Hoteles, chiringuitos, aeropuertos… En vacaciones también pasamos todo el día conectados a Internet. WhatsApp se ha convertido en una herramienta de comunicación personal irremplazable. Queremos consultar Facebook, subir fotografías a Instagram, tuitear algo que hemos visto, y contestar mensajes de correo de la oficina desde cualquier lugar; y podemos hacerlo. En la mayoría de ocasiones hacemos todo esto desde un teléfono móvil, a veces con tabletas, e incluso, aunque cada vez menos, desde ordenadores portátiles.

Es muy común ir a la busca y captura de redes WiFi públicas que no estén protegidas por contraseña y nos permitan conectarnos a Internet de forma cómoda y barata. De hecho, muchas cadenas de restauración ofrecen como un reclamo más el hecho de tener WiFi a disposición de sus clientes, y en muchos lugares se pueden ver puntos WiFi públicos proporcionados por ayuntamientos.

A pesar de que el precio de las conexiones de datos móviles ha bajado considerablemente (gracias a la competencia y al avance de las tecnologías), y de que la velocidad de conexión no deja de aumentar (GPRS, 3G, HDSPA, 4G…), la mayoría de usuarios, si pueden, tratan de evitar el uso de los datos móviles. Esto tiene una fácil explicación: muchas de las tarifas que se ofrecen tienen un límite de descarga, y, una vez sobrepasado, o bien cobran un extra o bajan la velocidad. Además no todos los lugares tienen buena cobertura móvil, que influye directamente en la velocidad de conexión. Y si hablamos de datos en roaming, cuando viajamos a otros países, los precios son en muchas ocasiones prohibitivos.

Queda claro que la mayoría de usuarios en un momento dado vamos a tratar de conectarnos a una red WiFi pública. ¿Es seguro? ¿Qué riesgos conlleva? ¿Es posible espiar las comunicaciones que salgan de mi dispositivo? ¿Me pueden infectar si la red es maliciosa? Estas son algunas de las preguntas que vamos a responder a continuación.

Cuando nos conectamos desde casa o desde la oficina, sabemos quién está encargado de la red y qué personas pueden estar conectadas, sin embargo, en una red pública cualquiera puede estar conectado, y no sabemos las intenciones que puedan tener. Una de las primeras dudas que nos pueden surgir atañe al grado de seguridad de cualquier página web que requiera usuario y contraseña.

wifi pública

Cómo conectarnos de manera segura a una red WiFi pública

¿Podría haber alguien conectado a la misma red espiando las comunicaciones?

Sí, cualquiera que esté conectado puede capturar el tráfico que sale de nuestro dispositivo, y para ello hay aplicaciones gratuitas sencillas de utilizar.

¿Quiere esto decir que alguien podría capturar mi usuario y contraseña de Facebook?

No. Afortunadamente, Facebook, y la gran mayoría de redes sociales, servicios de correo electrónico, tiendas online, etc. cuentan con páginas seguras. Nos conectamos a ellas a través de SSL, algo que vemos en el navegador (dependiendo del que utilicemos) cuando se muestra el icono de un candado junto a la página a la que accedemos. Esto significa que toda la información que enviamos a dicho sitio está cifrada, de tal forma que, aunque sea capturada, no será accesible.

¿Qué sucede con el resto de páginas web? ¿Pueden ver qué estoy visitando, o es posible acceder a la información que relleno en una página web no segura?

Sí. De forma muy sencilla es posible capturar esta información, y cualquiera podría ver a qué páginas te estás conectando, o qué escribes en un foro o cualquier otro tipo de página no segura.

Entonces siempre que la página web sea segura, puedo estar tranquilo, ¿verdad?

Sí. Pero tiene que ser segura realmente. La captura del tráfico de red es uno de los ataques que se pueden llevar a cabo, pero no el único. Si el punto de acceso ha sido puesto allí por alguna persona malintencionada puede, por ejemplo, cambiar la configuración del router WiFi, de tal forma que te lleve a la página que quiera. Es decir, podemos escribir en el navegador www.facebook.com y que la página que nos muestre no sea realmente la de Facebook sino una copia, de modo que cuando escribamos nuestro usuario y contraseña se lo estemos dando directamente al ciberdelincuente. O, lo que es peor, que la página a la que nos dirija contenga algún exploit que infecte nuestro dispositivo sin que nos demos cuenta. En cualquier caso, la página falsa no será segura, lo que nos puede servir como pista para detectar que no es la real.

¿Pero esto se puede evitar si sé que el punto de acceso WiFi es de origen confiable, como un comercio?

No. Aunque evidentemente es más seguro, nadie puede garantizar que el router no haya sido comprometido, y cambiada, por ejemplo, la configuración de los DNS, lo que facilita un ataque como el descrito anteriormente en el que somos llevados a una página falsa. En 2014, de hecho, han aparecido agujeros de seguridad en routers muy populares que permiten hackearlos de tal forma que el atacante pueda cambiar la configuración del mismo sin ningún problema.

Esto es un caos, ¿hay alguna manera de protegerse ante este tipo de ataques?

Sí. Un buen método es utilizar un servicio de VPN (Virtual Private Network), que hace que todo el tráfico que salga de nuestro dispositivo esté cifrado. Da igual que la página sea segura o no, todo estará cifrado. Y mientras estemos conectados a la VPN no se utiliza la configuración DNS del router en ningún caso, por lo que estamos protegidos ante ataques como los anteriormente descritos.

¿Y qué pasa con las redes WiFi protegidas con contraseña? ¿El riesgo es el mismo?

Esto simplemente va a garantizar que en principio sólo van a estar conectados al mismo punto de acceso WiFi aquellos que conozcan la contraseña, ni más ni menos. En cierta forma, podemos decir que limita los riesgos al disminuir el número de personas que se pueden conectar, pero pueden producirse exactamente el mismo tipo de ataques que en una red abierta no protegida por contraseña.

¿Todo esto aplica a todo tipo de dispositivos, o sólo a ordenadores?

A todos: ordenadores, tablets, móviles o cualquier otro dispositivo que se conecte a la red.

¿Y qué pasa entonces con WhatsApp? ¿Es posible que se vean mis conversaciones o las fotos y vídeos que envío?

No. Afortunadamente ahora esa información va cifrada. Antiguamente no era así, y, de hecho, se llegó a desarrollar una aplicación que permitía ver los chats si estabas conectado a la misma red. Esto ya no es posible, aunque existe una forma de que puedan averiguar tu número de teléfono móvil si estás conectado con WhatsApp en la misma red que el atacante, pero de ahí no pueden pasar.