Wifi en la oficina: práctico, pero arriesgado

12 Jun 2019

Actualmente, casi todas las oficinas tienen una red wifi y, en ocasiones, más de una. ¿Quién va a querer conectar su portátil con un cable? Por no hablar de los smartphones y tablets. Sin embargo, una red inalámbrica puede ser un punto débil en tu infraestructura informática.

Minería de contraseñas

No todas las empresas utilizan contraseñas complejas y únicas para sus redes inalámbricas y muy pocas se toman la molestia de deshabilitar el nombre de la red. Pero, sobre todo, prácticamente ninguna limita la potencia de la señal wifi para evitar las conexiones desde fuera de la oficina. Por tanto, no hay nada que evite que un posible atacante merodee por la oficina y trate de acceder a las redes corporativas a través de una conexión wifi.

Tan solo lleva unos segundos ejecutar un simple ataque de diccionario en las credenciales de inicio de sesión del router. Hackear combinaciones de contraseñas complejas lleva más tiempo, pero todo es posible siempre que el atacante no tenga prisa. Sin embargo, no siempre es necesario, ya que el atacante puede explotar directamente las vulnerabilidades en el firmware de algunos routers.

Vulnerabilidades del firmware

Los investigadores detectan a menudo las vulnerabilidades que permiten a los ciberdelincuentes acceder a las redes cuando burlan las contraseñas del router y de otros mecanismos de protección. En algunos casos, pueden obtener los permisos de superusuario del dispositivo. En general, los desarrolladores emiten rápidamente parches para estas vulnerabilidades, pero muchas organizaciones no los instalan a tiempo, sobre todo cuando implica reprogramar el firmware.

Red de invitados

Muchas empresas usan diferentes redes wifi para empleados e invitados y es una medida razonable: por un lado, los clientes y otros visitantes pueden conectarse a Internet y, por otro, no tendrán acceso a las redes corporativas ni a los recursos internos. Sin embargo, estas pueden jugar en tu contra.

Es bastante fácil obtener la contraseña de una red de invitados, de eso se trata, ¿no? Pero en algunos casos, si la red está configurada de modo inadecuado, puede permitir que los invitados tengan acceso a la infraestructura corporativa.

Aunque la configuración de la red sea la correcta, tus empleados pueden ponerse en riesgo sin saberlo. Supongamos que uno de ellos quiere acceso a los recursos de red bloqueados por políticas de la empresa y, sin pensarlo dos veces, conecta un portátil con información confidencial a la red de invitados. Ahora, un atacante acechando en la misma red de invitados puede intentar ejecutar un ataque por suplantación de identidad e infectar su portátil con malware.

Cómo reforzar las redes corporativas

Creemos que las redes wifi siguen mereciendo la pena; sin embargo, hay que establecer estrategias de seguridad tanto para el dispositivo como para la configuración de las redes corporativas.

  • Actualiza el firmware de los routers y los puntos de acceso y mantenlos actualizados. Los fabricantes solucionan constantemente las vulnerabilidades, así que no asumas que algo es seguro simplemente porque funcione.
  • Establece una contraseña compleja, larga y única para acceder al wifi. Tus empleados solo tendrán que introducirlas una vez por dispositivo y las contraseñas robustas dificultarán el hackeo de la red.
  • Limita la potencia de la señal de modo que la red no esté disponible fuera de la oficina.
  • Oculta el nombre de la red para dificultar que alguien la encuentre.
  • Elige un nombre para la red que no sea tan obvio ni fácil de adivinar; también borra el número de modelo del router, de modo que los atacantes no puedan utilizarlo para dar con una vulnerabilidad conocida.
  • Aísla la red de invitados de modo que estos no tengan acceso a los recursos internos. Puede que le restes comodidad a tus visitantes (como poder imprimir un documento en tu impresora), pero también reducirás de modo significativo el riesgo de filtración de datos.
  • Utiliza una solución de seguridad de confianza de modo que, aunque un atacante viole la seguridad de tu red, no pueda causar un daño significativo a las estaciones de trabajo ni los servidores.