News

Búsqueda de redes inalámbricas (War-driving) en Alemania: CeBIT2006

Tuvimos muchas respuestas después de que publicamos nuestra investigación sobre las redes inalámbricas en China (específicamente, en Pekín y Tianjin -vea mayores detalles aquí). Nos contactaron las compañías interesadas en la seguridad de la información, así como muchos lectores de nuestro sitio web, www.viruslist.com. Algunas oficinas locales de Kaspersky Lab nos invitaron a realizar investigaciones similares en sus países. Todas las respuestas indicaron de forma clara que la seguridad de las redes inalámbricas es un tema de gran interés.

Nuestra última investigación fue realizada en CeBIT 2006. CeBIT es la feria de seguridad de la información más grande del mundo que se realiza en Hannover, Alemania, y teníamos una buena razón para elegir este escenario para nuestra investigación.

En primer lugar, las ferias no sólo atraen a usuarios y fabricantes de software y hardware. Los piratas informáticos también son atraídos por la oportunidad de irrumpir en las redes de las compañías que participan en tales ferias. Casi todas las firmas que participan en tales eventos establecen sus propias redes locales, que a menudo se conectan con el servidor principal de la compañía. Estas redes locales, por lo general, tienen una configuración de baja seguridad, y son establecidas con rapidez; estos factores incrementan el riesgo de ataques de piratas informáticos. Desde luego, una de las principales formas de atacar tales redes es por medio del Wi-Fi.

En segundo lugar, los piratas informáticos utilizan las ferias de comercio, no sólo como una oportunidad de atacar a las compañías; también apuntan a visitantes. Un ejemplo notorio ocurrió en InfoSecurity, Londres, el año pasado, cuando un grupo de timadores instaló varios puntos de acceso falsos que proveían una interfaz falsa para conectarse a la red pública. Los usuarios confiados se conectaron e ingresaron sus contraseñas y otros datos confidenciales, y esta información fue enviada directamente a los propios piratas informáticos.

Realizamos nuestra investigación el 9 y 10 de marzo de 2006, en la CeBIT 2006, en Hannover. Recolectamos información de aproximadamente 300 puntos de acceso. No intentamos conectarnos a las redes que encontramos, ni interceptar o descifrar tráfico.

Redes Wi-Fi

Velocidad de transmisión

Durante la investigación detectamos un número casi igual de redes operando a 11 Mbps (más del 47%) y a 54 Mbps (más del 51%). También detectamos una cantidad limitada de puntos de acceso utilizando velocidades de transmisión menos comunes (22, 24 y 48 Mbps).


Velocidad de transmisión

Velocidad de transmisión, %

Frabricantes de los equipos

Detectamos 18 equipos de fabricantes distintos. 7 fabricantes eran los más populares; sus equipos eran utilizados en un 28% de los puntos de acceso en la CeBIT2006. Un 5.5% adicional de los puntos de acceso utilizaban equipos de otros 11 fabricantes.

Fabricante Porcentaje
Symbol 16.15%
Intel 5.50%
Linksys 1.72%
D-Link 1.37%
Netgear 1.37%
Cisco 1.03%
Proxim (Agere) Orinoco 1.03%
Otros 5.51%
Desconocidos, falsos, definidos por el usuario 66,32%

Porcentaje de equipos usados en las redes detectadas

Estas cifras difieren de forma significativa de los datos recogidos en China y Moscú. En China, los equipos utilizados con más regularidad fueron fabricados por Agere y Cisco (Linksys), mientras que en Moscú, los fabricantes más comunes eran Cisco y D-Link. Sin embargo, en la CeBIT2006, los equipos utilizados con más regularidad provenían de Intel (5.5%) y Symbol (16.5%). Es probable que esta diferencia sea causada por la participación que tienen en el mercado las distintas compañías en los diferentes países. Cuando se elige un equipo para Wi-Fi, la decisión está influida en alguna medida por la reputación del fabricante en el mercado doméstico.


Lamentablemente, en una gran cantidad de casos, no pudimos determinar cuál era el fabricante del equipo.


Equipos definidos/ sin definir

Es probable que el alto porcentaje de casos en los que no se pudo determinar el fabricante, se deba a que se estén utilizando nuevos equipos; tales equipos no son reconocidos por los escáneres Wi-Fi actuales.

Tráfico cifrado

La investigación War-driving en diversas ciudades alrededor del mundo muestra que la cantidad de redes Wi-Fi que no utilizan ningún tipo de cifrado de datos es de aproximadamente el 70%. Nuestra investigación en China mostró un número significativamente más bajo, con solamente un 59% de las redes sin cifrado.


Redes cifradas/ sin cifrar

Menos del 56% de las redes no tienen protección de cifrado; esto representa una mejora tanto en las estadísticas internacionales, como en las estadísticas recogidas en China. Sin embargo, aún si sustraemos los puntos públicos de acceso a la red (detectados como disponibles en la CeBIT2006), la cantidad de puntos de acceso sin protección está en niveles altos inaceptables. Debemos resaltar de nuevo que estos puntos proveen acceso a las redes locales de las compañías participantes en la CeBIT – un objetivo primario de los piratas informáticos.

Tipos de acceso a la red

La gran mayoría de redes inalámbricas alrededor del mundo (aproximadamente el 90%) están basadas en puntos de acceso ESS/AP. Como se dijo antes, las redes en la CeBIT diferían de forma significativa, en términos de infraestructura de red, de las redes estándar, tal como lo demuestran los datos de abajo.


Entre las conexiones que detectamos, más del 40% eran IBSS/Peer. Esto se debe sin duda al carácter temporal de las redes, que requieren la conexión inalámbrica de una gran cantidad de ordenadores. Tales puntos de acceso pueden considerarse como parte de las redes internas de las compañías.


Tipos de acceso a la red

Configuración predeterminada

Una de las formas más efectivas de proteger las redes contra el war-driving es deshabilitando el SSID (Identificador de Configuración del Servicio, en inglés Service Set Identifier). Nuestra investigación mostró que cerca del 8% de los puntos de acceso inalámbricos en la CeBIT2006 tenían el SSID deshabilitado. De éstas, el 89% utilizaba cifrado WEP. No hay duda de que estos puntos de acceso inalámbricos son los mejor protegidos contra ataques maliciosos.


Configuración predeterminada

Otro resultado interesante fue el SSID predeterminado. Como regla, esto significa que el administrador del punto de acceso no cambió el nombre del router. También podría indicar que la cuenta administrativa utiliza también la contraseña predeterminada – ambos factores hacen a las redes potencialmente vulnerables al ataque. Nos animó el hecho de que sólo 2 puntos de acceso, de cerca de 300, utilizaban el SSID predeterminado, lo cual muestra que los administradores eran concientes de los temas de seguridad.

Búsqueda de redes inalámbricas (War-driving) en Alemania: CeBIT2006

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada