Seguridad en Redes WiFi Seguridad en Redes WiFi

Seguridad en Redes WiFi

Wi-Fi es un punto de entrada que los piratas inform√°ticos pueden utilizar para ingresar en tu red sin poner un pie dentro de tu casa, por eso es tan importante establecer una buena Seguridad en las Redes WiFi.

La tecnología inalámbrica es mucho más abierta que las redes cableadas, lo que significa que debes de ser mucho más cuidadoso con la seguridad para evitar el ataque de los temibles hackers..

Recordamos que una red WiFi inal√°mbrica es aquella en la que varios ordenadores o dispositivos est√°n interconectados por medio de un Punto de Acceso a la red (AP).

Normalmente el punto de acceso a la red suele ser un router inal√°mbrico.

Se puede hacer mucho m√°s que establecer una contrase√Īa para la seguridad de una red Wi-Fi.

Aprender y aplicar medidas de ciberseguridad puede convertir tu red WiFi en una red mucho mejor protegida.

En esta p√°gina te proponemos 12 Consejos para Mejorar la Seguridad de tu Red Wi-Fi.

Usar un nombre de Red No Com√ļn (SSID)

Asigna un nombre a la red (SSDI) de manera inteligente. Utiliza algo gen√©rico pero no demasiado com√ļn y sin revelar la ubicaci√≥n.

Todos los dispositivos de una misma red WiFi deben compartir el miso SSDI (Service Set Identifier). El SSDI es conocido vulgarmente como ¬ęnombre de red¬Ľ, aunque su nombre real es el de identificador de paquetes de servicios (SSID)

EL SSDI puede estar formado por un m√°ximo de 32 caracteres ASCII, es decir, letras, n√ļmeros y s√≠mbolos, aunque lo m√°s normal es utilizar solo letras y n√ļmeros, formando parte de las configuraciones m√°s b√°sicas de una red Wi-Fi.

Es en el Router WiFI de nuestra casa, oficina, lugar de trabajo, etc donde tenemos que cambiar este nombre de red.

Es importante para esta y otras medidas de seguridad que luego vamos a explicar, que sepas como entrar en tu router para cambiar la configuración.

En la mayor√≠a de los router podremos acceder a su configuraci√≥n utilizando nuestro propio navegador de Internet y escribiendo los n√ļmeros 192.168.1.1 en la barra de direcciones.

Los n√ļmeros finales pueden variar seg√ļn el modelo concreto.

Verás que aparece una ventana en la que necesitamos el usuario y la clave de administración para entrar a la configuración del router.

√Čsta viene con el kit de instalaci√≥n, en una pegatina en el router o en la documentaci√≥n adjunta.

B√ļscala y a configurarlo Tengamos en cuenta que para entrar en la configuraci√≥n del router debemos estar conectados a la red.

Si no lo tienes claro tambi√©n puedes buscar por internet ¬ęCambiar SSDI + nombre del router¬Ľ y podr√°s ver como se hace.

Bien, ahora que ya estamos en la configuración del router ya podemos cambiar el nombre SSDI en su configuración.

La forma de cambiar el SSDI depende del tipo de router y modelo que tengas, pero en todos los casos suele venir la palabra SSDI o nombre de red y es donde hay que cambiarla.

Recuerda: ¬ęUtiliza algo gen√©rico pero no demasiado com√ļn y sin revelar la ubicaci√≥n¬Ľ.

Aunque no parece que el nombre de la red pueda comprometer la seguridad, ciertamente puede hacerlo.

El uso de un SSID demasiado com√ļn, como ¬ęinal√°mbrico¬Ľ o el nombre predeterminado del proveedor, puede hacer que sea mucho m√°s f√°cil para alguien descifrar el modo personal de seguridad WPA o WPA2.

Esto se debe a que el algoritmo de cifrado que incorpora el SSID, y los diccionarios de descifrado de contrase√Īas utilizados por los piratas inform√°ticos est√°n precargados con SSID comunes y predeterminados.

Usar uno de estos nombres de redes comunes, lo √ļnico que hace es facilita el trabajo del hacker.

En cuanto a la ubicaci√≥n, aunque podr√≠a tener sentido que el nombre del SSID sea algo f√°cilmente identificable, como el nombre de la empresa, la direcci√≥n o incluso el n√ļmero de portal o del piso, pero puede que tampoco sea la mejor idea.

Esto se debe tener especialmente en cuenta si la red est√° en un edificio compartido o cerca de otros edificios o redes.

Si los piratas inform√°ticos quieren escanear redes WiFi en un √°rea determinada y ven una docena de redes Wi-Fi diferentes, es probable que se dirijan a la que sea m√°s f√°cil de identificar. No permitas que identifiquen f√°cilmente la tuya.

Por √ļltimo decir que es posible desactivar el SSID, haciendo que el nombre de la red sea invisible, pero no se recomienda hacer esto.

Esto har√° que los usuarios tengan que ingresar manualmente el SSID, y adem√°s tendr√° un efecto negativo en el rendimiento de las solicitudes de sondeo en el Wi-Fi.

Esta t√°ctica generalmente tiene m√°s desventajas que ventajas.

Cambiar la Contrase√Īa Preestablecida

Ya que estamos en la configuraci√≥n del router tambi√©n te recomendamos cambiar la contrase√Īa de la red que viene preestablecida de f√°brica.

Para la contrase√Īa utiliza una combinaci√≥n de n√ļmeros, letras en may√ļsculas y en min√ļsculas, e incluso caracteres especiales.

Recuerda la Seguridad Física

La seguridad inal√°mbrica no se trata solo de tecnolog√≠as y protocolos sofisticados. Puedes tener el mejor cifrado posible y a√ļn as√≠ ser vulnerable a los ataques. La seguridad f√≠sica es una de esas vulnerabilidades.

La primera medida es bloquear los armarios del cableado y donde están situados los puntos de acceso de la red wifi, como los routers y los switches. Pero OJO, esto por sí solo no es suficiente.

Recordamos:

  • El switch env√≠a la informaci√≥n proveniente del ordenador de origen hacia el ordenador de destino en una misma red.
  • El router es el dispositivo que se encarga de reenviar los paquetes de informaci√≥n entre distintas redes. Son capaces de interconectar varias redes y generalmente trabajan en conjunto con los switchs. Nuestro router conecta nuestra red interna con las otras redes exteriores a la nuestra, ya sea de forma cableada (ADSL) o inal√°mbrica.

La mayoría de los puntos de acceso tienen un botón de reinicio que alguien puede presionar para restablecer la configuración predeterminada de fábrica, eliminando la seguridad establecida en nuestra red Wi-Fi y permitiendo que cualquiera se conecte.

Por lo tanto, los puntos de acceso (AP) distribuidos en todas sus instalaciones también deben estar físicamente asegurados para evitar la manipulación.

Aseg√ļrate de que est√©n siempre fuera del alcance y considera usar cualquier mecanismo de bloqueo ofrecido por el proveedor del punto de acceso para limitar f√≠sicamente el acceso a sus botones y a sus puertos.

Otro problema de seguridad f√≠sica con el Wi-Fi es cuando alguien agrega un punto de acceso no autorizado a la red, que generalmente se denomina ¬ęAP no autorizado¬Ľ.

Esto se puede hacer por razones legítimas si alguien por ejemplo desea agregar más cobertura Wi-Fi, pero siempre que sea autorizado.

Para ayudar a prevenir este tipo de puntos de acceso no autorizados, aseg√ļrate que los puertos Ethernet no utilizados est√°n deshabilitados.

Algo más fácil es eliminar (desconectar) físicamente los puertos o cables que no utilizamos directamente en el router.

Si realmente desea reforzar la seguridad, habilita la autenticación 802.1X en el lado cableado si tu router lo admite, por lo que cualquier dispositivo que se conecte a los puertos Ethernet debe ingresar las credenciales de inicio de sesión para obtener acceso a la red.

Esto lo veremos m√°s adelante.

Apaga La Red si no la Usas

Para proteger tu red, te recomendamos que deshabilites o apagues la red inalámbrica en caso de que no se utilice durante un período de tiempo prolongado o cuando no te encuentres en casa.

Debes hacer lo mismo con todos tus dispositivos que utilizan cables Ethernet.

Al hacer esto, est√° cerrando cualquier oportunidad al atacante.

Los piratas informáticos malintencionados podrían intentar acceder a ella mientras estás ausente.

Al apagar tus dispositivos de red, minimizas las posibilidades de convertirte en un objetivo para los piratas inform√°ticos.

Adem√°s otra de las ventajas es la protecci√≥n contra sobretensiones: cuando apagas tu dispositivo de red o router, tambi√©n reduces la posibilidad de sufrir da√Īos por las posibles sobrecargas el√©ctricas.

Controla los Dispositivos que se Conectan a la Red

Una forma de proteger las redes inal√°mbricas es no permitir que cualquier dispositivo se conecten a ellas.

Hay dos maneras de hacer esto.

Algunos routers utilizan la configuración protegida de Wi-Fi (WPS). Con esta configuración, debe presionar un botón en el router para conectar un nuevo dispositivo por primera vez.

Esto significa que necesita tener acceso físico al enrutador para poder conectar dispositivos.

No use WPS si tu router no tiene un botón físico y, en cambio, permite que los dispositivos se conecten con un PIN corto.

Otra opción es decirle al router que solo ciertos dispositivos pueden conectarse.

Para ello, tienes que hacer una lista de los dispositivos con su direcci√≥n MAC. MAC es un identificador √ļnico que tiene cada dispositivo de red.

La dirección MAC es de 12 caracteres con dos puntos como separadores.

La mayoría de los routers te permiten limitar qué dispositivos pueden conectarse al router, usar esas direcciones para identificarlos y evitar la conexión de nuevos dispositivos que no están en la lista.

Sin embargo, esto no es infalible, ya que las direcciones MAC pueden ser falsificadas.

En la configuración de tu router, probablemente encontrará una lista de dispositivos conectados; Verás su dirección IP y su dirección MAC y tal vez qué tipo de dispositivo son.

Puede encontrar la dirección IP para cada uno de sus MAC en Preferencias del sistema> Red, y para dispositivos iOS en Configuración> WiFi.

Usa el Cifrado de Red WPA2

Las redes WiFi tienen los llamados ¬ęProtocolos de Autentificaci√≥n¬Ľ o tambi√©n llamados ¬ęProtocolos de Seguridad Inal√°mbrica¬ę.

Estos protocolos no sólo evitan que las partes no deseadas se conecten a tu red inalámbrica, sino que también encriptan tus datos privados enviados a través de las ondas de radio.

El protocolo de autentificación o cifrado de red más utilizado en las redes inalámbricas es el WPA en su versión 2, WPA2. Pero hay dos tipos de WPA2: WPA2 Personal y WPA2 Empresarial.

OJO Nunca utilices los protocolo m√°s viejos llamado solo WEP o WPA sin el 2 detr√°s. Ya est√° empezando a funcionar el WPA3 que ser√° el mejor de todos, pero de momento no se suele utilizar.

En WPA2 Personal PSK las redes con este protocolo WPA utilizan una clave precompartida (PSK), denominada con mayor frecuencia WPA Personal. Este modo es apropiado para la mayoría de las redes inlalámbricas domésticas.

En el modo WPA2 Personal PSK, se establece una contrase√Īa en el router inal√°mbrico o punto de acceso inal√°mbrico (AP) y los usuarios deben ingresarla cuando se quieran conectar a la red Wi-Fi.

En este modo, el acceso inal√°mbrico no se puede administrar de forma individual o central.

Una contrase√Īa se aplica a todos los usuarios, y debe cambiarse manualmente en todos los clientes inal√°mbricos una vez que se modifique manualmente en el router inal√°mbrico original.

Esta contrase√Īa se almacena en el router. Por lo tanto, cualquier persona desde su ordenador puede conectarse a la red y tambi√©n ver la contrase√Īa.

Para redes compartidas, por ejemplo en oficinas o lugares de trabajo, es mucho m√°s seguro el modo WPA2 Empresarial, que luego veremos.

Uno de los mecanismos de seguridad Wi-Fi m√°s beneficiosos que puedes implementar es implementar el modo empresarial de seguridad Wi-Fi WPA2-Enterprise, en Castellano WPA Empresarial, ya que autentifica a cada usuario individualmente: todos pueden tener su propio nombre de usuario y contrase√Īa de Wi-Fi.

WPA Enterprise utiliza un servidor de autentificación para la generación de claves y certificados.

En la empresarial, cuando los usuarios intentan conectarse a la red, deben presentar sus credenciales de inicio de sesión.

Es m√°s complicado de configurar, pero ofrece control individualizado y centralizado sobre el acceso a tu red Wi-Fi.

Si un ordenador portátil o dispositivo móvil se pierde o es robado, o si un empleado deja la empresa, todo lo que tienes que hacer es cambiar o revocar los inicios de sesión de ese usuario en particular.

Por el contrario, en el modo personal, todos los usuarios comparten la misma contrase√Īa de Wi-FI, por lo que cuando los dispositivos desaparecen o los empleados se van, tienes que cambiar la contrase√Īa para todos, lo que supone una gran molestia.

Otra gran ventaja del modo empresarial es que a cada usuario se le asigna su propia clave de cifrado.

Eso significa que los usuarios solo pueden descifrar el tráfico de datos para su propia conexión, sin interceptar el tráfico inalámbrico de nadie más.

Evidentemente el hardware de un punto de acceso (router) no tiene la capacidad para almacenar y procesar toda esta información por lo que es necesario recurrir a otros elementos de la red cableada para que comprueben unas credenciales.

Ahí es donde entra en juego el servidor RADIUS y el protocolo IEEE 802.1X.

Este es el gran inconveniente del modo empresarial, que necesita un servidor de autenticaci√≥n RADIUS externo y unos conocimientos m√°s amplios, normalmente tener conocimientos de un ¬ęadministrador de red¬Ľ.

Ten en cuenta que algunos puntos de acceso proporcionan un servidor RADIUS incorporado b√°sico, pero sus l√≠mites de rendimiento y funcionalidad limitada generalmente los hacen √ļtiles solo para redes muy peque√Īas.

Puedes implementar un servidor RADIUS independiente, pero primero debes verificar si tus otros servidores (como un servidor Windows) ya proporcionan esta función. Si no, considera un servicio RADIUS alojado o basado en la nube.

Todo esto sería muy largo de explicar por lo que si te interesa en Internet puedes buscar más información.

Colocación del Router

Probablemente no haya pensado en esto al principio, pero….

¬Ņ La situaci√≥n f√≠sica del router en tu casa u oficina puede tener un impacto en su seguridad?. Pues la respuesta es SI.

Coloca el router inal√°mbrico lo m√°s cerca posible del centro de tu casa, oficina o lugar de trabajo. ¬ŅPor qu√©?

En primer lugar, proporcionar√° acceso igualitario a Internet a todas las habitaciones del local.

En segundo lugar, no deseas que el alcance de tu se√Īal inal√°mbrica llegue demasiado lejos de tu casa u oficina, donde puede ser f√°cilmente interceptado por personas malintencionadas.

Por este motivo, te recomendamos que no coloque el router inal√°mbrico cerca de una ventana, ya que no hay nada que impida que la se√Īal salga de la casa o de la oficina.

Cambiar La IP del Router

Cambiar la direcci√≥n IP predeterminada por una menos com√ļn es otra cosa que debe considerar para proteger mejor tu red dom√©stica y dificultar el seguimiento de los piratas inform√°ticos.

Para cambiar la dirección IP de un router, debe seguir estos pasos:

  • Inicia sesi√≥n en la consola de su enrutador como administrador. Estos pasos b√°sicos le ense√Īar√°n c√≥mo conectarse f√°cilmente a su red dom√©stica como administrador. Normalmente, el tipo de barra de direcciones se ve como http://192.168.1.1 o http://192.168.0.1
  • Una vez que est√©s all√≠, inserta el nombre de usuario y la contrase√Īa en la p√°gina de inicio de sesi√≥n;
  • Luego seleccione Red> LAN que est√° en el men√ļ del lado izquierdo;
  • Cambia la direcci√≥n IP a preferencia, luego haga clic en Guardar.

Nota: Después de cambiar la dirección IP, deberás escribir la nueva dirección IP en la barra del navegador web.

Deshabilita el acceso remoto

La mayoría de los enrutadores le permiten acceder a su interfaz solo desde un dispositivo conectado.

Sin embargo, algunos de ellos permiten el acceso incluso desde sistemas remotos.

Una vez que haya desactivado el acceso remoto, los actores malintencionados no podrán acceder a la configuración de privacidad de tu router desde un dispositivo que no esté conectado a tu red inalámbrica.

Para realizar este cambio, acceda a la interfaz web y busque ¬Ľ Acceso remoto ¬Ľ o ¬Ľ Administraci√≥n remota ¬ę.

Mantén siempre actualizado el software de tu enrutador

El software es una parte esencial de la seguridad de tu red inal√°mbrica.

El firmware del router inal√°mbrico, como cualquier otro software, contiene fallos que pueden convertirse en vulnerabilidades importantes y ser explotadas despiadadamente por piratas inform√°ticos.

Desafortunadamente, muchos enrutadores o routers inalámbricos no vienen con la opción de actualizar automáticamente su software, por lo que tienes que pasar por la molestia de hacerlo manualmente.

E incluso para las redes Wi-Fi que pueden actualizarse automáticamente, todavía se requiere que actives esta configuración.

Sin embargo, te recordamos la importancia de la aplicación de parches de software y la negligencia de no hacer esto puede dejar las puertas abiertas a los ciberdelincuentes para explotar varias vulnerabilidades.

Un firewall puede ayudar a proteger su red Wi-Fi

Los firewalls no son solo programas de software utilizados en su PC, sino que también vienen en la variedad de hardware.

Un firewall de hardware hace pr√°cticamente lo mismo que un software, pero su mayor ventaja es que agrega una capa adicional de seguridad.

La mejor parte de los firewalls de hardware es que la mayoría de los mejores routers inalámbricos tienen un firewall incorporado que debería proteger tu red de posibles ataques cibernéticos.

Si tu router no tiene uno, puede instalar un buen dispositivo de firewall en tu router para proteger tu sistema de intentos de piratería maliciosos contra su red doméstica.

Utilizar un Sistema de Prevención de Intrusos o WIPS

Una buena idea es habilitar cualquier tipo de detección fraudulenta ofrecida por tu proveedor de acceso inalámbrico (AP).

El método de detección y la funcionalidad exactos varían, pero la mayoría escaneará las ondas por lo menos periódicamente y le enviará una alerta si se detecta un nuevo AP dentro del alcance de los AP autorizados.

Además, si se trata de un verdadero WIPS que ofrece protección en lugar de un WIDS que ofrece solo la detección , debería poder tomar contramedidas de forma automática, como desasociar o bloquear a un cliente inalámbrico sospechoso para proteger la red bajo ataque.

Si tu proveedor de acceso inalámbrico no proporciona capacidades de detección de WIPS o WIPS incorporadas, considera una solución de terceros.

Si te ha gustado ¬ęSeguridad en Redes WiFi¬Ľ te agradecemos un Me Gusta o que la Compartas.

© Se permite la total o parcial reproducción del contenido, siempre y cuando se reconozca y se enlace a este artículo como la fuente de información utilizada.