¿Qué es el cifrado WEP? ¿Y el WPA2? ¿Tengo siquiera algún sistema de cifrado configurado? Son preguntas que probablemente nunca te hayas planteado, pero, conociendo su respuesta, podrías proteger tus conexiones de manera eficaz frente a ataques externos. Tranquilo, nosotros te echamos un cable.
Seguro que no es la primera vez que escuchas que hay que cambiar la contraseña que viene por defecto con nuestro router, ya que no es ni mucho menos segura. Por supuesto, esta afirmación es cierta, aunque conocer algunos detalles más sobre nuestras conexiones nunca está de más, de cara a aumentar la seguridad de nuestras conexiones.
No tengo cifrado
Si no tienes ningún sistema de cifrado, significa que tu red está abierta a todo el mundo. Cualquier usuario se podrá conectar a nuestra red sin necesidad de introducir ninguna contraseña. Suele ser la opción elegida en lugares públicos, que quieren ofrecer conexión gratuita a todos los visitantes.
Es importante conocer que estas conexiones son funcionales, aunque no seguras. Por eso, no recomendamos realizar movimientos comprometedores a través de ellas, como compras online o transacciones bancarias. De hecho, incluso conectarnos a nuestras redes sociales de esta manera puede suponer un riesgo para nuestra privacidad.
¿Qué es eso del cifrado WEP o WPA?
El cifrado WEP es uno de los más antiguos, ya que se aplica desde 2001. Debido principalmente a su antigüedad, se considera que este método es bastante débil e inseguro, pues existen programas a través de los cuales podemos desentrañar las claves que protegen en tan solo unos minutos.
Por lo tanto, esta no será la opción correcta.
WPA, o WiFi Protected Access, se diseñó con el objetivo de suplir las carencias del sistema WEP. Normalmente, utiliza un sistema llamado PSK. Mediante este protocolo, un solo usuario puede especificar una clave, para que la utilicen el resto de personas que quieran conectarse a través de ella. Es ideal, por ejemplo, para empresas, ya que todos los usuarios pueden compartir una contraseña global.
Cuenta con una segunda versión, el WPA2, que mejora el rendimiento y la seguridad de su homónimo. La compatibilidad entre WPA y WPA2 es total, de manera que cualquier dispositivo que funcione con una, lo hará también con la otra.
De momento, nos olvidamos de ella también.
¿Qué cifrado utilizan las conexiones WPA y WPA2?
En primer lugar, existe el cifrado TKIP, que combina una clave temporal de 128 bits con la dirección MAC de cada equipo, para producir cada clave de manera individual. Recientemente se han detectado algunas vulnerabilidades que exponen las claves, y por lo tanto los datos de los usuarios, lo que nos hace plantearnos el uso de una opción diferente.
El Advanced Encryption Standard, o cifrado AES es el más recomendable a la hora de encriptar nuestras contraseñas, ya que además de ofrecer la mayor protección, también aumenta la velocidad de conexión WiFi frente a TKIP.
Actualmente, es sin duda el sistema de cifrado más seguro del que podemos disponer. Hasta la Agencia de Seguridad Nacional de los Estados Unidos ha hecho uso de él, así que podemos estar tranquilos.
Pero entonces ¿qué tengo que hacer para proteger mi red WiFi?
Eleven Paths es nuestra solución, una vez más. Os resumimos brevemente los principales pasos que aconseja realizar Chema Alonso para proteger nuestras conexiones. Los más expertos podéis echar un vistazo directamente en el post original, que cuenta con información ampliada.
Protege la red WiFi
Teniendo en cuenta todo lo que hemos comentado anteriormente, lo más adecuado para garantizar la seguridad de nuestras conexiones sería utilizar un sistema WPA/WPA2 – PSK con cifrado AES.
Aun así, la elección manual de nuestra contraseña es un asunto importante, ya que por mucha encriptación que queramos aplicar a nuestra password, si elegimos alguna como ‘1234’ o ‘asdf’, no será muy difícil que la descubran.
Los principales puntos a tener en cuenta, a nivel usuario, para elegir una buena contraseña es que sea larga y fácil de recordar. ¡Tampoco queremos que se nos olvide! Un buen consejo es utilizar caracteres parecidos a los que serían los originales, pero que no sean exactamente los mismos. Por ejemplo, podemos cambiar los ‘oes’ por ceros, las ‘aes’ por ‘@’ o las ‘ies’ por unos. Y si le echamos un poco de imaginación, las combinaciones pasan a ser infinitas. Además, para ponerlo un poco más difícil… ¿por qué no alternamos también entre mayúsculas y minúsculas?
Igual de importante es cambiar el nombre del SSID, el nombre de la propia red. Si no es un nombre estándar de los que vienen por defecto, mejor. Una vez hayamos hecho esto, debemos ocultar el SSID, de manera que no emita constantemente el nombre de la red a través de la WiFi. Antes de hacerlo, claro, deberás configurar tu ordenador para que se conecte a la red aún cuando esta «no se detecte».
También recomendamos cambiar con cierta frecuencia tanto el nombre de la red como su contraseña. Cuanto más dinámica, más segura.
WiFi Protected Setup (WPS) es una característica que permite a equipos externos conectarse a la red WiFi a través de un código temporal. Desactivarlo nos garantizará estar protegidos frente a este tipo de ataques.
Y el consejo más sencillo de todos. Aunque sea algo engorroso, es bueno apagar la red WiFi mientras no la estemos usando. Mientras está apagada, es invulnerable.
Protege el router WiFi
El primer consejo, es el que damos constantemente, ya se trate de programas, aplicaciones, sistemas operativos o, en este caso, routers. Siempre que el fabricante lance una actualización del sistema, lo más recomendable es instalarla lo antes posible. Estos cambios sirven para parchear posibles vulnerabilidades o fallos, de manera que es inteligente hacerse con ellos.
Lo ideal es que solo alguien que esté conectado a la LAN (la red local), pueda modificar los parámetros del dispositivo. Para ello, es aconsejable desactivar la consola de adminsitración en la WAN (la red amplia).
Por último, recomendamos filtrar el Firewall por IP, para evitar que se puedan conectar los ordenadores de nuestra red a ningún puerto a través de internet.
Protege la conexión WiFi desde el cliente
Los equipos que funcionan con Windows validan automáticamente el BSSID, para comprobar que no ha cambiado el identificador de la red. Pero en Mac e iOS, no sucede de esta manera. Si tienes uno de estos dispositivos, echa un vistazo a este enlace para saber de qué manera actuar.
Como ya comentamos anteriormente en Think Big, utilizar una conexión VPN, además de tener otras ventajas, también es más seguro. De esta manera se evita que cualquiera pueda interceptar nuestra comunicación con el servidor. Eso si, una vez hagamos esto, debemos configurar correctamente el Firewall para que restrinja los protocolos de entrada a nuestro equipo.