Wi-Fi en la oficina: conveniente pero riesgoso

14 Jun 2019

Actualmente, casi todas las oficinas tienen una red Wi-Fi y, en ocasiones, más de una. ¿Quién querría conectar su laptop con un cable? Y ni qué decir tenemos de los smartphones y tablets. Sin embargo, una red inalámbrica puede ser un punto débil en tu infraestructura de TI.

Extracción de contraseñas

No todas las empresas usan contraseñas complejas y únicas para sus redes inalámbricas, y muy pocas se toman el cuidado de deshabilitar la emisión del nombre de la red. Y absolutamente ninguna limita la potencia de la señal de Wi-Fi para evitar las conexiones desde el exterior de la oficina. De este modo, no hay nada que evite que un potencial atacante merodee por la oficina y trate de acceder a las redes corporativas a través de una conexión de Wi-Fi.

Toma unos segundos ejecutar un simple ataque de diccionario en las credenciales de inicio de sesión del enrutador. Hackear las complejas combinaciones de contraseñas lleva más tiempo, pero es posible si es que el atacante tiene prisa. Sin embargo, no siempre es necesario, ya que un atacante puede explotar las vulnerabilidades en el firmware de algunos enrutadores.

Vulnerabilidades del firmware

Los investigadores a menudo detectan las vulnerabilidades que permiten a los malhechores acceder a las redes al burlar las contraseñas del enrutador de Wi-Fi y otros mecanismos protectores. En algunos casos, pueden obtener los privilegios de superusuario del dispositivo. En general, los desarrolladores crean rápidamente parches para esas vulnerabilidades; el problema es que muchas organizaciones no los instalan de manera oportuna, especialmente cuando implica reprogramar el firmware.

Red de invitados

Muchas empresas usan diferentes redes de Wi-Fi para empleados e invitados. Este es una medida razonable: por una parte, los clientes y otros visitantes pueden conectarse a internet; por otra, no tendrán acceso a las redes corporativas ni a los recursos internos. Sin embargo, las redes de Wi-Fi pueden jugar en tu contra.

Es bastante fácil obtener la contraseña para una red de invitados, pues de eso se trata. Pero en algunos casos, si la red está configurada de modo inadecuado, puede permitir que los invitados tengan acceso a la infraestructura corporativa.

Incluso si la configuración de la red es la correcta, tus empleados pueden ponerse en riesgo sin saberlo. Supongamos que uno de ellos quiere acceso a los recursos de red bloqueados por políticas de la empresa. Sin pensarlo dos veces, conecta una laptop con información confidencial a la red de invitados. Ahora, un atacante acechando en la misma red de invitados puede intentar ejecutar un ataque por suplantación de identidad e infectar su laptop con malware.

Cómo reforzar las redes corporativas

Creemos que las redes Wi-Fi son valiosas; sin embargo, requieren estrategias basadas en seguridad tanto para el dispositivo como para la configuración de la redes corporativas.

  • Actualiza el firmware de los enrutadores de Wi-Fi y los puntos de acceso, y mantenlos actualizados. Los fabricantes están constantemente arreglando las vulnerabilidades, así que no asumas que algo es seguro solo porque funciona.
  • Establece una contraseña compleja, larga y única para acceder al Wi-Fi. Tus empleados necesitarán acceder a ella solamente un vez en cada dispositivo. Las contraseñas fuertes dificultan el hackeo de una red.
  • Limita la potencia de la señal de modo que la red no esté disponible afuera de la oficina.
  • Oculta el nombre de la red para dificultar que alguien la encuentre.
  • Elige el nombre de una red que no sea tan obvio ni fácil de adivinar; también, borra el número de modelo del enrutador, de modo que los atacantes no puedan usarlo para buscar una vulnerabilidad conocida.
  • Aísla la red de invitados de modo que éstos no tengan acceso a los recursos internos. Puede que le restes comodidad a tus visitantes (como poder imprimir un documento en tu impresora), pero también reducirás de modo significativo el riesgo de filtración de datos.
  • Utiliza una >solución de seguridad confiable de modo que, incluso si un atacante viola la seguridad de tu red, no podrá causar un daño significativo en las estaciones de trabajo ni los servidores.