News

Wardriving en Sao Paulo — Brasil

Esta vez nos ocuparemos del estudio de la seguridad de las redes informáticas inalámbricas en Sao Paulo, Brasil. Y lo hacemos por 2 razones principales:

  1. Brasil es el país más grande de América Latina.
  2. Sao Paulo es la ciudad más importante de Brasil en cuanto a los negocios.

Queremos recordar que la última vez hicimos un estudio similar en Caracas, Venezuela.

Sao Paulo es una ciudad llena de movimiento, vida y negocios. Su geografía y la arquitectura de los edificios de negocios permite a los usuarios y compañías crear redes WiFi de forma fácil. En todas y cada una de las partes de la ciudad donde estuvimos había redes WiFi.

La presente investigación, al igual que la anterior, no apunta contra la seguridad de la redes ya que no se realizó ningún tipo de práctica ofensiva. Más bien pretendemos hacer una descripción fiel del estado real de las redes WiFi: su tipo, seguridad y otras características de interés para los interesados en la seguridad informática. Los datos que se presentan en este informe fueron obtenidos en lugares públicos: barrios de negocios, calles, parques, restaurantes y estaciones de transporte.

Veamos con detalle lo que pudimos descubrir esta vez. Empecemos con las características físicas de los equipos detectados durante nuestro estudio. Vale la pena destacar que el alcance del estudio es 802.11a/b/g.

Los canales en los que funcionan las redes WiFi de Sao Paulo, son los siguientes:

Como era de esperar, los canales 6 y 11 fueron los más usados. Más de la mitad de todas las redes de Sao Paulo funcionan en el canal 6. De hecho, muchos equipos de hardware diseñados para la construcción de redes WiFi ya vienen preconfigurados en ese canal. Al parecer, no muchos administradores se toman el trabajo de analizar el tráfico inalámbrico y elegir el canal menos ocupado.

En lo que se refiere a la velocidad de transmisión en las redes, la gran mayoría trabaja con el estándar 802.11g – 54Mbp/s. Este hecho indica que los equipos utilizados para la construcción de estas redes son nuevos o de nueva generación, pues la generación anterior (802.11b) solo llegaba a 11Mbps como la velocidad máxima de transmisión.

¿Qué podemos decir de los vendedores o productores del hardware que se usa en Sao Paulo? Nuestro estudio revela que una gran parte de todo el mercado en esta ciudad pertenece a D-Link. El 42% de todas las redes WiFi en Sao Paulo funcionan usando equipos de esta marca. En segundo lugar, con un 26% del mercado, están los equipos Linksys.

Estas 2 marcas son las más difundidas en el mercado de equipos WiFi en Sao Paulo y es posible que lo sean en todo Brasil.

En lo que se refiere a los tipos de redes WiFi en Sao Paulo, como era de esperar, un 98% son redes de tipo infraestructura y tan solo un 2% pertenece a las redes Ad-hoc.

Sobre la seguridad en las redes WiFi de tipo Adhoc ya habíamos hablado en nuestra bitácora.

Debido a que en estos casos la conexión se realiza a través de un host y no un punto de acceso inalámbrico, las personas malintencionadas podrían “escudriñar” todo el tráfico procesado por el host y de esta manera capturar los datos sensibles de las víctimas: contraseñas, pins, etc.

Entre las redes Ad-hoc encontramos sólo una que usaba el cifrado Web y su SSID era “msgSpot”. Por su nombre se podría pensar que es un hotspot, pero como ya hemos mencionado, el hecho de que sea una red tipo Ad-hoc pone en gran riesgo el conectarse a través de ella y podría comprometer los datos críticos.

A veces, el acceso a los hotspot es de pago: la página de inicio suele invitar a los usuarios conectados a adquirir tiempo de conexión con sus tarjetas de crédito. Algo que sería extremadamente peligroso hacer, tomando en cuenta que un hotspot como el mencionado es de conexión tipo Ad-hoc.

Ya que hablamos de seguridad, pasemos al análisis del tipo de cifrado que se usa en las redes de Sao Paulo:

Como se puede percibir del gráfico, la mitad exacta de todas las redes usa el cifrado Wep. El mismo en sí es, por supuesto, mejor que no usar ningún tipo de cifrado. Sin embargo, desde hace un tiempo ya ha sido declarado como vulnerable. Las personas malintencionadas podrían sin mayor dificultad descifrarlo en pocos minutos.

Mejores métodos de cifrado, por ejemplo WPA y WPA2, están implementados en el 22 y 4% de todas las redes respectivamente. Un 24% de todas las redes no utiliza ningún tipo de cifrado. Dichas redes o están abiertas para todo el público o usan mecanismos de seguridad más sencillos, como el filtrado de acceso por dirección MAC.

Respecto a los métodos de gestión de llaves de cifrado y mecanismos de autentificación en las redes con WPA/WPA2, podríamos decir lo siguiente:

Un 79% de las redes WPA/WPA2 usa el mecanismo de gestión de llaves PSK.

Por lo general, las llaves de tipo PSK (Pre Shared Key – Llave precompartida) se usan en las redes domésticas, donde no existen servidores especiales de autentificación avanzada.

Dicho mecanismo de cifrado es mucho más seguro que el de Wep, sin embargo también es vulnerable frente a los ataques por diccionario.

En cambio, el mecanismo de autentificación 802.1X/EAP (que es más seguro que PSK) se usa en un 21% de las redes con cifrado WPA/WPA2. Dicho mecanismo admite varios métodos de autentificación: token cards, Kerberos, contraseñas de un solo uso (one-time passwords), certificados y llaves públicas de autentificación.

En cuanto a los SSID, un 15% de las redes detectadas utiliza SSID preconfigurados de fábrica. Dicha práctica no es nada buena en realidad puesto que de entrada le revela al atacante los datos sobre el tipo de Punto de acceso que se está usando en la red.

Un 6% de todas las redes tienen un SSID oculto, es decir, no se realiza su transmisión (broadcast). Dicha práctica permite a los administradores de las redes WiFi mejorar un poco la seguridad de la conectividad con su punto de acceso, pero no es suficiente como mecanismo único de seguridad.

Conclusiones

En Sao Paulo, la gran mayoría de los equipos que trabajan en 802.11g ya admiten el mecanismo de cifrado WPA o WPA2, que ofrece mejor seguridad en comparación con el cifrado Wep. Sin embargo, justo la mitad de todas las redes aún sigue utilizando este último cifrado, lo que las hace vulnerables a los ataques de recolección de IVs, entre otros. Al parecer, los administradores siguen usando el cifrado Wep más por costumbre que por otras razones.

Más de la mitad de todas las redes trabajan en el canal 6. Por lo tanto, si piensa usted montar una red WiFi en Sao Paulo, es posible que no sea una buena idea hacerlo en este canal. Más bien, sería bueno primero realizar un escaneo de la frecuencia para determinar los canales menos usados y de esta manera lograr un mejor desempeño de la futura red.

A diferencia de Venezuela, donde el principal vendedor de equipos WiFi es Linksys, en Brasil el líder es D-Link.

Basándonos en la cantidad de redes y los datos estadísticos expuestos más arriba, podemos concluir que Brasil va por un buen camino. Sin embargo, se debería pensar con más seriedad en la seguridad de las redes inalámbricas para garantizar lo que ésta implica:

  • Integridad
  • Confidencialidad
  • Disponibilidad

Wardriving en Sao Paulo — Brasil

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada