Por: Corey Nachreiner,
Director de Tecnología, WatchGuard Technologies
EUA. Mayo 21, 2021.- Si bien se ha hablado mucho últimamente sobre cuán crucial es para las organizaciones habilitar un entorno inalámbrico confiable, hoy la pandemia nos desafía nuevamente a adoptar nuevas rutinas y variantes laborales para adaptarnos a los cambios implantados en los modelos operativos de las organizaciones.
Este año, la modalidad laboral “híbrida”, permitiría el regreso paulatino de algunos empleados a las oficinas, mientras otros continúan trabajando de manera remota.
Esta situación es muy importante para el área de TI, ya que debe ajustar sus estrategias de seguridad en la nube, de infraestructura de seguridad y concientizar a los empleados acerca de las nuevas amenazas, las implicaciones de seguridad asociadas y la forma de administrarlas.
Ahora bien, trabajar de forma remota es nuestra “nueva normalidad”, y no todas las empresas pueden enviar un punto de acceso AP225W a casa con todos los empleados, desafortunadamente, los estándares de seguridad de Wi-Fi de hoy no abordan la mayoría de las amenazas inalámbricas. A pesar de que estas amenazas han existido desde el inicio de la conexión Wi-Fi, son un gran problema, operativo, comercial y económico.
Para mantener seguros a los trabajadores remotos de los hackers de Wi-Fi debemos tener en cuenta estos 5 consejos:
Conéctese a la red de su empresa a través de VPN (red privada virtual).
Cambie el SSID (identificador del conjunto de servicios) en el modelo de cable o enrutador de su hogar para “ocultar” y mantener alejados a los piratas informáticos de su Wi-Fi.
Use un módem / enrutador protegido con WPA2 o, si puede, con WPA3.
Cambie la contraseña a su red Wi-Fi con frecuencia. No use la configuración predeterminada.
Cree una red de invitados para las personas en su hogar, para que puedan conectarse a ella sin tener acceso a la red de su empresa.
Aunque estos consejos de Wi-Fi lo mantendrán a usted y a su familia a salvo, no siempre lo protegerán contra las seis categorías conocidas de amenazas de Wi-Fi:
Punto de acceso no autorizado: permite a los atacantes eludir la seguridad del perímetro.
Rogue Client: entrega cargas de malware a la red después de conectarse a AP maliciosos.
Punto de acceso vecino o mala asociación del cliente: arriesga la infección al conectarse a otros SSID mientras está dentro del alcance del AP autorizado.
Red Ad-Hoc: utiliza conexiones punto a punto para evadir los controles de seguridad y exponerse al riesgo de malware.
Punto de acceso “Evil Twin”: Atrae a los usuarios a conectarse para espiar el tráfico, robar datos e infectar sistemas.
Punto de acceso mal configurado: abre redes para atacar como resultado de errores de configuración.
Todas estas amenazas no son nuevas y han existido desde que el Wi-Fi se lanzó al mercado hace 21 años.
Está claro que debemos estandarizar las nuevas tecnologías de seguridad inalámbrica que no solo cifran las comunicaciones inalámbricas de los usuarios, sino que garantizan que los dispositivos inalámbricos no sean engañados para unirse a las redes sin ningún tipo de seguridad.
La buena noticia es que existen métodos que las organizaciones pueden usar para defenderse contra cada categoría de ataque Wi-Fi.
En general, las soluciones que brindan el Sistema Inalámbricos de Prevención de Intrusos (WIPS) brindan capas adicionales de seguridad que no solo descubren a los malos actores en su red inalámbrica o en su proximidad inalámbrica, sino que también pueden evitar que sus dispositivos se conecten a redes malvadas e impidan que los atacantes completen sus ataques.
El problema es que hay amenazas de Wi-Fi que funcionan independientemente de estos protocolos de autenticación y cifrado. El ataque Evil Twin/gemelo Malvado, es un ejemplo de este tipo. La finalidad del ataque es redirigir al usuario a una web trampa, en la que el usuario tendrá que introducir la contraseña de su wifi. En este ataque se utiliza el phishing para obtener una contraseña de una red wifi.
El hacker simplemente copia el nombre de la red inalámbrica (llamados SSID) de una red Wi-Fi a la que se ha unido anteriormente, como su red corporativa oficial de Wi-Fi. Desafortunadamente, los usuarios de Wi-Fi se conectan felizmente a cualquier red con el nombre que están buscando. La versión de esa red a la que se unan depende más del alcance y la potencia de la señal de la red que de cualquier otro factor.
Incluso si su red inalámbrica real utiliza un cifrado fuerte como WPA3 para asegurarse de que solo se unan los clientes autenticados, su teléfono o computadora portátil se conectará a una versión falsa de esa red, incluso sin ninguna seguridad inalámbrica habilitada.
Si bien los estándares de seguridad de Wi-Fi tienen protocolos que pueden protegerlo cuando se une a la red correcta, no tienen tecnologías de seguridad en toda la industria que eviten que sus dispositivos se conecten a redes falsas sin saberlo.
Más allá del ataque de Evil Twin, otros ejemplos de amenazas de Wi-Fi de hoy en día incluyen redes inalámbricas ad-hoc o punto a punto, puntos de acceso no autorizados o clientes maliciosos, que persisten a pesar de los estándares establecidos.
Con la aparición de nuevos estándares de Wi-Fi (Wi-Fi 6 y Wi-Fi 6E), debemos buscar formas de mejorar la seguridad de Wi-Fi. Existe la esperanza de que con Wi-Fi 6 y WPA3 esto realmente resuelva muchos de los problemas que tenemos actualmente con WPA2; sin embargo, todavía no brinda protección contra las seis categorías conocidas de amenazas Wi-Fi.
Hasta que no exista un estándar en toda la industria que mitigue todas las categorías conocidas de amenazas Wi-Fi, nuestras comunicaciones inalámbricas no son seguras.
Es hora de poner fin a la inseguridad de Wi-Fi y construir un estándar global que proteja verdaderamente a las organizaciones y sus usuarios de todas las clases de ataques de Wi-Fi.
Quiero poder conectarme a Wi-Fi en casa o en mi cafetería favorita y no tener que mirar alrededor preguntándome si la persona sentada a mi lado en su computadora portátil es un hacker. Los piratas informáticos prefieren ir después de Wi-Fi porque es el eslabón débil en la cadena de seguridad y no se necesita mucho para hackear una red Wi-Fi.
Entonces, ¿qué podemos hacer hoy para ayudar a construir el futuro de un estándar de Wi-Fi seguro en todo el mundo?
Con el objetivo de ayudar a reducir las vulnerabilidades de Wi-Fi, y aprovechando que esta semana se celebró el Día Mundial de Internet, estamos convocando a todos: usuarios, empresas e integrantes de la industria, que se unan al movimiento Trusted Wireless Environment, para abogar por un nuevo estándar mundial de seguridad Wi-Fi, firmando la petición del movimiento.
El movimiento de Entorno Inalámbrico Confiable (TWE) describe las amenazas que WPA3 y otros estándares de seguridad de Wi-Fi no detectan y previenen actualmente y está reuniendo soporte para el desarrollo de un mejor estándar de seguridad de Wi-Fi en todo el mundo.
Todos pueden unirse al movimiento Trusted Wireless Environment. Cada firma que recolectamos nos ayudará a asociarnos con organizaciones como el Congreso de Wi-Fi Caucus, WiFi Forward, PCI Security Standards Council, Wi-FiNOW, IEEE y Wi-Fi Alliance, por nombrar algunos.
Estas organizaciones ayudan a construir estándares de seguridad para las empresas de todo el mundo y queremos unir fuerzas colaborando con ellas para hacer de este mundo un lugar más seguro.
Acerca de WatchGuard Technologies, Inc.
WatchGuard Technologies, Inc. es un líder mundial en seguridad de redes, Wi-Fi seguro, autenticación multifactor e inteligencia de red. Los galardonados productos y servicios de la compañía son confiados en todo el mundo por cerca de 10,000 revendedores de seguridad y proveedores de servicios para proteger a más de 80,000 clientes. La misión de WatchGuard es hacer que la seguridad de nivel empresarial sea accesible para compañías de todos los tipos y tamaños a través de la simplicidad, haciendo de WatchGuard una solución ideal para empresas distribuidas y pymes. La compañía tiene su sede en Seattle, Washington, y oficinas en América del Norte, Europa, Asia Pacífico y América Latina.