El WiFi público es tan inseguro que hasta el FBI está recomendando que no lo uses

2
Publicado dic 23.º 2019
267719.jpg
Fuente: FBI

El FBI suele publicar una serie de consejos de manera semanal en una columna en su página web. De una manera similar a lo que hace la Policía Nacional en su cuenta de Twitter en España, el FBI conoce muy bien los riesgos a los que puede exponerse un usuario en la red. Por ello, ahora están recomendando que no utilices las redes WiFi abiertas esta Navidad.

El FBI recomienda no usar las redes WIFI públicas para nada. Estas redes WiFi abiertas suelen estar presentes en todo tipo de lugares como hoteles o aeropuertos, y hay algunos dispositivos que se conectan a ellas automáticamente. Por ello, el consejo del FBI ha sido muy claro: «no permitas que tu móvil, ordenador o Tablet se conecte automáticamente a una red WiFi abierta cuando estás fuera de casa».

Esto es debido a que conectarse a una de estas redes es una invitación a que haya un posible atacante conectado a esa red que intente robar tus datos, ya que en esas redes puede haber un hacker conectado que busque robar datos de tu ordenador. E incluso peor, la red puede ser falsa y estar controlada por este hacker para hacerte creer que estás conectado a la red real del hotel o el sitio en el que estés. En este caso, es posible interceptar el tráfico HTTPS, y el hacker puede llegar a descifrarlo si consigue engañar a tu navegador para que cifre el tráfico con un certificado falso que él tenga en su poder.

El FBI alerta de que pueden colarte malware, robar tus contraseñas, o tomar el control remoto de tu dispositivo. Básicamente, pueden hacer de todo con tu dispositivo, y aún peor si tienen en su poder algún tipo de vulnerabilidad de día cero que no esté parcheada en tu dispositivo.

Por ello, el FBI recomienda a los viajeros que usen los datos de su móvil en lugar de conectarse a la primera red WiFi abierta que encuentren. Incluso dicen que, si lo vas a usar en el portátil, lo hagas creando un punto de acceso a través del móvil para usar los datos.

También recomiendan WiFi para invitados y desactivar la ubicación en redes socialesEn el caso de que sea necesario usar una red WiFi abierta, es recomendable no introducir nunca nuestras contraseñas ni acceder a plataformas sensibles como puede ser un banco. Una manera muy cómoda de protegernos en estas redes es usar una VPN ya que así todo nuestro tráfico irá cifrado en la red y el atacante no podrá hacer nada.

El FBI también ha hablado de la gente que se conecta a nuestra red cuando viene de visita. En estos casos, recomiendan crear una red WiFi para invitados, de manera que éstos no se conecten a nuestra red normal. No sólo por el hecho de que puedan hackear nuestra red (que probablemente no vayan a hacerlo), sino por las vulnerabilidades o malware que pueda haber en sus dispositivos y que pueden extender a nuestra red.

Por último, también recomiendan desactivar la ubicación en las publicaciones en redes sociales para evitar mostrar que estamos lejos o fuera de casa.
Actualizaciones de la comunidad
Otros temas
2 comentarios
El ataque Man in the middle tiene mucho tiempo, otras veces son los propios delincuentes los que crean el punto wifi, mientras no se usen esas redes para pasar datos privados...
No he leído el post, pero hago un resumen de lo que se:

WiFi abierto: se ve alguno, se caracteriza por que la comunicación no esta crifrada per se, si mandas un paquete de red con la información "Hola, esto es una prueba", cualquier usuario malintencionado puede capturarlo y leerlo sin más, de todos modos, las comunicaciones TLS siguen siendo seguras, nadie te puede tirar la contraseña de Google por conectarte a un WiFi abierto sin un esfuerzo titánico de computo (TLS lleva ahí desde el '99 y ninguna de sus versiones esta afectada por ningún fallo de seguridad).

Wi-Fi WEP (Wired Equivalent Privacy -- claro que sí, campeón ): esta cifrado, pero es inútil, es supervulnerable a todo tipo de ataque, así que básicamente peca de los mismos fallos que un WiFi abierto, solo que la gente normal sigue teniendo que usar una contraseña para entrar, los malos no ...

Hay dos variantes, WEP de 64 bits y de 128 bits, pero repito, completamente inutil.

Lo malo es que muchísimos dispositivos antiguos como una PSP o una Nintendo DS necesitan de este tipo de conexión WiFi para poder conectarse entre sí, yo cuando me veo obligado ante la limitación, uso WEP antes que un WiFi abierto para que no se me meta el tipico vecino tocahuevos.

WiFi WPA(1) -- WiFi Protected Access (v1): No veo uno desde hace años, fue creado a la prisa para arreglar la cagadiña de seguridad que fue WEP, es inseguro, pero más seguro que los anteriores.

Hay tres variantes:

WPA-TKIP: La conexión se cifra con TKIP, un cifrado que se ha demostrado inseguro ya hace mucho tiempo.

WPA-AES: La conexión se cifra con AES, este metodo no tiene sentido, se creo para que en el caso de tener dispositivos compatibles con WPA2 que se pudiesen usar junto en una red con dispositivos WPA, pero con mayor seguridad.

WPA-AES/TKIP: Variante que mezcla las dos anteriores, AES tiene prioridad, si un dispositivo no es compatible, el punto de acceso hace fallback a TKIP.

WPA2 -- WiFi Protected Access v2: ahora mismo es el estándar mayoritario, es una tecnología basada en el estándar 802.11i de la IEEE, así que la intercompatibilidad entre diferentes fabricantes de cualquier equipamiento de red esta garantizada, en WPA1 no.

Hay tres variantes:

WPA2-TKIP: Seguramente te estes preguntando que haga esto aquí, el motivo es el mismo que con WPA-AES, no voy a decir nada más.

WPA2-AES: La conexión se cifra con AES, un cifrado que aún no se ha roto hasta la fecha, es lo que se suele usar por defecto.

WPA2-AES/TKIP: Lo mismo que en WPA1, se hace fallback a TKIP si el dispositivo no soporta AES.

WPA3 -- WiFi Protected Access v3: salió hace poco y no lo he visto implementado en ninguna parte, ni tengo en mente que cambia respecto a WPA2, supongo que TKIP se deshecha completamente, creo recordar que empezó con buen pie, con una vulnerabilidad Day-Zero

Ahora, los tres consejos que harán de tu WiFi algo más robusto:

1. Siempre tened el router configurado con una clave puesta por vosotros mismos, nunca la puesta por defecto; que tenga 8 caracteres, letras y números.

Una WiFi WPA2 con una contraseña de 8 caracteres con solo números se puede tirar en 40 minutos con un ataque de fuerza bruta abusando de cualquier dispositivo conectado a la red y en 96h con un ataque de diccionario al router, probado por mí, no me he inventado ningún numero.

1.1 Ya si son 12 caracteres con mayúsculas, minúsculas, números y algún punto, perfecto .

1.2 Envitar poner la dirección de tu casa, NIF (:facepalm:), cumpleaños o cosas así también ayuda, por si hacía falta decirlo.

2. Poned el cifrado en WPA2-AES, cualquier dispositivo posterior a 2010 va a funcionar sin problema ninguno, y así TKIP se va a freir espárragos, es un problema menos.

3. Tened desactivado el WPS PIN, es una tecnología que permite conectarse a un WiFi usando un pin de 4 números, aunque muchos routers cuentan con protección ante ataques de fuerza bruta, apagando temporalmente el WPS, a mi me parece una característica estúpida.

Y eso sería todo, y si con todo alguien os consigue joder, intentad ser su amigo, estáis ante un sujeto peligroso.
Editado por "lchss" 24 dic 2019
Publica un comentario
Avatar
@
    Texto

    Temas