Sobre lo inseguras que son las redes WiFi ya hemos hablado suficiente, así como de medidas que se pueden tomar para mejorar la seguridad de los routers. En general, los routers son muy vulnerables y, quien más, quien menos, ha sentido miedo alguna vez a que se le colaran en el router.
El otro día nos encontramos con este artículo que desarrollaba un «método infalible» para que no entren intrusos en tu red WiFi que consistía en hacer una lista blanca (lista autorizada) de dispositivos, utilizando para ello la MAC del dispositivo para identificar cada uno.
Pero este método no es en absoluto infalible, ya que la MAC, un código único que identifica el dispositivo y que viene de fábrica, como si fuera una matrícula, es uno de los identificadores más fáciles de suplantar.
Cómo se hace el filtrado de MAC
Básicamente, un filtrado de MAC, consiste en crear una lista de dispositivos que pueden conectarse a un router, para lo que es necesario entrar en la configuración de tu router. El proceso empieza por desconectar primero todos los dispositivos conectados, ya que, como se reconoce en el artículo «es imposible saber si todos esos dispositivos son nuestros o hay algún intruso chupando del tarro«.
De hecho, esta incapacidad para identificar quién está conectado a la red es donde reside la principal vulnerabilidad de las actuales redes WiFi. Es decir, que en las actuales redes WiFi NO PUEDES IDENTIFICAR QUIÉN ESTÁ CONECTADO, SÓLAMENTE PUEDES VER LOS CÓDIGOS MAC.
Sigamos con el proceso de filtrado. Una vez «expulsados» todos los dispositivos conectados, es el momento de hacer el proceso contrario: conectar dispositivo a dispositivo e ir tomando nota de la dirección MAC. Es decir, conectas un dispositivo, anotas la MAC que aparece en el router y cuando terminas de conectar todos los dispositivos conocidos, añades sus MAC a la lista blanca. Un proceso tedioso y totalmente manual, susceptible de tener muchos errores.
Según el mencionado artículo, ya no es posible que otros dispositivos se conecten ya que su MAC no está en la lista blanca.
Sin embargo, esto no es cierto porque uno de los hackeos más habituales es la suplantación de MAC y es relativamente sencillo de hacer por alguien con mínimos conocimientos:
- Las MACs se transmiten en abierto sea cual sea la red WiFi a la que se conectan, por tanto se trata de información pública. Esto sucede así por diseño, ya que cuando se crearon estos protocolos lo que primaba era la conectividad y no la seguridad de las comunicaciones. La consecuencia es que cualquier atacante podrá conocer en cada momento los dispositivos conectados a una red WiFi y utilizará dicha información en la medida de lo posible para llegar a su objetivo.
- Hoy en día casi todos los sistemas permiten cambiar la MAC del dispositivo y por lo tanto un atacante podría hacerse pasar fácilmente por el dispositivo que quisiera saltándose el filtro MAC configurado.
- No tienen suficiente granularidad: La mayoría de los routers no permiten aplicar filtros MAC sobre cada red WiFi que ofrece a los usuarios. Es decir, si configuramos un filtro MAC para denegar el acceso a un dispositivo, ese dispositivo no podrá acceder a ninguna de las redes (red de invitados incluida).
- Complejidad de configuración: La MAC es un identificador formado por 6 bloques de dos caracteres hexadecimales (e.g. fe:54:00:33:1e:0f), por lo que podemos imaginar el tiempo que nos puede llevar averiguar la MAC que pertenece a cada dispositivo. Si a eso añadimos la cantidad de dispositivos que hoy en día conectamos a las redes WiFi y que por cada dispositivo nuevo que conectemos tendremos que realizar esta tarea, se nos puede ir en ello un tiempo muy valioso. Además, la complejidad del identificador MAC puede hacer que se produzcan errores humanos trasladando el identificador a la configuración del router. Si esto sucediera, sería otra razón más por la que el filtro MAC no realizaría bien su función «esperada».
¿Qué alternativas hay?
La buena noticia es que ya existe una solución que permite evitar usuarios no autorizados de forma sencilla: con WEFENDER todo esto no será necesario porque sus sistemas de autenticación y autorización de usuarios son suficientemente robustos como para no tener que hacer todas las operaciones que explicaban en el mencionado artículo. Y todo eso lo hace de forma predeterminada y automáticamente, sin necesidad de que tengas que andar «metiendo mano» al router.
En este sentido, WEFENDER, destaca por su sistema de seguridad porque:
- Utiliza un sistema de autenticación basado en 4 factores que, utilizados de forma conjunta, no pueden ser suplantados. Desde el momento en el que el dispositivo intenta acceder a la red, se vinculan una serie de factores: MAC, IP, Clave de acceso WiFi (PSK) y red WiFi. Y se crean reglas específicas de protección por dispositivo.
- Si alguno de estos factores no se cumple, WEFENDER descarta cualquier conexión al considerar esta acción como un intento de acceso no autorizado a la red WiFi. Por lo tanto, si un atacante quisiera utilizar una MAC de una víctima para hacerse pasar por esta, el router no permitiría el acceso y el atacante no podría utilizar este método de suplantación en su beneficio.
- Ofrece mayor granularidad: WEFENDER no solo es capaz de filtrar por MAC sino que además simultáneamente filtra la IP asignada al dispositivo, puertos de comunicaciones (protocolo) y nombre de la red (SSID). Esto quiere decir que se pueden dar diferentes privilegios de acceso en cada red y a cada dispositivo dependiendo de los servicios de red a los que quiera acceder o proteger.
- Seguridad automática y por defecto: No es necesario que el usuario configure esta función manualmente. Imaginemos el proceso de registro que se hace de manera habitual al conectar un dispositivo a una red WiFi. En este paso WEFENDER creará automáticamente los vínculos de factores para que nada ni nadie pueda utilizarlos o modificarlos a su antojo. El hecho de que este proceso sea automático evita errores humanos. Además, que sea de forma predeterminada, establece una protección adicional dado que ningún acceso ilegítimo o malintencionado al panel de control de la solución, podrá cambiar este comportamiento.
En conclusión, en primer lugar el filtrado de MAC no es una solución «infalible» ya que es fácilmente suplantable. En segundo lugar, hay que leer con cuidado todo lo que se publica y buscar siempre el asesoramiento de expertos para evitar tomar medidas ineficientes.
Por último, si realmente quieres evitar a los gorrones de WiFi, sólo una solución como WEFENDER te va aportar la funcionalidad requerida y de una forma sencilla y fácil de gestionar.
