuestro equipo a través de nuestro formulario de contacto. Haremos lo mejor posible por desarrollar una hipótesis que te ayude a definir un plan de acción. Nuestro asesoramiento previo al desarrollo de una solución es absolutamente gratuito y representa tan sólo una opinión informal con el fin de proporcionar una modesta muestra de apoyo fundamentada en el entusiasmo que caracteriza nuestra vocación.

El artículo original fue publicado en https://www.alloutsec.com/es/como-configurar-un-router-wi-fi/ y su autor es quien lo publica nuevamente en el foro de la Cámara de Comercio Hispano-Polaca.

Leave a Comment