9.7.12

Las mentiras sobre las redes Wi-fi

Originalmente publicado por  Luis Enrique Corredera en elreservado.es, 7 de septiembre de 2010

Bienvenidos a esta tercera entrega de la serie de artículos sobre seguridad en redes Wi-fi [1]. En los anteriores artículos hemos revisado algunos conceptos básicos por los que las redes inalámbricas son mucho más débiles y peligrosas que las redes basadas en cable: las redes Wi-fi usan el aire es un medio de transmisión, y el aire está al alcance de todo el mundo (recordamos las indiscretas vecinas hablando en la primera entrega). La rápida adopción de la tecnología combinada con unas medidas de seguridad muy deficientes y la falta de información acerca de los peligros de las redes Wi-fi nos deja un panorama lleno de jóvenes con portátiles en las calles, intentando usar Wi-fi abiertas de algún vecino, pequeñas empresas que exponen sus ficheros compartidos sin saberlo y personas que transmiten datos sensibles por redes inseguras.

Filtrado de direcciones MAC

En el artículo anterior hablamos de direcciones IP, y comentábamos que son en Internet lo que los números de teléfono son a las redes telefónicas (revisa el segundo artículo sobre redes Wi-fi si tienes dudas). Para complicar un poco más las cosas, nos llega un nuevo concepto que es la dirección MAC (que no se refiere a la marca de ordenadores de la manzana mordida).

Las direcciones MAC son un numerito muy grande que tiene asignado cada tarjeta Wi-fi de cada ordenador en el mundo, y que en teoría cada dirección es única y sólo la tiene una tarjeta de red. ¿Qué es una tarjeta de red? La tarjeta de red inalámbrica es el dispositivo que nos permite conectar nuestro ordenador a redes inalámbricas. La mayoría de vosotros usaréis un portátil que la lleva integrada, así que no la veréis físicamente. Los que tengáis ordenadores fijos seguramente hayáis tenido que ponérsela, interna o por USB. Algunas tarjetas tienen una antena externa, o un conector para ponerle otras antenas con otros parámetros que nos sirvan mejor al uso que queremos darle.

Toda tarjeta de red Wi-fi tiene un numerito único que se llama dirección MAC y se transmite en todas las comunicaciones a nivel Wi-fi. Siendo más precisos, se envía la dirección MAC del emisor y la del receptor en cada transmisión. ¿Para qué? Como recordarás, el aire es de todos, y nuestros ordenadores deben recibir solamente la información que está destinada a nosotros. Nuestra tarjeta de red escuchará todo el tráfico inalámbrico, pero sólo se quedará con el que esté destinado a nuestro ordenador, es decir, lleve como destino nuestra dirección MAC.

Sabiendo lo que es la dirección MAC, algún sesudo borrico de la Wi-fi Alliance [2] tuvo la genial idea de que filtrar las direcciones MAC que pueden conectarse a un router sería una medida de seguridad muy efectiva. Filtrar las direcciones MAC que pueden conectarse significa hacer una lista de direcciones admitidas y descartar las demás. ¿Alguno de vosotros ve ya la debilidad del método?

Pongamos un ejemplo de nuestro mundo cotidiano para ver dónde está el fallo: el sistema de filtrado MAC en redes inalámbricas funciona igual que un vigilante de seguridad en la puerta de un edificio, que tiene una lista en papel de los nombres de las personas a las que tiene que permitir pasar. Los visitantes tienen que llevar su nombre en una etiqueta en su chaqueta para que el vigilante pueda leer el nombre. Si el nombre de la etiqueta está en la lista, puedes pasar. Si el nombre no está en la lista, se te deniega el acceso. ¿Cómo lograrías pasar sin que tu nombre esté en la lista? Es evidente: hacerte una etiqueta con el nombre de alguien que esté en la lista. En la Wi-fi, hacer que la tarjeta de red envíe en sus transmisiones la MAC de otra tarjeta admitida, suplantando así su identidad.

¿Cómo sé quién está en la lista de admitidos? Como ya sabemos, el aire es de todos, y en cada emisión de datos que ocurre se envía la dirección MAC del destino y la del origen. Si un admitido puede comunicarse, un atacante puede ver en el aire cual es la dirección MAC de alguna tarjeta de red admitida, y cambiar su propia dirección MAC por la admitida.

¿Cambiar la dirección MAC? ¿Pero no se supone que es única para cada dispositivo? Hagamos un acto de fe y digamos que las direcciones MAC son únicas para cada dispositivo cuando salen de fábrica. Sin embargo podemos cambiar la dirección MAC de la mayoría de los dispositivos de red con muy poquito esfuerzo. A estas técnicas se las conoce como MAC spoofing, y son conocidas mucho tiempo antes de que el Wi-fi estuviera en las calles. Son tan sencillas de practicar que hasta la Wikipedia nos dice cómo hacerlo [3].

Así desenmascaramos uno de los mitos más peligrosos de las redes Wi-fi: el filtrado de MAC es inseguro. No nos protege del uso no autorizado de la red. Igual que desactivar la configuración automática del artículo anterior, sólo sirve para frustrar a unos cuantos “amigos del Internet gratuito”, pero no será ninguna traba seria para alguien con unos conocimientos mínimos.

Alejar el router de las ventanas

En ocasiones damos con razonamientos que resultan totalmente aplastantes, aunque en algunos casos dejan de lado algún matiz que los convierte en falaces y peligrosos. Uno de estos consejos “de cajón” es alejar el router de las ventanas, o reducir la potencia con la que emiten los routers (algunos modelos permiten hacerlo) para que no haya cobertura más allá de las ventanas.

La deducción es muy directa: si yo no puedo oír a mis vecinas hablar en el patio porque hablan muy bajito, no seré capaz de escuchar lo que dicen (ni meter baza en la conversación). Sin embargo existen dispositivos para amplificar el sonido, y micrófonos que se pueden orientar para captar sonidos lejanos (como los megáfonos pero al revés).

En Wi-fi ocurre lo mismo: si ponemos el router lejos de las ventanas, podremos conseguir que quienes simplemente intenten “escuchar” o “meter baza” en la conexión sencillamente no lleguen. Pero no nos engañemos, esto no impide la conexión. Existen antenas unidireccionales [4,5] (que se pueden apuntar) de alta ganancia (que amplifican mucho la señal) y permiten "ver" conexiones Wi-fi a kilómetros de distancia. Si bien son complejas de alinear a grandes distancias por lo mucho que concentran la señal, se pueden usar de manera muy efectiva para detectar redes inalámbricas que se ven muy atenuadas o incluso no son visibles porque el router está lejos de las ventanas y la potencia reducida.

Hoy hemos hecho caer otros dos grandes mitos de la seguridad Wi-fi, pero aún tenemos mucho de qué hablar: tres artículos y no hemos conseguido una brizna de privacidad en las conexiones, ni evitar que un tercero nos use la Wi-fi sin nuestro permiso. En el siguiente artículo veremos cómo la criptografía acude al rescate de las redes inalámbricas con el malogrado WEP (el Kick Ass del cifrado Wi-fi) y los diversos sabores de WPA. Te espero en el último artículo sobre seguridad Wi-fi donde empezaremos a ver la luz al final del túnel. Mientras tanto, yo iría tirando un cable largo por el pasillo de casa ;-)

Referencias
1.    IEEE 802.11: http://www.ieee802.org/11/
2.    Wi-fi Alliance: http://www.wi-fi.org/
3.    MAC Spoofing: http://en.wikipedia.org/wiki/MAC_spoofing
4.    Fabricar tu propia antena direccional: http://www.seattlewireless.net/DirectionalYagi
5.    Tipos de antenas Wifi: http://wifiw.com/2010/03/descripcion-de-los-tipos-de-antenas-inalambricas-wifi/

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.