Introducción
Los lectores asiduos de los análisis publicados en VirusList ya se habrán dado cuenta de que Kaspersky Lab presta especial atención a los problemas de las redes y los protocolos inalámbricos. Internet se está convirtiendo de una red de ordenadores en una red de los más diversos dispositivos: el papel de los dispositivos móviles sigue creciendo a la par de los diferentes medios de comunicación usados. Como regla, las comunicaciones se realizan precisamente por medio de redes inalámbricas. Este fenómeno es relativamente nuevo y por eso provoca un alto interés entre los hackers y las compañías de seguridad informática. La situación se complica porque, como todo lo nuevo, las redes y protocolos inalámbricos todavía no se han librado de una serie de “enfermedades infantiles” y pueden ser muy peligrosas en manos de usuarios poco preparados.
Nuestro laboratorio realiza con regularidad investigaciones en este campo, para darle una idea sobre el estado real de las cosas y, en lo posible, informarle sobre los problemas existentes. Los principales objetos de nuestra atención son los puntos de acceso WiFi y los dispositivos móviles con Bluetooth.
En el marco de nuestras investigaciones, ya hemos publicado notas sobre el estado de las redes inalámbricas en las ciudades chinas de Pekín y Tianjin; sobre las redes que funcionaron en la exposición CeBIT 2006; artículos sobre los virus para teléfonos móviles y los problemas del protocolo Bluetooth.
Esta vez el lugar de nuestros experimentos es la capital de Gran Bretaña, en general; y en particular la exposición InfoSecurity 2006 que se realizó a finales de febrero. Es bastante conocido el incidente que ocurrió el año pasado en InfoSecurity London, cuando un grupo de estafadores instaló en la exposición varios puntos de acceso falsos, que imitaban el interfaz de ingreso a la red pública. Los usuarios, sin sospechar nada, se conectaban a esos puntos de acceso, ponían sus contraseñas y otros datos confidenciales que de inmediato caían en manos de los hackers.
Además de InfoSecurity, nos interesaba el estado general de protección de las redes WiFi en los barrios de negocios de Londres, como también la estadística de los dispositivos Bluetooth en la exposición, el metro londinense y en las calles de la ciudad. Con suerte, hubiésemos podido atrapar personalmente uno de los gusanos móviles, Cabir o Comwar, que según la información de F-Secure fueron notados en Gran Bretaña. Le contaremos más detalles sobre este tema en el artículo sobre el Bluetooth que publicaremos en breve.
Wi-Fi
La investigación se realizó el 25-28 de abril de 2006 en el Grand Hall (InfoSecurity 2006), el barrio Canary Wharf y otros lugares de Londres. Durante la investigación se reunieron datos sobre más de 600 puntos de acceso. En el marco de nuestro estudio no se efectuaron intentos de interceptar o descifrar el tráfico de las redes inalámbricas.
La distribución estadística de los puntos WiFi descubiertos es la siguiente:
- InfoSecurity – más de 200
- Canary Wharf – más de 260
- Otros lugares de Londres – unos 150
Velocidad de la transmisión de datos
Velocidad de transmisión (según la ubicación)
Velocidad de transmisión, totales
Como vemos en los gráficos, los datos recogidos en los tres diferentes puntos son prácticamente idénticos. Las redes de 54Mb son las más extendidas y su cantidad fluctúa desde un 64% (InfoSec) hasta más del 70% (Londres), lo que da un término medio de casi 68%. En CeBIT el porcentaje de estas redes era apenas superior a la mitad (51%), y en China de solo el 36%. Esto es una prueba de que en Gran Bretaña está mucho más extendido el uso de equipos con nuevas versiones del protocolo 802.11.
El segundo lugar en popularidad lo ocupan las redes de 11Mb. Se ubican en el diapasón desde un 23% hasta un 33%, con un termino medio de 28,5%. En China su índice fue mayor al 58%, y en CeBIT de 47%.
La cantidad de redes con velocidad de transmisión de datos de 22 a 48Mb en ningún lugar superó el 6%, lo que coincide con los datos de China y Alemania.
Así, podemos decir que en Londres existe un nivel más desarrollado de redes inalámbricas.
Productores de equipos
La estadística de los productores de equipos se diferencia notablemente en las tres localidades, por eso presentaremos los datos para cada localidad en particular.
En total se detectó equipos de 33 productores.
En InfoSecurity se detectó equipos de 18 productores. Los equipos de los cuatro productores siguientes eran los más difundidos y eran usados por más del 25% de las redes que funcionaban en la exposición.
Fabricante | Porcentaje |
Aruba | 16.18% |
Intel | 5.39% |
NetGear | 1.96% |
Cisco | 1.96% |
Los equipos de los demás 14 productores se usan en menos del 10% de las redes.
Como se puede ver, en más del 64% de los casos el productor de los equipos no fue identificado (falso, desconocido, definido por el usuario). Este índice es bastante similar a los datos análogos de equipos no determinados en CeBIT (66%) y se diferencia considerablemente del porcentaje en China (66%).
En el barrio Canary Wharf se detectó equipos de 16 tipos, de los cuales cinco son los más extendidos y se usan en el 24% de las redes.
Fabricante | Porcentaje |
Cisco | 11.07% |
CyberTAN | 4.20% |
2Wire | 3.05% |
NetGear | 3.05% |
Symbol | 2.67% |
Los equipos de los demás 11 productores se usan en menos del 10% de las redes.
En el 66% de los casos el productor de los equipos no fue determinado (falso, desconocido, definido por el usuario), un porcentaje similar a las de las redes de InfoSecurity.
Los datos de los barrios de Londres elegidos al azar mostraron la más amplia variedad en los equipos utilizados en una pequeña cantidad de puntos WiFi. En total, son 21 productores, de los cuales tres se destacan de forma notable ya que más del 30% de las redes funcionan con sus equipos:
Fabricante | Porcentaje |
CyberTAN | 18.38% |
Cisco | 7.35% |
2Wire | 4.41% |
Los equipos de los otros 18 productores se usan en el 22% de las redes. Aquí también se registra el menor porcentaje de aparatos indeterminados: menos del 48%.
Como vemos, en cada localidad la composición de los productores líderes es completamente diferente.
El liderazgo de Aruba en InfoSec y la considerable cantidad de CyberTan en los otros lugares es la diferencia más notable de la estadística inglesa en comparación con la china y alemana.
En esos lugares no se detectaron los productores mencionados.
La estadística sumaria de los cinco productores más difundidos en las tres localidades es la siguiente:
Fabricante | Porcentaje |
Cisco | 7.14% |
CyberTAN | 5.98% |
Aruba | 5.48% |
Netgear | 2.49% |
2Wire | 2.33% |
El índice de equipos no identificados en Londres es de 61,46%.
Cifrado del tráfico
Posiblemente, el indicador más importante e interesante de las redes inalámbricas sea la proporción entre la cantidad de redes protegidas y no protegidas. De conformidad con los datos de la investigación realizada por los wardrivers en las diferentes ciudades del mundo, la cantidad aproximada de redes inalámbricas dónde no se usa ningún método de cifrado del tráfico es del 70%. En Pekín, el índice que detectamos fue menor al 60%, en cambio en CeBIT 2006 fue igual al 55%. La investigación en Londres debía responder a la preguntas: ¿es cierta la afirmación de que el índice mundial medio de redes protegidas/no protegidas es del 70%? ¿en las grandes exposiciones informáticas este índice es el mismo?
Así pues, veamos en primer lugar los datos de las redes que funcionaban en la exposición.
Cifrado del tráfico en general
InfoSecurity 2006 London
El índice del 62% es inaceptablemente alto. En su mayoría, todos ellos eran puntos de acceso a los equipos y ordenadores de las compañías presentes en la exposición, y por lo tanto, eran uno de los objetivos principales de los hackers. Este índice es superior al de CeBIT, lo que es extraño, porque InfoSecurity es una exposición más especializada, donde están representadas las compañías que se dedican a la seguridad informática, de las cuales podríamos esperar una actitud más seria ante sus propios puntos de acceso.
He de confesar que después de obtener estos datos en la exposición, realicé con gran interés la investigación en el nuevo barrio de negocios de Londres, Canary Wharf. Ubicado al sur de la Isla de los Perros, y al este del centro de Londres, es un conglomerado de rascacielos a cuya cabeza está el edificio más alto de Gran Bretaña, el Canada House, de 238 metros. En este barrio se encuentran las oficinas de varios bancos mundiales (HSBC, Citibank y otros), compañías de seguros, agencias de prensa, etc. Son precisamente estas organizaciones las que pueden convertirse en víctimas de los hackers y los ladrones de información comercial. Es evidente que tienen puntos de acceso inalámbrico, la cuestión es cuán protegidas están.
Los datos obtenidos son sencillamente conmovedores.
Canary Wharf
Sólo el 40% de los puntos de acceso no usan el cifrado de datos. Este es el menor índice en toda la historia de nuestras investigaciones. Si tomamos en cuenta que de este 40% una parte pertenece a los puntos de acceso a Internet en los centros comerciales ubicados en Canary Wharf, entonces el nivel general de protección en este barrio es prácticamente ejemplar. Se ve que aquí las compañías se preocupan de su seguridad y son conscientes de los problemas que conlleva el uso de WiFi en la infraestructura de las propias redes. Podemos añadir que prácticamente cada centímetro de Canary Wharf está bajo el constante control de las cámaras de vídeo, por lo que las acciones de los wardrivers llaman la atención inmediata de las fuerzas de seguridad de los bancos, y el aullido de las sirenas policiales que se oye con regularidad puede sacarles más de una cana a los delincuentes. Bueno, la verdad es que allí también existen redes no protegidas, y yo detecté a 20 metros de un banco muy conocido, una señal fuerte y clara de un punto de WiFi no protegido.
Lamentablemente, no tuvimos tiempo de realizar una investigación similar en el antiguo barrio londinense de negocios, el City. Sería bueno determinar si el elevado nivel de protección de las redes en Canary Wharf es un fenómeno local y único característico de Londres o es una práctica común de todos los barrios de negocios. Pero tarde o temprano obtendremos la respuesta a esta pregunta.
El nivel del uso de WEP/WPA en Canary Wharf no fue la única sorpresa que nos dio Londres. Tenemos un 62% de redes no protegidas en la exposición, 40% en un barrio de negocios… ¿cuál es el porcentaje de las mismas en los barrios comunes de Londres? Este resultado es también impresionante.
Barrios de Londres escogidos al azar
?En total, el 49% de las redes londinenses no usan cifrado! Este índice es mucho menor al “nivel medio mundial” (70%), menor al de Moscú (68-69%) y menor al de Pekín (59%). Es posible que la causa sea el nivel más alto de desarrollo de las redes inalámbricas en Londres, hecho que también se refleja en el uso de protocolos más nuevos y velocidades mayores de transmisión de datos. Sin lugar a dudas, los usuarios ingleses se diferencian por un mayor nivel de competencia informática y un mejor conocimiento de los problemas de protección de las redes WiFi. Esta es una buena noticia.
Es desagradable el hecho de que una vez más, al igual que en CeBIT2006, los puntos de acceso más desprotegidos (inseguros) fueron los que funcionaban en la exposición. En efecto, en las exposiciones se instalan puntos de acceso configurados con un bajo nivel de protección por periodos cortos de tiempo, sin embargo, estos son de especial interés para los hackers que visitan estas exposiciones con el objetivo de robar información.
Ni siquiera los abrumadores datos obtenidos en InfoSecurity London pudieron estropear el índice londinense total de redes WEPWPA protegidas: más del 50%.
De esta manera, Londres se lleva la palma no oficial como ciudad con el WiFi más protegido, por delante de Moscú y Pekín, al haber establecido un nuevo nivel de protección.
Tipos de redes de acceso
Las redes inalámbricas pueden ser organizadas como puntos de acceso ESS/APP, o como conexiones de tipo “ordenador-ordenador” Peer/Adhoc.
Se sabe que aproximadamente el 90% de las redes WiFi del mundo son ESS/AP. En China, la correlación es de 89 a 11, en CeBIT 2006 fue de 58 a 42. La gran cantidad (42%) de las redes punto-a-punto se explica porque funcionan en el marco de exposiciones (ubicación temporal), dónde se necesita conectar entre sí una gran cantidad de diferentes ordenadores, sin tener que instalar sistemas de cables.
Redes de acceso
Los datos muestran que en las exposiciones CeBIT/InfoSecurity la correlación entre redes AP y Peer es más o menos igual y que estas redes se usan sólo para conectar dispositivos. Las cifras de Canary Wharf también corresponden a la proporción mundial de 90 a 10. Los resultados de Londres son de 95 a 5.
Opciones preconfiguradas
Las redes con opciones preconfiguradas son un buen bocado para los hackers inalámbricos. La opción Default SSID como regla significa que el administrador del punto de acceso no modificó el nombre del router. Esto también puede ser una alusión indirecta de que la cuenta del administrador tiene una contraseña preconfigurada. Internet está lleno de información sobre qué contraseñas preconfiguradas se usan en determinados dispositivos. Con sólo saber cual es el productor (vea fig. arriba), el hacker puede obtener el control total sobre la red. En China este índice es igual al 8%, un porcentaje altísimo. En CeBIT 2006 la situación era mejor: de más de 300 puntos, sólo 2 tenían el SSID preconfigurado.
Una de las formas más efectivas de defenderse del wardriving es la desactivación del identificador de red (SSID).
Totales
InfoSecurity 2006
A continuación analizaremos las redes detectadas según la presencia o ausencia de SSID predeterminados y SSID broadcast.
Desde este punto de vista, InfoSecurity London no se diferencia mucho de las otras exposiciones. Aquí se detectaron sólo tres puntos con SSID preconfigurado, lo que representa menos del 1,5% del total.
La transmisión del SSID broadcast estaba desactivada en casi el 13% de las redes, lo que es mucho mejor que el 8% de CeBIT 2006.
Canary Wharf
Es curioso que en Canary Wharf también se hayan encontrado redes con las opciones preconfiguradas por el productor. No eran tantas como en Pekín, pero sí más que en la “desprotegida” InfoSecurity: más del 3%. En cambio, los administradores de sistemas de las compañías ubicadas en Canary Wharf desactivan la transmisión de identificadores SSID con más frecuencia que los de otros lugares: ésta técnica fue utilizada en más del 30% de las redes, lo que también es un peculiar record.
Diferentes barrios de Londres
Si tomamos en cuenta lo que ya sabemos sobre el alto nivel de protección de las redes inalámbricas en Londres, los indicadores de sus diferentes barrios son del todo predecibles. Incluso si no reparamos en que el identificador SSID preconfigurado se encontró en el 3,68% de los casos, porcentaje mayor al de Canary Wharf (como era de esperarse). Falta algo era mucho menor que el de China, 8%. Incluso la frecuente desactivación del SSID Broadcast (en más del 32% de las redes) también forma parte de la idea que nos hemos formado sobre el WiFi londinense.
Componentes de las redes
Antes nosotros no publicábamos estos índices, pero esta vez pensamos: ¿y porqué no? quizá sea algo interesante. Aquí presentaremos la estadística de cuántos puntos de acceso forman parte de las redes detectadas. Es natural que en una red haya desde uno a varios puntos de acceso. ¿Cuales son pues las redes más difundidas?
Durante la exposición InfoSecurity funcionaron 86 diferentes redes, que constaban de más de 200 puntos.
InfoSecurity 2006
Podemos observar que la abrumadora mayoría de las redes (más del 54%) están compuestas de un solo punto de acceso. Resulta extraño que las redes de 4 puntos sean menos que las de 2-3 e incluso que las de 7.
Por otra parte, se detectaron verdaderos monstruos, redes que constaban de 13 y 14 puntos (dos redes). Por lo demás, no se detectó redes de 9-12 puntos. Una serie de puntos no entró en la estadística debido a que el SSID broadcast había sido desactivado (ver arriba) en las redes a las que pertenecían.
Canary Wharft
En Canary Wharf las redes compuestas de sólo un punto eran muchas más, casi el 82%. Las redes de 2-3 puntos tenían índices comparables a los de InfoSecurity, pero inesperadamente el cuarto puesto lo ocuparon las redes de 9 puntos. En lo que se refiere a los records, se detectaron redes de 18 y 22 puntos de acceso. En total se encontraron 104 redes (sin contar los puntos dónde no se pudo determinar el SSID).
Otros barrios de Londres
En cambio, en los diferentes barrios de Londres la cifra de redes que constan de un solo punto de acceso, es similar a la de la exposición. Las redes de dos puntos son mucho menos, y las de tres eran menos que las de cuatro. Aquí ninguna red batió ningún record. La cantidad máxima de puntos que pertenecen a una sola red es igual a seis. En total se detectaron 67 redes, sin contar las redes cuyo SSID no pudo ser identificado.
Conclusión
Como resumen de nuestro wardriving en Londres, es necesario una vez más remarcar lo siguiente:
- la preponderancia de las redes de 54Mb
- el evidente y tradicional para las exposiciones reducido nivel de seguridad de las redes allí desplegadas, y el igual número de redes tipo AP y Peer.
- el nivel significativamente mayor de uso de cifrado en las redes inalámbricas urbanas en comparación con otras ciudades del mundo.
“?El acceso a Internet debe ser gratuito para todos y en todas partes!”, es la noble consigna que al parecer sostienen los administradores de sistemas. Pero en mi opinión, situaciones parecidas a la sucedida en InfoSecurity London, cuando durante los tres días de la exposición los visitantes y empleados “observaron” con gran interés el funcionamiento de un punto de acceso denominado default, surgen de la falta de conocimientos sobre seguridad del propietario del punto de acceso WiFi.
Redes Wi-Fi en Inglaterra: seguridad y vulnerabilidades