Noticias

Un verano inalámbrico

Introducción

¡Al fin de vacaciones! Ya ha hecho las maletas y, por supuesto, ha cogido su ordenador portátil. Después de todo, un ordenador es una herramienta esencial diaria si quiere organizar y archivar sus fotos y consultar sus cuentas de correo mientras está de viaje. El hotel donde se hospeda ofrece acceso WiFi a Internet; de hecho, éste fue uno de los factores decisivos para elegir dicho hotel, porque como todo el mundo sabe, es importante mantenerse al tanto de las cosas.

Entonces se sienta en su habitación del hotel, abre su portátil, activa la tarjeta WLAN y busca la red Internet del hotel. Aparecen varios puntos de acceso dentro del radio de alcance, y elige el que muestra el nombre del hotel en el SSID (Service Set Identifier). Una vez establecida la conexión, la primera página que se le muestra es, como es habitual, la de ingreso (login) a la red del hotel pidiéndole que seleccione un método de pago. Y, como es habitual, el precio es exorbitante. El hotel le cobra 20 Euros por 24 horas de acceso, tanto como le cuesta todo un mes de acceso de alta velocidad ADSL en su casa. Pero cuando está en un hotel, no tiene alternativa, ¿o sí? Hay otro punto de acceso dentro del radio de alcance que parece atractivo, y ofrece alta velocidad y gran seguridad, todo por la ridícula tarifa de sólo 6 euros por día. Tentado por esta oferta, se conecta, selecciona pagar con tarjeta de crédito, y complacido con esta ganga introduce la información de su tarjeta de crédito en el formulario que tiene que rellenar.

En pocos instantes accede al ancho mundo a través de Internet. Verifica su cuenta de correo, y luego decide comparar los precios de una cámara digital que vio en oferta hace unas horas. Como es habitual, compara los precios locales con los precios en Internet. Encuentra que el precio local es mucho mayor al ofrecido por su tienda en línea favorita, y decide hacer el pedido respectivo, con vistas a estar completamente equipado para sus próximas vacaciones. Y de nuevo elige pagar con su tarjeta de crédito, porque resulta tan cómodo hacerlo…

De una u otra manera, la anterior es una escena típica para mucha gente. Mientras que una o dos personas pueden preocuparse por cuestiones de seguridad a la hora de usar un punto de acceso desconocido, la mayoría no lo piensa dos veces. Después de todo, ¿qué tiene de malo?

Aunque parezca que la respuesta es “nada”, en realidad hay significativos riesgos invisibles que analizaremos en detalle.

Debajo de la superficie

Lo que sucedió en el ejemplo mencionado se conoce como un ataque del tipo “man-in-the-middle”. Alguien en el hotel creó una sencilla página de acceso, o copió la misma página del hotel, con el objetivo de mostrarle al usuario algo similar a la página de acceso oficial al WiFi del hotel. (Para hacer esto no se necesitan mayores conocimientos especializados. Incluso es posible emular este tipo de punto de acceso usando muchos routers WiFi disponibles y un firmware modificado, o con un ordenador que tenga activado WiFi y que se usa para formar parte de una red ad-hoc). Detrás de esta página existe una conexión a Internet previamente activada y que está diseñada para hacer creer al usuario que se trata de un proceso de ingreso libre de molestias.

Los ciberdelincuentes que prepararon el ataque pueden capturar todos los datos ingresados por el confiado usuario. Uno de los objetivos de estos ataques es el de acceder a la información de tarjetas de crédito; otro es recolectar información adicional sobre cuentas de correo, tiendas en línea o instituciones financieras.

 
Figura 1: Página de ingreso al hotel con acceso pre-pago

Todo lo que los ciberdelincuentes tienen que hacer es esperar; es suficiente que sólo una víctima muerda el anzuelo para que sus esfuerzos hayan valido la pena. Desde la perspectiva de la víctima, después de todo resultaría más económico pagar la tarifa más cara de la conexión WiFi genuina ofrecida por el hotel. Sin embargo, incluso las redes legítimas no están libres de riesgos.

Puesto que los datos no se transmiten a través de un medio físicamente limitado, pueden ser interceptados con suma facilidad. Hay programas especialmente diseñados que se pueden usar para capturar paquetes de datos directamente desde el aire y, si los datos no están codificados, es posible interpretarlos al instante, también con mucha facilidad. El alcance dentro del cual esto es posible depende de la solidez de la señal del punto de acceso y del estándar WiFi usado. Un router WiFi disponible comercialmente que use el estándar 802.11b tiene un alcance de casi 100 metros, con una señal que emana de manera esférica desde el dispositivo. Paredes y otros objetos disminuyen el radio de la señal, pero el servicio no se limita al edificio donde se encuentra ubicado el router. Por lo general, esto significa que la información se puede capturar desde fuera del edificio, por ejemplo, desde la calle.

Sin embargo, la distancia antes mencionada se relaciona sólo con la antena interna de la tarjeta de red. Una antena mejorada puede recibir señales muy débiles, ampliando su alcance de manera notable, mientras que una antena de microondas puede multiplicar la distancia de transmisión. Muchos sitios de Internet ofrecen instrucciones para que uno mismo pueda fabricarse estas antenas, para lo cual se necesita apenas los materiales más elementales y muy poco esfuerzo.

Muchos programas conocidos como “sniffers” también incluyen funciones para interpretar datos con codificación SSL; esto significa que ni siquiera está garantizada la integridad de las pretendidas conexiones seguras a páginas de ingreso o login. Dependiendo de la solidez de la codificación utilizada, los ciberdelincuentes pueden necesitar un poco más de esfuerzo, mientras que su víctima engañada por un falso sentido de seguridad realiza transacciones bancarias en línea o verifica sus cuentas de correo.

Consecuencias

Las consecuencias potenciales de caer en un ataque man-in-the-middle dependen de las acciones que el usuario realiza durante este tipo sesión.

En el ejemplo arriba citado, se almacena la información de ingreso a una cuenta de correo. Esto permite que la cuenta se coloque en una lista de cuentas que luego se usarán para enviar correo spam. Contar con información detallada del ingreso también significa que el atacante podrá usarla para obtener otros datos personales almacenados en mensajes de correo. Por ejemplo, cuando el usuario se registra en una tienda en línea, en redes sociales y en foros en línea, suele recibir un mensaje con la respectiva información de acceso. Si la cuenta de correo es corporativa, los daños potenciales son mayores. Si se roba información financiera, no sólo resulta extremadamente difícil calcular las posibles pérdidas, sino que, en algunos casos, se puede tardar años en evaluar con precisión el daño total sufrido. Si un ataque de esta naturaleza resulta en el robo y publicación de información confidencial (informes corporativos, documentos técnicos, información de clientes), el efecto sobre la reputación de la compañía puede ser catastrófico: pérdida de confianza por parte de clientes y asociados, caída en las ventas e incluso el colapso de las relaciones empresariales. Por lo tanto, se recomienda especial cuidado al usar una dirección de correo corporativa.

Si la información de una tarjeta de crédito llega a caer en manos delictivas, las consecuencias pueden ser graves. Los datos de la tarjeta se pueden usar para pagar por bienes y servicios en todo el mundo, a cargo de la víctima. Y esto no cesa hasta que la víctima se entera del problema, lo cual suele suceder a fin de mes cuando recibe el estado de cuenta de su tarjeta de crédito. Por lo general, la compañía de tarjetas de crédito reembolsa a la víctima, siempre y cuando existan pruebas de que: 1) el usuario no realizó las compras y 2) el usuario no haya mostrado extrema negligencia con la información de su tarjeta de crédito. Mientras que el primer punto suele resolverse con relativa facilidad, el segundo puede resultar muy difícil de probar y cada compañía de tarjetas de crédito lo trata de manera particular. Incluso si el usuario logra que se le reembolse sus pérdidas, puede costarle mucho tiempo y esfuerzo. En cambio, realizar un pago a través de una conexión WLAN insegura, ya sea que se lo haga a sabiendas o no, puede considerarse como negligente e incluso descuidado. En estos casos, los costes se le cargan a la víctima, y ésta suele ser una lección muy costosa.

 
Figura 2: Páginas login

La mayoría de los sitios web con un área login se protegen con SSL. Aunque existe una variedad de herramientas a disposición de los ciberdelincuentes para romper y leer este tipo de codificación, hay una porción de información, como el nombre de usuario o la contraseña, que permanece oculta. Sin embargo, hay otros medios de acceder a esta información. Incluso antes de que la información del login se transmita por Internet, ésta puede ser registrada de manera local en el ordenador del usuario mediante programas espía (Spyware) o de un simple programa de registro de teclas activadas (keylogger). Cuando el usuario ingresa en el sitio falsificado, es muy simple realizar lo que se conoce como una descarga drive-by, o descarga al paso. Esto implica colocar, por ejemplo, un IFrame, un JavaScript o una vulnerabilidad del navegador, en el código de origen HTML de una página infectada; luego se descargará el código malicioso directamente en el equipo del usuario. Infectar un equipo con programas maliciosos garantiza que permanezca disponible para los ciberdelincuentes, y la confusión que este tipo de programas causa sólo conoce los límites de la imaginación de su autor.

Todo esto puede suceder en un instante, sin que el usuario sepa lo que está sucediendo. No ocurría lo mismo en el pasado, cuando los programas maliciosos y los ataques a redes se realizaban sólo para causar problemas. Entonces, a veces era posible darse cuenta de que algo raro estaba ocurriendo. Pero esos tiempos ya pasaron. Los modernos ciberdelincuentes tratan de operar con el mayor sigilo, lo que les da la oportunidad de capturar la mayor cantidad posible de información confidencial durante un largo periodo de tiempo.

Sin embargo, existen formas en que los usuarios pueden protegerse contra estos ataques. Examinaremos primero varias opciones para codificar y configurar el sistema operativo, una estrategia que puede eliminar potenciales debilidades de las redes públicas.

Codificación del tráfico de datos

El método más efectivo para la codificación del tráfico de datos es el uso de una Red Virtual Privada (VPN, por sus siglas en inglés). En otras palabras, se trata de implementar lo que se conoce como un túnel VPN entre el ordenador portátil (ordenador cliente) y un punto de destino o servidor. Todo el tráfico que se envía entre estos dos puntos está codificado, lo que significa que cualquier dispositivo intermedio que procese o envíe el tráfico es incapaz de interpretar su contenido. Además, todo el tráfico de datos se procesa a través de esta ruta, evitando así pasar por cualquier bloqueo de puertos implementado por el proveedor de servicio inalámbrico de Internet o hotspot. El Puerto 80 usado por las peticiones HTTP, es a menudo uno de los puertos que no está bloqueado, mientras que muchos otros servicios, como la mensajería instantánea o el correo a través de los protocolos POP3 o IMAP están bloqueados.

El servidor VPN actúa como el destino de la conexión y, por lo tanto, debe ser un equipo confiable, uno que sea parte de un ambiente seguro. Este servidor funciona como el “brazo largo” del ordenador cliente, realizando peticiones a servidores específicos en Internet y reconduciendo el contenido deseado hacia este ordenador cliente de forma codificada. Los usuarios ingresan a la red VPN mediante el clásico método del nombre de usuario y contraseña.

Este tipo de servidor VPN puede implementarse de varias formas y cualquiera puede hacerlo, siempre y cuando tenga conocimientos especializados básicos. Cuando se trata de escoger una ubicación para el equipo que funcione como plataforma, surgen tres opciones básicas:

Un servidor puede ser un equipo alquilado en un centro informático. Esto se aplica a los servidores tanto físicos como virtuales. Esta opción resulta particularmente atractiva para quienes ya usan este tipo de ordenador, por ejemplo, como alojamiento para su propio correo o servidor web. Un IP estático también es necesario (o el uso de DynDNS si se usa un IP dinámico) para poder conectarse en cualquier momento. Los servidores virtuales constituyen una opción particularmente atractiva, ya que están disponibles por 10 euros al mes, y el servicio del servidor VPN necesita muy pocos recursos. Sin embargo, es importante tener en cuenta el incremento en el tráfico puesto que (al usar un VPN), todo el tráfico se conduce a través del mismo.

De manera alternativa, un ordenador doméstico también puede realizar este servicio. Si Ud. tiene una conexión doméstica de banda ancha, como ADSL, con un plan de tarifa plana, puede añadirle el equipo externo como parte de su red doméstica. Esta opción también tiene la ventaja adicional de que le permite acceder a su información confidencial en cualquier momento, siempre y cuando tenga los medios apropiados para hacerlo, ya sea un ordenador con acceso a red que se mantiene encendido de manera permanente o un dispositivo de almacenamiento adjunto de red (NAS por sus siglas en inglés).

Las VPNs a menudo son proporcionadas por las empresas, en particular por las que permiten el trabajo a distancia o cuyos empleados pasan mucho tiempo en sitios de clientes. En tales casos, las compañías proporcionan VPNs para permitir que los empleados realicen tareas relacionadas con su trabajo, como verificar sus cuentas de correo profesionales o acceder a unidades en la red o a intranets corporativos desde afuera. El hecho de que este servicio pueda usarse o no con propósitos no profesionales varía de una compañía a otra; los usuarios deberían verificar las condiciones de uso del servicio o consultar a los administradores del servicio.

Por último, aunque no menos importante, hay una variedad de proveedores que ofrecen el servicio VPN a los viajeros. Estas compañías proporcionan servidores que pueden usarse para crear conexiones VPN seguras por hasta 10 euros al mes. Por lo general hay una variedad de tarifas de las cuales el usuario puede elegir la que más le convenga. Aquí también se deben considerar los términos y condiciones de uso de la compañía.

Si bien el uso de VPN efectivamente disminuye la rapidez de la transferencia, la llegada del estándar Draft N (que teóricamente permite velocidades de transferencia WiFi de 300 Mb/s) resolverá este problema. Pero si los volúmenes de datos a transferir no son muy grandes no hay problema en usar este método.

UMTS brinda una alternativa más independiente. Esta opción permite que el usuario acceda a Internet en cualquier momento sea cual sea la tecnología WiFi, siempre y cuando el usuario se encuentre en un área con cobertura. Amplias áreas gozan ya de cobertura (entre el 60 y el 90 por ciento de Europa; la variación del porcentaje depende del país y del área metropolitana). Pero no ocurre lo mismo con los hotspots que, aunque son numerosos, por lo general tienen un reducido radio efectivo. Esta tecnología está disponible a un coste relativamente económico. Desde una tarifa promedio de 5 euros mensuales más una tarifa según el volumen, que depende del proveedor, hasta tarifas planas mensuales de 30 euros, este método de conexión a Internet resulta más que competitivo, en particular si se compara con los costes, a menudo excesivos, de acceso a WiFi en los hoteles. Una ventaja adicional es que el coste es transparente desde el origen, es decir, que el usuario no recibirá sorpresas desagradables con recargos al llegar a su destino vacacional.

Si bien la red UMTS, por razones de compatibilidad, se basa en el GSM de segunda generación, el GSM de tercera generación también es compatible. Por razones de seguridad, esto es preferible ya que se han optimizado los algoritmos de autenticación de la red y del usuario. La rapidez de transferencia, que teóricamente puede alcanzar 14,6 Mb/s vía HSDPA y HSUPS, es también más adecuada para la mayoría de los propósitos.

UMTS es, por lo tanto, probablemente una buena alternativa a WiFi, en especial para los viajeros frecuentes, ya que las tarifas básicas se calculan por mes y no por periodos menores de tiempo.

Precauciones básicas de seguridad

Además de la codificación de la información, realizada principalmente por razones de seguridad, hay otros factores que Ud. debe tomar en cuenta al configurar y equipar su ordenador.

Para facilitar un dinámico intercambio de datos entre equipos, es posible compartir carpetas y archivos en una red. Esto significa que se puede acceder a estos objetos desde el interior de la red, sea ésta física o inalámbrica. Según la forma en que se configuren los elementos compartidos, los usuarios de la red podrán acceder a ellos directamente (con permisos para leer y/o escribir) o mediante peticiones de autorización de acceso mediante un nombre de usuario y una contraseña. Por lo tanto, es esencial que, después de almacenar música y otros archivos, como un documento corporativo, con los que querrá trabajar durante sus vacaciones, desactive la función compartir una vez que se hayan transferido los datos. ¡No querrá verse en la situación de enviar invitaciones abiertas a todos sus vecinos en la red para mirar sus archivos! Aunque muchos hotspots ofrecen tecnologías diseñadas para proteger un equipo de otros en la red, no hay forma de verificar directamente la presencia de esta función.

La desactivación de toda función para compartir objetos sin duda mejora el nivel de seguridad de la información, pero aún permanece latente el riesgo de ataques directos de hackers capaces de visualizar toda la información almacenada en un equipo. Esto es peligroso bajo cualquier circunstancia, pero empeora aún más si se trata de información confidencial. Para incrementar el nivel de protección específica para este tipo de información, se debe realizar una copia de resguardo codificada en otro dispositivo de almacenamiento. Incluso existen programas gratuitos a disposición del usuario para este propósito, distribuidos bajo la General Public License o GPL. Estos programas pueden usarse para crear archivos contenedores codificados que sólo pueden abrirse con una contraseña. La codificación utilizada para crear estos archivos contenedores es muy sólida (incluso a un superordenador le llevaría años romper el código mediante métodos de fuerza bruta). Un prerrequisito para una protección lo suficientemente sólida es, por supuesto, una contraseña lo suficientemente sólida, que consiste de más de ocho caracteres y contiene mayúsculas y minúsculas, así como otros símbolos numéricos y no alfanuméricos. Aquí también se aplica el mismo principio: este tipo de contenedor seguro se debe abrir sólo cuando sea necesario y se debe cerrar inmediatamente después de usarlo. Después de todo, hasta las bóvedas más seguras resultan inútiles si la puerta está abierta. Además de incrementar la seguridad de las redes WiFi, al tomar estas precauciones también se obtiene otra importante ventaja: si su ordenador se pierde, su información confidencial permanecerá inviolable.

También es muy importante implementar una solución efectiva de seguridad para Internet. Además de la funcionalidad básica (protección contra programas maliciosos), el área de aplicación en discusión también requiere módulos de protección de red, específicamente un cortafuegos y un HIPS (Host Intrusion Prevention System). Después de todo, ¿de qué sirve la conexión de red más segura si el mismo sistema de origen ya está comprometido? El programa realiza un complejo análisis para evaluar las aplicaciones desconocidas que se estén ejecutando en un equipo y asigna una clasificación a las amenazas según su nivel de riesgo. Esta clasificación sirve como base para la asignación de autorizaciones de acceso a los programas. Si una aplicación se clasifica como sospechosa, no se le otorgará acceso, o se lo hará de manera limitada, a importantes recursos como el sistema operativo, la red, la información confidencial, los privilegios del sistema o a ciertos dispositivos. Esto limita la posibilidad de que un código malicioso infecte el equipo.

Para muchos, esto constituye una fuente de desesperación: cada cierto número de días, uno de los programas instalados, o el mismo sistema operativo, anuncia que una nueva actualización está disponible. La instalación de estas actualizaciones naturalmente implica esperar cierto tiempo, y todo lo que Ud. quería era darle un vistazo a las últimas noticias. Una razón por la que los usuarios rechazan estas actualizaciones tiene que ver con el hecho de que los cambios que estas actualizaciones realizan en el sistema son muy rara vez de conocimiento del usuario. Sin embargo, están diseñadas para reparar vulnerabilidades en la seguridad para proteger de mejor manera el equipo contra ataques maliciosos. Por ello es importante que el usuario tenga paciencia y siempre instale estas actualizaciones ya que ayudan a su propia protección.

Por ultimo, la tecnología no es la única responsable de las mejoras en la seguridad; los mismos usuarios deben ser muy concientes de sus actividades. En este caso en particular, es importante estimar en qué medida se puede confiar en la red WiFi a la que se está conectando. Esto no siempre es fácil. Como regla, las redes desconocidas deben considerarse con una buena dosis de escepticismo, por la simple razón de que Ud. casi no tiene ningún control en la información que se transfiere, y sobre quién podría potencialmente acceder a ella. Esto debe permitirle deducir lo que debería hacer o no. A veces, es mejor esperar hasta que pueda acceder a una red más fiable.

Conclusión

El negocio de provisión de servicios inalámbricos de Internet está en boga. Se prevé que las ventas globales se incrementen de 969$ millones en 2005 a 3.460$ millones en 2009. Esta explosiva alza se debe, básicamente, al creciente número de hotspots. Mientras que en 2005 había 100.000 hotspots, se estima que esta cifra se duplicará en 2009, siendo el sector de servicios alimenticios el que más crecerá. Si bien las mayores cadenas de comida rápida encabezan las instalaciones WiFi a gran escala, los cafés y restaurantes no se quedan atrás (www.itfacts.biz/revenue-from-wireless-hotspots-to-reach-969-bln-in-2005-346-bln-in-2009/4941). Se trata de una tendencia que ha sido bien recibida: en EE.UU., el 25 por ciento de los adultos (o el 34 por ciento de todos los usuarios de Internet) usa sus ordenadores portátiles para acceder a Internet cuando están lejos de sus casas u oficinas (www.itfacts.biz/34-of-us-internet-users-used-wifi-away-from-homework/11477). Este desarrollo también se ha visto impulsado por el mercado de los ordenadores portátiles, ya que su precio ha caído notablemente en los últimos años. En realidad, en 2008 los usuarios adquirieron más equipos portátiles que equipos de escritorio, siendo ésta la primera vez que se da este fenómeno.

Por desgracia, los métodos actualmente disponibles para codificar el tráfico inalámbrico de datos suelen sobrepasar el conocimiento de los usuarios. Sin embargo, no existe una solución plug-and-play. Si existiera, necesitaría que los proveedores de servicios inalámbricos de Internet la aceptaran y la ofrecieran, y que fuera compatible con los sistemas operativos. Resulta claro que, incluso una vez que se haya desarrollado un estándar, su éxito dependerá de muchos factores.

En la parte no técnica, es esencial conocer aspectos de seguridad para proteger sus datos y su sistema. Si no puede confiar plenamente en una red, que suele ser el caso con puntos de acceso desconocidos, en todo momento debe ser muy consciente del tipo de información que está enviando al “mundo exterior”. Nunca debe enviar información confidencial, como su nombre de usuario y contraseña para transacciones bancarias o Paypal bajo estas circunstancias. Es mucho mejor exagerar en cuestiones de seguridad que terminar con su cuenta bancaria vaciada por los ciberdelincuentes.

Por último, hay muchos factores implicados en la seguridad. Sin embargo, es posible que cualquier usuario aumente significativamente su nivel de seguridad con relativamente poco conocimiento y esfuerzo. Los usuarios necesitan investigar las temáticas de seguridad y desarrollar su instinto contra los potenciales riesgos, algo que en vista de los peligros y sus consecuencias, realmente vale la pena.

Un verano inalámbrico

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada