Básicos 1: Pay Attention, no te fíes de ninguna WiFi

La mayoría de nosotros suele acudir a sitios como aeropuertos, cafeterías.. bibliotecas (bien por trabajo, por ocio.. o simplemente para pasar el rato) y conectarnos – lo más probable – a la red wifi, que dicho sea de paso ya se encarga nuestro smartphone de recordarnos que ahí está, deseando que te conectes a ella sin importar lo más mínimo si es segura o no (que va a ser que tal vez no!).

Qué bien, ya tengo WiFi.
Qué bien, ya tengo WiFi.

Miras tu smartphone y piensas: Otra vez al límite de datos! – de repente zas.. ofrecen wifi “gratuito” (el refrán nos dice qué: a veces lo barato resulta caro). Miras dichas conexiones.. ellas te miran, os habláis.. intimáis – piensas por un instante a cuál conectarte, son gratis! – y os conectáis ambos.. (el móvil vaya!) .. }:)

Todas parecen ser legales piensas, con lo cuál y una vez conectado comienzas a navegar sin preocuparte de nada más excepto de tus cosas, lo que sea que hagas en ese momento con tu smartphone – bah, da igual.. mis datos estan casi al límite, es gratis.. aprovechemos).

Qué locura! - Facebook, Twitter.. esta conexión va de lujo.
Qué locura! – Facebook, Twitter.. esta conexión va de lujo.

Después de unos días y una vez en casa, realizas unas consultas típicas en tu cuenta bancaria y te das cuenta de que tu tarjeta de crédito tiene algunos cargos extraños – no autorizados -. “Esto es un poco raro” puedes pensar, ¿tal vez tendrán algo que ver con esto aquellas redes WiFi “gratis” a las que me conecté hace unos días en..? (tienes muchas papeletas de que así sea).

Conectarse a redes WiFi gratis puede parecer una buena idea, pero es extremadamente peligroso en ciertos lugares. El peligro radica en que es increíblemente fácil y barato crear un AP-Fake (Rogue AP – punto de acceso falso) y configurarlo en cualquier lugar y con el nombre que uno quiera. La víctima cree que es una red legítima y se conecta al AP del atacante (punto de acceso falso), con lo cuál y desde ese momento el atacante dispone de todo el acceso a tu terminal.

Después de conectar, el atacante puede ver el tráfico que va entre la victima e internet, espiando con total eficacia todo el tráfico de cualquier sitio en el cuál este navegando la victima. Esto es lo que se conoce como ataque “Man in the Middle” (ataque de hombre en el medio), pongamos un ejemplo:

Ejemplo: Ataque
Ejemplo: Ataque “Man in the Middle”.

(Versión víctima) – Seleccionas una red a la cuál te conectas con un dispositivo cualquiera (smartphone, portátil, etc) e inicias cualquier página con el navegador. Comienzas a navegar y a realizar consultas en diferentes páginas, bancos, tiendas online.. y muchas otras, con la certeza de que lo estas haciendo con total precaución (que eso es lo que tú crees).

(Versión atacante) – Previamente ya había observado el entorno (aeropuerto, cafetería..) y creado su punto de acceso falso (uno o varios, todo depende de sus fines) para que alguien como tú llegue y se conecte. Una vez conectado al AP falso, el atacante detecta un cliente y comienza a observar su tráfico, es decir.. las páginas que visita, las passwords que introduce, números de tarjetas de crédito, datos personales y un largo etc, sin que la victima se de cuenta de que algo raro está sucediendo, pues podrá navegar sin ningún problema.

Tal y como muestra el esquema de la imagen (superior) sería:

– Victima – atacante – Internet – : Un Man in the Middle en toda regla.


Man in the Middle Attack.
Man in the Middle Attack.

Entonces, ¿Como debo protegerme para no ser una victima?

-) Si no estas en casa, o dispones de una red WiFi de total confianza, lo mejor en estos casos es desactivar la WiFi, y en su defecto activar los datos de tu dispositivo. Esto sirve para varios propósitos. Ahorras batería (y eso siempre es agradable) y de paso no te conectas a ninguna red WiFi sin que lo sepas.

-) Si necesitas conectarte a una red Wifi confirma el nombre de la red con alguien que trabaje en ese lugar (negocio). A menudo, en lugares públicos de relevancia (aeropuertos..) habrá señales oficiales con el nombre de las redes. En sitios más pequeños son más difíciles de encontrar porque los atacantes pueden crear AP falsos muy convincentes. En cualquier caso, la recomendación es preguntar a alguien por el nombre de la red, para verificar la autenticidad de la misma y no llevarnos alguna que otra sorpresa.

Básicos 1 - BLOG - 6

-) Nunca te fíes de una red WiFi. No hagas consultas bancarias, compras o transacciones de carácter sensible mientras estes conectado a una red WiFi pública. Haz esas cosas en tu red, o en una de tu confianza. Si es absolutamente necesario, asegúrate siempre de que el sitio web está utilizando “https” delante de la URL.

-) Tras conectarte a una red pública, usa la opción de tu dispositivo llamada “olvidar red”. Esto sirve para que tu dispositivo no este constantemente buscando dicha red, aunque ya no te encuentres dentro del alcance de la misma, y evitará (entre otras razones) que se conecte de manera automática cuando la red detecte tu dispositivo de nuevo.

En resumen, protégete a ti mismo de las redes WiFi, };)


Nota: Se han omitido nombres de herramientas (software) para tal uso, así como una terminología de aspecto más técnico para que pueda ser más comprensible su lectura y entendimiento.

-) Cada palabra subrayada “linkea” hacia su descripción.


TonyHAT - 067

Anuncios

Un comentario en “Básicos 1: Pay Attention, no te fíes de ninguna WiFi”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s