Como hemos comentado en numerosas ocasiones, nos encontramos en un momento de gran demanda de conexión a la red: vivimos permanentemente conectados y cada vez más dispositivos, incluso los más inverosímiles, se conectan a Internet.
Sin embargo, y a medida que nuestra vida se digitaliza cada vez más, surgen nuevas formas de delitos, conocidos como ciberdelitos o cibercrímenes. Tiene sentido que, si nuestra actividad digital se incrementa, existan nuevas oportunidades para estos criminales de nuevo cuño, que se aprovechan, entre otras cosas, de la deficiente seguridad de las redes WiFi. Por eso, cada día nos desayunamos con una nueva estafa por phishing, robo de datos o nuevas formas de malware que se infiltran en nuestros dispositivos.
Anteriormente, ya comentamos que las PYMES son los objetivos favoritos de los ciberdelincuentes, por la facilidad para penetrar en sus redes WiFi lo que permite obtener pequeños beneficios de muchas empresas.
Por este motivo, cada vez más empresas necesitan disponer de redes WiFi seguras que les permitan seguir siendo competitivas evitando los daños que un ciberataque pudiera provocarles.
Qué necesita una empresa para tener una red WiFi segura
La ciberseguridad de cualquier empresa se compone de muchos aspectos. Sin embargo, uno de los pilares de una red WiFi segura corporativa es la gestión de la identidad y el control de acceso.
El mismo sistema que se utiliza para acceder a un espacio físico, en el que se nos solicita un DNI y se comprueba que dicho DNI sea válido y está autorizado, se aplica igualmente a las redes inalámbricas.
En este sentido, el futuro de la ciberseguridad pasa necesariamente por disponer de sistemas capaces de autenticar a cada usuario, proceso o dispositivo y gestionar los privilegios que se tienen para acceder a cada activo físico o digital, así como mantener un registro de los procesos anteriormente mencionados.
La forma en que se aplica generalmente la gestión de identidades en una empresa depende en gran medida de qué activos específicos necesiten protección, así como de la variedad y características de los usuarios y dispositivos a identificar.
El activo más común en las empresas suele ser la red de área local (LAN) que permite a los usuarios acceder a los recursos compartidos tales como servicios de impresión, servicios web o aplicaciones corporativas, así como a Internet.
La aparición de las redes inalámbricas (WiFi) ha permitido optimizar el coste de infraestructura de comunicaciones frente a redes cableadas (redes ethernet) lo que ha incrementado el despliegue de dicho tipo de redes, convirtiéndose en la opción favorita de las PYMES (un 98% de las pequeñas empresas utilizan tecnología inalámbrica). Como consecuencia, actualmente, más de la mitad del tráfico del mundo fluye a través de redes WiFi.
En este contexto, no es de extrañar que el activo que, de forma más habitual, requiere de procesos de autenticación de identidad y control de acceso sea la red de área local inalámbrica, WLANs, o red WiFi como se conoce comúnmente.
Por eso, en un entorno corporativo, donde operan múltiples y heterogéneos dispositivos y usuarios que quieren conectarse de forma segura a su red WiFi, es necesario contar con los siguientes elementos para realizar dichos procesos, tal y como se refleja en el siguiente gráfico:
1) Servidor NAC
Estos elementos son los que gestionan el control de acceso a la red (NAC: Network Access Control) y puede componerse de los siguientes elementos:
- IAM (Idententity and access manager): Gestiona las identidades de los usuarios y dispositivos y los asocia a sus privilegios de acceso.
- AAA (Authentication, Authorization, and Accounting): se encarga de realizar la autenticación, aplicar las reglas de autorización y recopila información sobre el dispositivo en uso.
- MDM (Mobile device management). Este sistema gestiona lo que hace un dispositivo móvil, debido a que en la mayoría de los casos el control de la red no es suficiente.
2) Software cliente
Se refiere al software de seguridad que hay que instalar en los dispositivos cliente (PC, móviles, tablets, dispositivos IoTs):
- Antivirus: software para detectar y eliminar malware. Además, puede realizar tareas de cortafuegos implementando reglas en el sistema sobre el que opera.
- NAC cliente: es el software que corre en el dispositivo cliente para aplicar los privilegios de acceso según se define en el servidor NAC
3) Control de red
Son los elementos que gestionan el tráfico dentro de la red
- Switch: este dispositivo se encarga de conmutar paquetes a través de la red. Debe integrarse con el servidor NAC y aplicar de forma automática políticas granulares al nivel de MAC, el identificador del dispositivo, también denominada la capa 2 del modelo OSI.
- Firewall: este elemento aplica las políticas de seguridad en capa 3 (modelo OSI), es decir en la IP, e igualmente debe integrarse con el servidor NAC.
- Servidor DHCP (Dynamic Host Configuration): este servidor asigna dinámicamente las IPs a los dispositivos y permite asignar direcciones de subredes para poder segmentar la red y crear grupos aislados de usuarios o dispositivos.
- Servidor DNS (Domain Name Server): se encarga de asociar los nombres de dominio a su dirección IP correspondiente.
4) Control inalámbrico
Los siguientes elementos se encargan del tráfico de red inalámbrico:
- AP (Access point): punto de acceso inalámbrico que crea las redes WiFi. Las políticas de seguridad en el AP las asigna el switch o el firewall.
- WLC (Wireless Lan Controller): gestiona la configuración de la WLAN y la despliega en los puntos de acceso (AP).
Como se puede comprobar, esta solución WLAN, o red WiFi segura, es altamente compleja y requiere de muchos elementos para su funcionamiento óptimo. Además del coste de infraestructura, es necesario contar con recursos técnicos especializados para su implantación, gestión y mantenimiento posterior.
Adicionalmente, esta solución requiere el despliegue de software cliente en cada uno de los dispositivos, algo que puede convertirse en una tarea titánica debido a la proliferación de dispositivos IoT conectados a redes locales, en los que no se puede instalar un software específico de protección como, por ejemplo, un antivirus.
Como conclusión, las soluciones tradicionales de gestión de identidades WLAN, a pesar de ser una piedra angular de la estrategia de gestión de riesgos cibernéticos de cualquier negocio, son absolutamente inaccesibles para las empresas más pequeñas debido a su coste y complejidad.
Por esta razón, la gran mayoría de PYMES recurren a soluciones de carácter doméstico, cuyos niveles de seguridad son muy deficientes para sus necesidades. Además, tampoco suelen cambiar las opciones para mejorar la seguridad de la red WiFi, dejando la configuración que viene por defecto de fabrica. Esta circunstancia hace que este tipo de empresas, estén en el punto de mira de los ciberdelincuentes.
En este sentido, TECTECO ha desarrollado WEFENDER una solución tecnológica, especialmente pensada en las PYMES, que se centra en el control de acceso a la red a través de la creación de identidades digitales únicas empleando una infraestructura simplificada y económica, para que las PYMES puedan tener una red WiFi segura.
