Como proteger nuestra conexión wireless (inalámbrica) de intrusos

router

En este pequeño manual vamos a dar algunas indicaciones básicas para proteger nuestra conexión inalámbrica o wireless 802.11b/g en casa, este tipo de conexión es cada vez más popular ya que conecta nuestras máquinas con internet sin estar tendiendo impresentables cableados por todas las habitaciones, es importantísimo saber protegernos  de posibles intrusos, cuyas gamas van desde vecinos que se quieren pasar de listos y ahorrarse el pago mensual de internet hasta peligrosos hackers que pueden usar nuestra conexión para cometer innumerables fechorías con el resultado de quedar nosotros implicados pues es nuestro IP el que va a quedar registrado en los logs de las víctimas.

1. Habilitar la encriptación. Si usamos encriptación de 128-bits o mayor haremos que nuestra red inalámbrica sea más segura. La encriptación WEP y la WPA son totalmente distintas, WEP ha demostrado ser totalmente insegura y obsoleta y puede ser crackeada en poco minutos usando programas gratuitos que cualquiera puede descargar de internet, recomendamos usar WPA que es mucho más segura, aunque un poco más difícil de configurar. Algunos routers antiguos y tarjetas antiguas no soportan WPA2, si tenemos algunas de estas antigüedades ya es hora de pensar en renovarlas por hardware que soporte WPA2, recordemos que la seguridad es lo más importante y no tiene precio.

2. Colocarle password a nuestro router. Cualquier persona que tenga acceso a la configuración de nuestro router (y es muy fácil tenerla) puede sencillamente desconfigurar todos los parámetros de seguridad que hemos colocado, si olvidamos el password del router no hay que preocuparse, casi todos tienen un sistema de reseteo que devuelven el aparato al estado de fábrica. La mejor opción para un password es usar una secuencia aleatoria (al azar).

3.Usar un password seguro. Nunca usemos passwords del tipo «12345» o «abc123»  para la configuración de WPA2 o del router, debemos usar una secuencia que sea difícil de adivinar y que de preferencia contenga letras en mayúscula y en minúscula y también números, algunos routers no aceptan caracteres especiales como !$% sin embargo si el suyo si lo hace, incluyanlos. mientras más caracteres. mejor, aunque WPA2 tiene un límite mínimo y máximo para el numero de caracteres, tratemos de hacer un pequeño esfuerzo mental, los buenos passwords si bien es cierto son más difíciles de recordar, son también más difíciles de crackear.

Si usamos una clave muy simple o débil o predecible tanto en WPA como en WPA2, esta puede ser crackeada con un tipo de ataque especial conocido como «ataque de diccionario» o «combo» donde se prueban aleatoriamente miles de combinaciones de palabras conocidas, es buena idea usar generadores aleatorios de passwords, hay varios programas gratuitos para ello.

4. Cambiar el SSID (el nombre de la red, Service Set Identifier). Nuestro router viene configurado con un SSID por defecto, este debemos cambiarlo por uno personalizado, un SSID por defecto, le indica a un hacker que la red ha sido configurada por un novato y por lo tanto las otras opciones, como el password, también son las que vienen por defecto, debemos usar un nombre que podamos recordar e identificar, el SSID que elijamos no tiene ninguna influencia en la seguridad de nuestra red. (Aún si tenemos la difusión (broadcast) apagada)

5. Habilitar el filtro de MAC address (Dirección MAC) en nuestro router. La dirección MAC es un código único que posee cada tarjeta de red y que la identifica. El filtro de Mac Address registrará el MAC address de nuestros dispositivos de confianza (pcs, laptops, palms etc) y solo permitirá a estos conectarse con nuestra red, sin embargo tengamos en cuenta que los hackers pueden «clonar» nuestra MAC address y de esa forma entrar a nuestra red, así que no nos confiemos solo en esta opción, sino que usemosla en conjunto con las otras.

6. No deshabilitar la difusión del SSID (SSID Broadcast). Si, se que parece contraproducente esto, y de hecho otros manuales aconsejan lo contrario, pero si lo vemos bien, deshabilitar la difusión es una pésima idea.

Si bien esta medida, torna nuestra red «invisible» a nuestros vecinos, cualquier hacker que sabe lo que hace, puede hacer un «sniff» de nuestras SSID, ya que estamos «forzando» a nuestra computadora a evidenciar nuestra SSID mientras esta tratando de conectarse a la red, esto puede ser usado por alguien para impostar nuestro router con ese SSID, obtener de esa forma nuestras credenciales.

7. Deshabilitar la autenticación remota (remote login). El prime gusano que atacó routers lo hizo de esta forma; muchos nombres de usuario por defecto eran «Admin», no es muy difícil para un gusano o virus crackear el password si el nombre de usuario es conocido, la buena noticia es que los routers normalmente tienen esta opción deshabilitada por defecto, pero aseguremonos que esta deshabilitada cuando hagamos la primera configuración de nuestro router y luego de eso revisemos esto periódicamente, sin en algún momento necesitamos actualizar la configuración de nuestro router remotamente, podemos configurar el acceso solo por el tiempo que estemos conectados.

8. Deshabilitar la administración inalámbrica. Finalmente deberemos cambiar la configuración que permite administrar el router através de una conexión inalámbrica, deshabilitando esta opción. Esto significa que solo podremos acceder a nuestro router desde una computadora conectada através de cable de red, pero también evitara que alguien entre a nuestro router desde fuera de nuestra casa.