Están disponibles en hoteles, restaurantes, bibliotecas, aeropuertos o estaciones de tren. La mayoría de locales ofrecen redes wifi públicas y no dudamos un instante en disfrutar de sus ventajas. Es cómodo y gratuito. Sacamos nuestro teléfono móvil, nuestra tableta o nuestro portátil y nos conectamos a ellas sin pensar que un ciberdelincuente puede interceptar nuestro dispositivo y robar nuestros datos.
Más de una vez te hemos dicho cómo utilizar una WiFi de forma segura aunque, probablemente pienses que nadie en la cafetería tiene los conocimientos suficientes para espiarte. Sentimos decirte que estás equivocado: el atacante no necesita ni un gran presupuesto ni ninguna destreza informática especial para robarte los datos. Será capaz de espiarte sin demasiadas dificultades si se lo propone.
“Todo lo que necesitas son 70 euros, un coeficiente intelectual medio y un poco de paciencia”, defiende el hacker Wouter Slotboom. Este experto en seguridad ha demostrado cómo, en tan solo 20 minutos, es capaz de conseguir los datos personales de casi todos los usuarios de una cafetería de Ámsterdam e incluso un historial de sus últimas búsquedas en Google.
Provisto de un portátil y un pequeño dispositivo del tamaño de un paquete de cigarrillos, Wouter lanzó un programa y la antena comenzó a interceptar señales de los móviles y portátiles del establecimiento. Después, ejecutó el clásico ataque ‘man in the middle’, logrando que su red se convirtiera en intermediaria entre la víctima y la fuente: los usuarios creían estarse conectando a la red del local y, sin embargo, se estaban conectando a la red ficticia de este experto en seguridad, que asegura que todos los programas necesarios para llevar a cabo esta tarea se pueden descargar fácilmente de Internet.
En poco tiempo, 20 usuarios se habían conectado a la red. Pero no solo eso: Slotboom fue capaz de conocer sus direcciones MAC e incluso ver las especificaciones de sus teléfonos móviles, una información que podía haber utilizado fácilmente para conocer los agujeros de seguridad de cada dispositivo. Descubrió incluso qué aplicaciones estaba utilizando cada usuario.
Este hacker pidió al periodista neerlandés que le acompañaba que escribiera su usuario y contraseña. En unos segundos, los dos datos estaban en su poder. Si utilizamos la misma contraseña en varios servicios, una técnica poco recomendable pero habitual, un ciberatacante podría tener acceso fácilmente a todos los detalles de nuestra vida virtual. Este experto en seguridad incluso explicó cómo desviar el tráfico, haciendo creer a un usuario que está entrando en la web de su banco cuando en realidad está accediendo a un sitio clonado. Una técnica que un ciberatacante podría utilizar para desplumarte virtualmente.
Si estás pensando que Slotboom es un experto en seguridad y para él es fácil realizar todas estas tareas, lo cierto es que hasta un niño podría acceder a tus dispositivos conectados a una red pública. Esto es literal. Recientemente, Betsy Davis, una niña de siete años británica, logró espiar las comunicaciones de los dispositivos que estaban a su alrededor, conectados a una wifi pública, en tan solo diez minutos.
El proveedor de redes privadas Hide my ass realizó este experimento para demostrar la inseguridad de estas redes: Betsy creó un punto de acceso falso (el mismo ataque ‘man in the middle’) e interceptó las comunicaciones siguiendo las instrucciones de los tutoriales que encontró buscando en Google. Los mensajes del resto de usuarios de la red pública comenzaron a llegarle a ella en lugar de a su legítimo destinatario.
Si hasta Betsy es capaz de espiar los datos de los dispositivos de una red pública, ya puedes empezar a tener un poco más de cuidado y dejar de confiar en que la gente del bar de la esquina es inofensiva.
Aunque el mejor consejo que podemos darte es que directamente no te conectes a estas redes, si tienes que hacerlo te recomendamos que utilices un servicio VPN para conectarte a través de una red privada, que accedas a páginas que utilicen el protocolo seguro https. Tampoco realices nunca transacciones bancarias desde una red abierta, no vaya a ser que algún atacante te deje la cuenta a cero.
Por si acaso, aquí tienes unos consejos para conectarte a una red pública de forma segura. Más vale prevenir que curar.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
1 comment