Una afirmación indiscutible, actualmente, es que la información propiedad de una organización, ya sea desde el punto de vista comercial o de protección de datos, es uno de los activos más valiosos de los que estas disponen. Una información cuya transmisión inmediata se ha vuelto necesaria para garantizar la operatividad dentro de una empresa. Y ¿cómo podemos llevar esta transmisión a cabo? A través de diversos métodos de conexión, de entre los cuales, el más extendido hasta hace unos años era la conexión por cable.
No obstante, la evolución tecnológica y la entrada en juego de los métodos de conexión inalámbricos han permitido que dispositivos como ordenadores, smartphones, o tablets puedan llegar a interconectarse entre sí, sin necesidad de hacer uso de un cable, proporcionando así, una libertad de movimiento a la hora de conectarse a los recursos que pueda ofrecer una organización, sin que esta conexión esté supeditada a una ubicación física.
Las ventajas acerca de este tipo de conexiones inalámbricas son más que evidentes, siendo la ausencia de cables, y consecuentemente de su necesidad de revisión y mantenimiento, y la alta movilidad, las más destacables. Sin embargo, no podemos dejar de lado las vulnerabilidades que, en materia de seguridad, se encuentran asociadas a su uso y que, en última instancia, pueden poner en riesgo los activos de la empresa. Estos riesgos deberán ser tenidos en cuenta y analizados a la hora de establecer las políticas y medidas que los mitiguen o reduzcan al mínimo, garantizando en consecuencia, la seguridad de las comunicaciones.
En definitiva, se trata de establecer medidas destinadas a cerrar la puerta de nuestro entorno virtual a la delincuencia informática. Para ello, el Instituto Nacional de Ciberseguridad (en adelante, INCIBE) publicó una Guía de Seguridad cuya finalidad no es otra que ofrecer unas pautas que podrán ser tenidas en cuenta, por parte de las organizaciones, para reforzar la seguridad de sus conexiones inalámbricas.
Así, la primera pregunta que debemos responder es, ¿qué es una red inalámbrica? En palabras del INCIBE, sería aquella formada por dispositivos capaces de intercomunicarse entre sí o con otra red (como Internet), sin necesidad de elementos físicos que las conecten como pueden ser los cables. De entre todas las redes inalámbricas existentes, centraremos nuestra atención en las más extendidas, las Redes de Área Local Inalámbricas, conocidas como redes wifi.
Dentro del marco organizativo de una empresa, resulta necesaria la existencia de una configuración, previamente establecida y documentada, que garantice la seguridad de las conexiones, para preservar la privacidad de la información. Para ello, la Guía objeto de análisis en el presente artículo, nos propone unas medidas de seguridad a seguir tales como:
1. Reflejar cuál será la arquitectura de seguridad, es decir, cómo estará diseñada la red inalámbrica y cuál será su sistema de gestión.
2. Llevar a cabo un proceso de autenticación digital de los usuarios que tratan de conectarse a la red de una organización, para poder asegurar que estos son quienes dicen ser.
3. Distinción entre dispositivos corporativos y clientes externos. Así, la política de seguridad de las organizaciones deberá, no sólo establecer las bases a las que quedarán sometidos los dispositivos corporativos, sino que deberá reflejar las medidas de protección con las que deberá contar la red inalámbrica ante las conexiones de dispositivos externos que quieran conectarse a la misma; estableciendo, entre otras, medidas que permitan la conexión de estos, exclusivamente, a aquellos recursos que le sean necesarios para el fin con el que, inicialmente, se llevó a cabo la conexión; deshabilitando el resto por defecto.
4. Estandarizar la configuración de seguridad establecida haciéndola extensible a todos los dispositivos conectados a ella; lo que aportará consistencia y uniformidad a la red.
5. Registrar la actividad tanto de los usuarios como de los administradores en tanto en cuanto estos realicen modificaciones en la configuración de la seguridad. A mayor abundamiento, la Guía nos recomienda llevar a cabo un registro de los intentos de acceso, fallidos o exitosos, a la red.
6. Monitorización de la seguridad de la red inalámbrica que permite conocer el estado de seguridad de la misma, identificando y en su caso, reaccionando con la mayor celeridad posible ante ataques, fallos de seguridad o cualquier otro tipo de problema.
7. Realización de auditorías de seguridad para comprobar que la red cumple con las políticas de seguridad previamente establecidas.
Es en este punto, donde no nos podemos olvidar de proteger la seguridad del dispositivo que actúa como punto de acceso de los terminales inalámbricos de una organización e, incluso, en muchas ocasiones, como puerta de enlace entre la organización e Internet: el router. Mantener este dispositivo correctamente configurado será de gran importancia para preservar la seguridad de la información. Pero ¿cómo hemos de configurar correctamente el mismo? A través de una serie de medidas de seguridad:
Medias de seguridad básicas.
– Modificar la contraseña de acceso al router con cierta periodicidad.
– Cambiar el nombre de la red wifi establecido por defecto.
– Hacer un uso de contraseñas robustas para acceder a la red wifi.
– Actualización del firmware que nos permitirá disponer de todos los parches de seguridad.
– Configurar la red con protocolos de seguridad cifrados WPA2 o WPA3 que ofrecen mejoras en autenticación, configuración o cifrado de la información de las organizaciones.
– Desactivar el mecanismo WPS que facilita la conexión de dispositivos con el router de las organización a través de un código PIN.
– Crear una red wifi para invitados que evitará que terceros tengan un acceso a nuestra red local y, consecuentemente, a los datos que ahí se albergan.
Medidas de seguridad complementarias.
– Habilitar el filtrado por dirección MAC cuya función es permitir que, únicamente las direcciones incluidas en el router puedan conectarse a la red.
– Reducir los rangos de direcciones IP permitidas, siempre que vayamos a tener los mismos equipos conectados a la red.
– Limitar la potencia de emisión de las antenas lo que evitará intrusiones como consecuencia de la dificultad de localización de la red.
– Deshabilitar la administración remota que permitiría configurar el router desde fuera de la red privada de la organización.
– Llevar un control de los equipos conectados a la red.
– Deshabilitar la opción UPnP (Universal Plug and Play) que permite a los dispositivos conectados a la red, descubrirse entre sí.
– Apagar el router durante períodos de inactividad prolongada.
El cumplimiento de estas medidas, lejos de ser obligatorio, se configuran como una opción que aportará una seguridad de las conexiones puesto que de nada servirá configurar unas medidas que protejan nuestras redes, si dejamos la puerta de acceso a las mismas, desprotegida. Entre los riesgos destacables y derivados de una mala configuración del router, nos encontramos con:
– Robo de información confidencial.
– Uso de la red para fines ilegales y/o maliciosas.
– La infección de los dispositivos conectados a nuestra red con malware que repercuta, gravemente, a nuestra seguridad.
– Disminución del ancho de banda que ralentizaría el intercambio de información llegando a ser imposible usar Internet.
– Vinculación de todo aquello que ocurra en nuestra red con el nombre del titular de la dirección IP; lo que podría llegar a incluir acciones ilegales que se hayan efectuado por terceros no autorizados que hayan accedido previamente a nuestra red.
No obstante, no debemos olvidar que la tecnología, y más concretamente, a ojos del presente artículo, la inalámbrica, es un activo que se encuentra en continuo desarrollo y avance, lo que implica que las buenas prácticas descritas, estarán supeditadas a una continua revisión de las mismas para poder garantizar la protección de la información ante la constante aparición de diversas vulnerabilidades.