viernes, enero 23, 2015

¿Se debe ocultar y apagar la red WiFi de tu casa?

Cuando oigo en las noticias las recomendaciones de seguridad para fortificar las redes WiFi de casa siempre acabo pensando en un montón de cosas, sobre si son correctas o no. Yo hice mi propia lista de recomendaciones para asegurar una red WiFi y evitar tener que acabar hackeando al vecino hax0r que te roba la WiFi, pero aún así hay algunos aspectos que siempre me hacen reflexionar si es mejor una cosa u otra.

Figura 1: ¿Se debe ocultar y apagar la red WiFi?

Apagar o no la red WiFi cuando no la estás utilizando ¿Sí o no?

En teoría, si apagas la red WiFi cuando no estás ayudas a que una atacante no cuente con todo el tiempo del mundo para hacer un intento de hackeo. También está bien, ya que reduces la superficie de exposición temporal a atacantes casuales,  en el ámbito de la WiFi si solo quitas la WiFi y en el ámbito de Internet si quitas el router  completo.

Sin embargo, como contrapartida los vecinos o ladrones rápidamente tienen una forma sencilla de saber si estás en casa o no. Sin necesidad de hacer un seguimiento especial, con ver que tu red WiFi está apagada sabrían que no estás en casa y eso puede ser a veces peor. De hecho hay gente que programa el encendido y apagado de luces para conseguir dejar muestras de actividad en el hogar.

Esto contradice la parte de la Guía para Fortificar Casas donde justo dice que se debe apagar la red WiFi, algo que a mí me hace confundirme más aún.

Ocultar el SSID de la red WiFi ¿Sí o No?

Esta es una de las recomendaciones de las que ya he hablado. Yo soy partidario de cambiar el SSID por uno distinto de los que vienen de fábrica y poner uno distintos del que, a ser posible, no haya Rainbow Tables precalculadas para crackear los paquetes de autenticación WPA/WPA2 y cambiarlo periódicamente, lo que dificultará el que se pueda atacar redes WiFi WPA/WPA2.

Figura 2: Probes capturados de un terminal iPhone

Ocultar el SSID hace que los equipos que buscan las redes WIFI ocultas, por ejemplo tu terminal iPhone, Android e incluso los Windows, vayan emitiendo mensajes PROBE de todas las redes WiFi a las que se conecta. Cualquiera puede capturar esos SSID y buscarlos en una base de datos de WarDriving para saber por donde te mueves, lo que puede afectar a tu privacidad.

Figura 3: iSniff-GPS pinta las ubicaciones por las que se mueve un iPhone

Además, en el caso de que un atacante quiera hackear tu red WiFi, solo necesitaría un cliente que buscara la red oculta, y como hoy en día en la casa hay muchos dispositivos que se conectan, incluso cuando tú no estás, es bastante trivial para un atacante malicioso averiguar el nombre de tu red.

Ahí quedan esas dos reflexiones sobre medidas de seguridad que oigo mucho en los medios de comunicación y que creo que habría que evaluar su conveniencia o no junto con el resto de todas las medidas necesarias para fortificar una red WiFi, sobre todo teniendo en cuenta que los ataques de man in the middle con Fake AP se han popularizado tanto.

Saludos Malignos!

13 comentarios:

Cristian dijo...

Yo soy de los que apagan el router cuando no estoy usando internet en casa, pero los periodos en que no lo uso no tienen por qué coincidir con los que no estoy en casa. Muchas veces estoy en casa y lo tengo apagado, siempre lo apago cuando voy a dormir, por ejemplo (no por ningún magufismo, es sobre todo para ahorrar electricidad, para maximizar la vida útil del aparato y por seguridad también, como dices, la mejor manera de que no lo intenten crackear es que esté apagado).

Xtoxico dijo...

Un Radius montado en una RaspberryPi y el router siempre encendido!! No vamos a estar todo el día enchufando y desenchufando aparatitos, jejejeje

Anónimo dijo...

La mejor manera siempre han sido los señuelos que no parecen señuelos (como la info en la guerra fría entre espías rusos y anglos), cuantos más señuelos con clientes fake mejor, así analizas a tu atacante y creas patrones de fechas, horas...
Y lo más importante tener siempre un sniffer local y monitor controlando tu red WF y si puedes enviarte vía X o Y a tu móvil los cambios en tu red o intrusos mejor! Salu2! ;P

Anónimo dijo...

A veces la mejor defensa es un buen ataque. SSID activado, y como ya han comentado antes hacer un sniffer en local. ten a tus amigos cerca y a tus enemigos mas! ;) "ojo cuidao" donde te conectas o en casa de quién entras nunca sabes lo que te vas a encontrar, los bootnet en tu red privada no son ilegales.

Anónimo dijo...

Hola Chema, gracias por el artículo.

Tengo una duda que me gustaría que sea resuelta; aunque el Wi-Fi de mi Android esté apagado, ¿sigue emitiendo PROBEs?

¿Hay alguna manera de que no lo haga? ¿Ponerlo en modo avión, por ejemplo?

Gracias de antebrazo, salu3.

Anónimo dijo...

Efectivamente, hay muchos remedios de seguridad, que se han plasmado en recomendaciones y se siguen ciegamente, que examinados a detalle son peores que la enfermedad, el segundo caso es muy claro.

Anónimo dijo...

yo les dejo el wifi abierto que se conecten y entren a sus cuentas de facebook, twitter, bancos etc. ni que me valla a denunciar por robarles y todavia valla a decir se que fue el por que me robo su wifi jejeje

Anónimo dijo...

¿ Por que no abierta ? Yo la dejo abierta , me sobra ancho de banda y alguien puede necesitar acceso a internet , a mí me cuesta lo mismo.En cuanto a la seguridad ya sé lo que vais a decir , si alguien comete una fechoría a través de mi red , no pasa nada , la policía no es tonta y para eso están los hackers como Chema ,que auditan los casos graves , tampoco hay que estar con la paranoia toda la vida.

gnumax dijo...

Yo prefiero usar SSID tipo "9€-dia" o similares y aplicar WPA2 PSK y autenticación por MAC (que ya les llevará algo más de trabajo) y monitorizar con Fing o similar para ver quien aparece en escena. Eso si, es mejor tener buenas políticas de seguridad y trabajar con VPN que estar con FakeAPs, Honeypots y chorradas varias. Al final si te tienen ganas entrarán.

Anónimo dijo...

Yo tengo un SSID del tipo JAZZTEL_A2B6, que obviamente no corresponde con el que venía de fábrica. Así espero que los bruteforcers se hostien un buen rato antes de aburrirse.

Alex Ricardo dijo...

Comparto la opinión de algunos con respecto a compartir el ancho de banda. De hecho, en mi particular si algún vecino me pide el password, sobre todo si es para el móvil se lo doy. Allá él si quiere pasar su tráfico y exponerse por una red que no es suya.

Anónimo dijo...

Wpa sin wps activo con 15>20 caracteres por fuerza bruta mm mm...yo paso ;)

Javier8javi dijo...

Soy un nuevo usuario, que está intentando aprender día día. Alguien me recomienda algún software y cómo usarlo para que se dejen de Robarme el Wifi, que tanto me cuesta pagar cada mes. Gracias

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares