¡Red Wifi a la vista! Parte 2: medidas que podemos tomar para prevenir riesgos

Siguiendo con el tema de mi anterior post, el peligro de conectarse a redes wifi que no son de nuestra propiedad, continuamos aquí explicando algunas medidas que podemos tomar para prevenir riesgos.

Medidas enfocadas al gestor de la infraestructura

• Mantenerse informado sobre novedades en los ataques y novedades en seguridad, así como mantener la red actualizada en nuevas herramientas, aplicaciones, firmware…
• Establecer varios niveles de seguridad de acceso en la red wifi, siendo conveniente plantear la seguridad por dispositivo, no genérica, para una fácil identificación, y mayor seguridad.
• Plantear la conveniencia de aislamiento de los usuarios/equipos conectados entre si, y/o dotar a los elementos de red de políticas (permisos)/rutas de acceso, y/o generar varias redes lógicas/virtuales que nos aíslen de un potencial peligro
• Implantar el análisis de rendimiento de la red (rastreadores de la red) y realizar análisis de trafico de usuarios con limitaciones y alertas.
• Activar la detección y alertas de sniffers o suplantación.
• Utilizar un access point con capacidad de escaneo del medio aéreo en búsqueda de detección nuevas apps “piratas”.
• Dotar a la red wifi de un nivel elevado de seguridad (en acceso y en transmisión). Un nivel de seguridad tan elevado como nos permita la compatibilidad con nuestra flota de dispositivos “clientes” a conectarse.

Medidas enfocadas al Usuario

• Actualizar las tarifas de conexión de datos a la red móvil nacional, y negociar/aprovechar las muy buenas tarifas para datos en roaming móvil. Y valorar utilizar solo la red móvil, especialmente fuera de la oficina.
• Mantener el dispositivo actualizado. En bastantes ocasiones, estas actualizaciones son nuevas funciones de las aplicaciones, pero otras corrigen agujeros de seguridad en los equipos. No esta de más leer la explicación de qué mejoras realiza una actualización de una aplicación.
• Apagar el wifi si no vas a utilizarlo. Aparte de ganar en seguridad, se ahorra batería. Hay aplicaciones equivalentes muy prácticas que gestionan la conexión wifi según horario o ubicación, que nos ayudan a optimizar/alargar la duración de la batería y a aumentar la seguridad
• Plantearse la autenticidad del ssid al que nos vamos a conectar y quien es su propietario. Ejemplo: ¿tenemos dos ssids demasiados parecidos pero distintos para una misma cafetería? A nadie ofende la consulta al camarero de la cafetería para validar cual es su “wifi” legítimo.
• Borrado del historial de redes almacenadas. Todas quedan almacenadas, y se recomienda mantener solo las de plena confianza. La conexión podría ser automática, incluso a una red con igual nombre y configuración que pretende suplantar a otra.
• ¿Conexión automática a la red wifi? Solo para redes conocidas (casa y trabajo). Y aun así hay que estar atentos a dónde está conectado nuestro dispositivo: La replicación de un ssid donde previamente nos hemos conectado (ayuntamiento, biblioteca, cafetería,…) por parte de un hacker provoca la conexión automática del dispositivo, y el propietario del mismo puede no llegar a enterarse de a quién está conectado.
• Valorar los datos que exponemos y la confianza de una red wifi a la que nos conectamos.
  • Valorar qué uso/aplicaciones se van a usar una vez conectado versus que sospechosa es una red wifi y cuanto tiempo se mantendrá la conexión. No es lo mismo sesiones largas con acceso a zonas privadas donde enviamos nuestra validación (nuestro usuario y contraseña) que conectarse 3 minutos para, solo, una consulta, como leer la portada de un periódico online o buscar un teléfono de un hotel.
  • Valorar:
    • ¿Es un dispositivo corporativo con acceso a información clave o una tableta que solo se usa para la lectura de libros?
    • ¿Existe información clave en el móvil o solo se almacenan fotos que previamente ya se han publicado en una red social?
    • ¿Qué duración calculamos que tendrá la conexión? No sería lógico manejar información sensible durante horas y horas en una red dudosa. A más tiempo, más probabilidad de conseguir información.
    • También cabe el análisis del riesgo de las aplicaciones a utilizar: ¿solo son aplicaciones que trabajan con protocolos seguros? Por ejemplo, páginas web seguras, email seguro, acceso remoto seguro… ¿O las aplicaciones que se conectaran son múltiples y sin conexión segura?
    • A parte de ello, en una red ajena de no plena seguridad, se recomienda minimizar el tráfico de las aplicaciones que controla el usuario. Y se recomienda la desactivación de sincronizaciones automáticas (o manuales) durante los días de uso de la wifi. Existen virus diseñados para entrar en el móvil o tableta utilizando las sincronizaciones automáticas. Posiblemente, varias de estas actualizaciones puedan esperar a nuestra vuelta.
    • ¿Qué atractivo tiene la red a la que me conecto para un hacker? ¿Y qué atractivo tiene mi persona/mi equipo? Parte de los hackers se mueven por dinero, o sea, por el valor de la información lograda o por soborno/chantaje. Los eventos/ubicaciones con servicio de “wifi”, masivos en asistencia con perfil profesional (no tecnológico, y que habitualmente es propensa a confiar en la red wifi del evento), por ejemplo, los congresos profesionales u hoteles de negocios, son concentraciones atractivas para un hacker. Hay mucho valor en esos dispositivos.

  Otras medidas. Implementar un vpn

  También podemos implementar algo tan simple como un vpn. Está bien indicar el utilizar solo aplicaciones con conexiones “seguras”, pero para un usuario no tecnológico puede ser difícil identificarlas, y posiblemente acabe usando más aplicaciones.

  Una solución muy simple es la generación de un túnel seguro (vpn) desde la ubicación donde estemos hasta un punto de confianza (la empresa o el hogar de alguien). En su configuración, debemos indicar que curse el tráfico por el otro extremo del túnel.  De este modo evitamos el problema de que alguien intermedio “sniffe” (escuche) nuestro trafico para analizarlo. Esta vpn, además, nos permitiría disponer de servicios añadidos (recursos de la oficina, extensión interna de telefonía pudiendo emitir llamadas con nuestro número de cabecera…). Es una solución muy recomendable, es fácil de configurar y nos da mucha protección y seguridad, dado que protege todo el tráfico de todas las aplicaciones del equipo.

  En esta línea, Google aporta el servicio de tunelización “google vpn”. No es tan completa y está ideada justamente para usarse y asegurar un acceso a un wifi desconocidos. Nos permite generar un túnel seguro desde un dispositivo Android, de modo que los datos viajen seguros.

  Solo para usuarios más avanzados, existen extensiones como dot vpn para chrome, que nos permite activar una vpn en el navegador (de paginas web). ¡Ojo! Solo nos aseguran el tráfico del navegador chrome, no del resto de aplicaciones. Es por ello que no resulta tan recomendable ni completo como un “cliente” de vpn.

  Un pequeño inconveniente de esta gran solución para los muy viajeros es que conectaremos a internet en el otro extremo del túnel (en la empresa u oficina), por lo que, por ejemplo, los navegadores/buscadores de internet no reconocerán la ubicación real del usuario sino que nos reconocerán la ubicación del otro extremo del túnel, mostrándonos información geográfica del otro extremo del túnel.

  Existen conexiones vpn tipo ssl que resultan muy cómodas al ejecutarse por medio del navegador.