ESTUDIO DE ESQUEMAS DE SEGURIDAD EN REDES...

ESTUDIO DE ESQUEMAS DE SEGURIDAD EN REDES INALAMBRICAS:

APLICACIÓN DE BUENAS PRACTICAS EN PYMES Y USUARIOS FINALES

DANIEL ERNESTO VERBEL SALGADO

HERMAN ALVAREZ CANO

UNIVERSIDAD DE SAN BUENAVENTURA SECCIONAL MEDELLÍN

FACULTAD DE INGENIERÍAS

ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA

MEDELLIN

2016

ESTUDIO DE ESQUEMAS DE SEGURIDAD EN REDES INALAMBRICAS:

APLICACIÓN DE BUENAS PRACTICAS EN PYMES Y USUARIOS FINALES

DANIEL ERNESTO VERBEL SALGADO

HERMAN ALVAREZ CANO

Proyecto presentado para optar al título de Especialista en Seguridad Informática

Asesor

Juan Esteban Velasquez Munera, Auditor ISO 27000

UNIVERSIDAD DE SAN BUENAVENTURA SECCIONAL MEDELLÍN

FACULTAD DE INGENIERÍAS

ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA

MEDELLIN

2016

CONTENIDO

1. JUSTIFICACIÓN .............................................................................................................................5

2. PLANTEAMIENTO DEL PROBLEMA ..............................................................................................6

3. OBJETIVO GENERAL .....................................................................................................................7

4. OBJETIVOS ESPECÍFICOS ..............................................................................................................7

5. MARCO REFERENCIAL ..................................................................................................................8

6. DISEÑO METODÓLOGICO PRELIMINAR ................................................................................... 11

7. CRONOGRAMA ......................................................................................................................... 12

8. REDES INALAMBRICAS Y CLASIFICACIÓN SEGÚN SU COBERTURA ......................................... 13

8.1 Clasificación según su cobertura .......................................................................................... 14

8.1.1 WPAN: Wireless Personal Area Network .................................................................... 14

8.1.2 WLAN: Wireless Local Area Network ........................................................................... 16

8.1.3 WMAN: Wireless Local Metropolitan Network ........................................................... 20

8.1.4 WWAN: Wireless Wide Area Network ......................................................................... 20

8.2 Protocolos de Seguridad Estándar IEEE 802.11 ............................................................... 21

8.2.1 Estándares WiFi 802.11 ................................................................................................ 22

8.2.2 Estándares WiFi 802.11b .............................................................................................. 22

8.2.3 Estándar WiFi 802.11a .................................................................................................. 23

8.2.4 Estándares WiFi 802.11g .............................................................................................. 23

8.2.5 Definición de algunos componentes de una red WiFi: ............................................... 24

8.2.6 Métodos de Configuración Segura .............................................................................. 25

8.2.7 Filtrado de direcciones MAC ........................................................................................ 25

8.3 Seguridad WiFi empresarial – Servidores radius ............................................................. 27

9. SITUACIÓN Y TENDENCIAS DE LAS TECNOLOGÍAS INALÁMBRICAS EN COLOMBIA E

INTERNACIONAL ............................................................................................................................... 29

10. PROBLEMAS DE SEGURIDAD EN REDES INALAMBRICAS .................................................... 35

10.1 Análisis del nivel de vulnerabilidad en las redes WiFi ................................................... 36

11. SOLUCIONES DE SEGURIDAD CON APLICACIÓN A REDES INALAMBRICAS WiFi ................ 40

12. FOMENTAR LA CULTURA DE SEGURIDAD EN PYMES Y USUARIOS FINALES ...................... 46

13. RECOMENDACIONES DE ACTUACIÓN A LAS PYMES Y USUARIOS FINALES PARA PREVENIR

RIESGOS Y VULNERABILIDADES ....................................................................................................... 67

14. CONCLUSIONES ..................................................................................................................... 73

15. REFERENCIAS BIBLIOGRAFICAS ............................................................................................ 76

16. GLOSARIO ............................................................................................................................. 79

17. TABLA DE FIGURAS ............................................................................................................... 86

5

1. JUSTIFICACIÓN

La movilidad en oficinas y en el hogar es una práctica cada vez más extendida en

la sociedad. Esta situación se ve favorecida y alentada por los continuos avances

en el ámbito de las tecnologías inalámbricas, donde cada vez se están

consiguiendo soluciones de mayor velocidad de conexión, con más servicios y a

unos costos cada vez más bajos.

Sin embargo, la principal ventaja de estas tecnologías, caracterizadas por

posibilitar una conexión inalámbrica y en cualquier lugar donde exista cobertura,

implica, a su vez, unas necesidades específicas de seguridad.

Ante este panorama, donde los cambios y los avances tecnológicos suceden con

mucha rapidez, no es difícil prever una posible vulnerabilidad en el uso de

tecnologías inalámbricas, producto de un conocimiento mínimo en temas

tecnológicos y de la aparición de nuevas amenazas a partir de estas nuevas

formas de comunicación.

La fiabilidad en la seguridad de las comunicaciones inalámbricas es un elemento

clave para fomentar su uso por los usuarios finales y las pymes. Con el objetivo de

hacer de las telecomunicaciones inalámbricas un entorno más seguro y evitar

riesgos de fácil prevención, buscando a través de este estudio establecer buenas

prácticas en el uso de dispositivos móviles y redes inalámbricas.

6

2. PLANTEAMIENTO DEL PROBLEMA

El siguiente estudio abordará el análisis de la problemática de la seguridad

teniendo en cuenta la tecnología utilizada, así como la identificación de las

soluciones aplicadas ya que todas comparten la misma esencia. Aparte de lo

anterior el estudio analizará también las particularidades de las principales

tecnologías inalámbricas frente a cada una de las problemáticas de seguridad

identificadas.

El propósito final del estudio es proponer una serie de recomendaciones a las

pymes y usuarios finales para prevenir riesgos innecesarios en la utilización de las

tecnologías inalámbricas, fomentar las buenas prácticas entre proveedores,

distribuidores, y vendedores para lograr identificar soluciones de seguridad más

completas y ofrecérselas al usuario final. Por tanto, concientizar a los usuarios y

pymes que las redes no son los elementos débiles ante ataques sino los

dispositivos usados y los puntos de donde acceden los usuarios, lo que con lleva a

la importancia de cumplir con unos mínimos estándares de seguridad en sus

comunicaciones inalámbricas para proteger tanto la información propia como las

de clientes.

7

3. OBJETIVO GENERAL

Fomentar la cultura de la seguridad en pymes y usuarios finales a través de las

buenas prácticas en el uso de las redes inalámbricas.

4. OBJETIVOS ESPECÍFICOS

Conocer el espectro de tecnologías inalámbricas existentes en el mercado

nacional e internacional.

Conocer los principales riesgos y vulnerabilidades asociados a la utilización de

una tecnología inalámbrica.

Identificar las principales soluciones existentes en el mercado para prevenir los

riesgos existentes.

Fomentar la cultura de seguridad en las pymes y particulares.

Elaborar una serie de recomendaciones de actuación a las pymes y los

usuarios finales para prevenir riesgos innecesarios en la utilización de las

tecnologías inalámbricas.

8

5. MARCO REFERENCIAL

La seguridad en redes inalámbricas1. Los múltiples motivos por los cuales

merece importancia la seguridad de las redes inalámbricas es por causas que

demuestran el desmejoramiento de la calidad de la señal, la transferencia de datos

y perdida de la misma.

La seguridad es una de los temas más importantes cuando se habla de redes

inalámbricas. Desde el nacimiento de éstas, se ha intentado disponer de

protocolos que garanticen las comunicaciones, pero han sufrido de escaso éxito.

Por tal razón se debe seguir ciertos parámetros de seguridad que permitan

asegurar y controlar el acceso a la red.

Tras la publicación de los primeros estándares que determinaron el nacimiento de

las redes Wireless Ethernet (IEEE 802.11a y b), también denominadas WiFi por el

consorcio que empuja su implantación e interoperabilidad de los productos, surgió

la necesidad inmediata de proporcionar un protocolo que proporcionase seguridad

frente a intrusiones en este tipo de transmisiones: WEP (Wired Equivalent

Privacy).

Este protocolo proporciona tres mecanismos de seguridad (por nombre de la red o

SSID, por clave estática compartida y por autentificación de dirección MAC),

donde es más recomendable hacer uso combinado de estos mecanismos.

Sin embargo pronto se descubrió que todos estos mecanismos eran fácilmente

desbloqueados en corto tiempo (incluso minutos) por expertos utilizando

herramientas de escucha en redes (sniffers). Para reducir este grave

inconveniente, se han diseñado soluciones no estandarizadas apuntando en

diferentes áreas.

1 Tomado de La seguridad en Redes Inalámbricas, con algunas mejorar ortográficas. Disponible en línea

desde la URL: http://redesinl.galeon.com/aficiones1342927.html

9

La primera de ellas es sustituir el mecanismo de clave estática por uno de clave

dinámica WEP (TKIP u otros), lo que dificulta su identificación, puesto que el

tiempo de computación que lleva es mayor que la frecuencia de cambio. Sin

embargo debe ser complementada con otras técnicas como sistemas Radius para

forzar la identificación del usuario, túneles VPN con cifrado IPSEC o análogo entre

el terminal de usuario y un servidor seguro interno para imposibilitar el análisis de

las tramas enviadas por radio.

Los entes reguladores, conscientes de la gravedad de esta debilidad y su fuerte

impacto negativo en el crecimiento de las redes inalámbricas, proponen otro

mecanismo de seguridad denominado WPA (WiFi Protected Access) que mejora

en todo su conjunto las técnicas mencionadas. En su momento, se esperaba que

esta técnica fuera incorporada en el 2003, donde actualmente se utiliza con mayor

fuerza.

En su momento WPA solo era una propuesta, de la cual se debía esperar a que la

IEEE especificara el nuevo protocolo 802.x de tal forma que las redes inalámbricas

pudiesen ser comparables con las redes cableadas en el ámbito de seguridad.

Los problemas de seguridad existentes en las configuraciones de redes WiFi, se

debe en su gran mayoría a desconocimiento tanto en las pymes como en los

hogares.

WEP, acrónimo de Wired Equivalent Privacy, es el sistema de cifrado incluido en

el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la

información que se transmite. Proporciona un cifrado a nivel 2, basado en el

algoritmo de cifrado RC4 que utiliza 23 claves de 64 bits (40 bits más 24 bits del

vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV).

Los mensajes de difusión de las redes inalámbricas se transmiten por ondas de

radio, lo que los hace más susceptibles, frente a las redes cableadas, de ser

captados con relativa facilidad. Presentado en 1999, el sistema WEP fue pensado

10

para proporcionar una confidencialidad comparable a la de una red tradicional

cableada.

Trayendo como antecedente el siguiente contexto del artículo, “en 2001, varias

debilidades serias fueron identificadas por analistas criptográficos. Como

consecuencia, hoy en día una protección WEP puede ser violada con software

fácilmente accesible en pocos minutos. Unos meses más tarde el IEEE creó la

nueva corrección de seguridad 802.11i para neutralizar los problemas. Hacia

2003, la Alianza WiFi anunció que WEP había sido reemplazado por WiFi

Protected Access (WPA). Finalmente en 2004, con la ratificación del estándar

completo 802.11i (conocido como WPA2), el IEEE declaró que tanto WEP-40

como WEP-104 fueron revocados por presentar fallos en su propósito de ofrecer

seguridad.

A pesar de sus debilidades, WEP sigue siendo utilizado, ya que es a menudo la

primera opción de seguridad que se presenta a los usuarios por las herramientas

de configuración de los routers aun cuando sólo proporciona un nivel de seguridad

que puede disuadir del uso sin autorización de una red privada, pero sin

proporcionar verdadera protección. Fue desaprobado como un mecanismo de

privacidad inalámbrico en 2004, pero todavía está documentado en el estándar

actual. WEP es a veces interpretado erróneamente como Wireless Encryption

Protocol.”

11

6. DISEÑO METODÓLOGICO PRELIMINAR

El tipo de investigación es cualitativa ya que para este estudio, se hará la

recolección de información usando métodos de observación por medio de

entrevistas, consultas a expertos, recolección de datos, permitiendo obtener una

mejor percepción de lo que se quiere estudiar.

Con base en el objetivo planteado la metodología a utilizar para este estudio inicia

con un rastreo documental de los tipos de esquemas de redes inalámbricas,

después de tener depurada la información, pasar a hacer de entrevistas a

empresas relevantes del sector, consultas a personal experto con el fin de

corroborar si funcionan estos esquemas; posteriormente hacer un análisis y

búsqueda de información en informes y fuentes relacionadas con el tema a tratar

como complemento a las herramientas iniciales

Las entrevistas a empresas relevantes del sector, estarán enfocadas a

proveedores de contenidos y servicios, facilitadores de servicios de acceso y de

conectividad, empresas de seguridad, usuarios finales.

Las consultas a expertos estarán dirigidas a personas expertas en los temas de

seguridad y del manejo de redes inalámbricas en las diferentes empresas del

sector de telecomunicaciones y seguridad.

El estudio de informes y fuentes ira enfocado a información sobre los principales,

riesgos, ataques y soluciones de seguridad en las redes inalámbricas; así como la

búsqueda de información sobre normativas, estándares y regulación de aplicación

a la seguridad de las tecnologías a estudiar.

12

7. CRONOGRAMA

Actividad 2015

Abr May Jun Jul Ago Sep Oct Nov Dic

Elaboración propuesta

Elaboración anteproyecto

Análisis de la situación y tendencias de las tecnologías inalámbricas en Colombia

Estudio de la problemática de seguridad en las redes inalámbricas

Búsqueda y análisis de aplicaciones actuales para mejorar la seguridad en las redes inalámbricas

Elaboración del esquema de buenas prácticas en redes inalámbricas para las Pymes y usuarios finales y entrega del proyecto final

Revisión por parte del asesor y devolución para correcciones

Entrega de trabajo corregido y aprobación del asesor

13

8. REDES INALAMBRICAS Y CLASIFICACIÓN SEGÚN SU COBERTURA

Una red inalámbrica, como su nombre lo indica, es una red en la que dos o más

dispositivos, como portátiles, tablets, teléfonos móviles, ipod‟s, televisores,

equipos de audio y video, pueden establecer una conexión con una red si el uso

de cables.

Un usuario puede mantenerse conectado a una red inalámbrica siempre y cuando

se encuentre dentro del área de cobertura de la red, por eso se aplica el concepto

de “movilidad” en términos de accesibilidad a la red.

Por medio de las ondas electromagnéticas se establece un enlace en una red

inalámbrica, que dependiendo de la tecnología utilizada se usa una frecuencia y

una velocidad de transmisión en su conexión.

La instalación y configuración de una red inalámbrica es de fácil implantación, en

la infraestructura del centro de cómputo o equipos de telecomunicaciones, solo

requiere de un cable RJ45 para conectar al Switch o router y un puerto disponible

a la energía regulada o estable.

Haciendo referencia a lo enunciado por CCM (Kioskea.net, 2014), “Por el otro

lado, existen algunas cuestiones relacionadas con la regulación legal del espectro

electromagnético. Las ondas electromagnéticas se transmiten a través de muchos

dispositivos (de uso militar, científico y de aficionados), pero son propensos a las

interferencias. Por esta razón, todos los países necesitan regulaciones que

definan los rangos de frecuencia y la potencia de transmisión que se permite a

cada categoría de uso.

Además, las ondas hertzianas no se confinan fácilmente a una superficie

geográfica restringida. Por este motivo, un hacker puede, con facilidad, escuchar

una red si los datos que se transmiten no están codificados. Por lo tanto, se deben

tomar medidas para garantizar la privacidad de los datos que se transmiten a

través de redes inalámbricas.

14

Las redes inalámbricas se clasifican en varias categorías, de acuerdo al área

geográfica desde la que el usuario se conecta a la red (denominada área de

cobertura)”:

Figura No. 1: Cobertura redes inalámbricas Fuente: http://es.ccm.net/contents/818-redes-inalambricas

8.1 Clasificación según su cobertura

8.1.1 WPAN: Wireless Personal Area Network

Se hace referencia a lo enunciado en CCM (Kioskea.net, 2014), “Una red

inalámbrica de área personal (WPAN) incluye redes inalámbricas de corto alcance

que abarcan un área de algunas decenas de metros. Este tipo de red se usa

generalmente para conectar dispositivos periféricos (por ejemplo, impresoras,

teléfonos móviles y electrodomésticos) o un asistente personal digital (PDA) a

un ordenador sin conexión por cables. También se pueden conectar de forma

15

inalámbrica dos ordenadores cercanos. Se usan varios tipos de tecnología para

las WPAN:

La tecnología principal WPAN es Bluetooth, lanzado por

Ericsson en 1994. Ofrece una velocidad máxima de 1 Mbps con

un alcance máximo de unos treinta metros. La tecnología Bluetooth, también

conocida como IEEE 802.15.1, tiene la ventaja de tener un bajo consumo de

energía, algo que resulta ideal para usarla en periféricos de pequeño tamaño.

HomeRF (Home Radio Frequency), lanzada en 1998 por HomeRF

Working Group (que incluye a los fabricantes Compaq, HP, Intel,

Siemens, Motorola y Microsoft, entre otros) ofrece una velocidad

máxima de 10 Mbps con un alcance de 50 a 100 metros sin amplificador. A pesar

de estar respaldado por Intel, el estándar HomeRF se abandonó en enero de

2003, en gran medida porque los fabricantes de procesadores empezaron a usar

la tecnología WiFi en placa (por medio de la tecnología Centrino, que incluía un

microprocesador y un adaptador WiFi en un solo componente).

La tecnología Zigbee (también conocida como IEEE 802.15.4) también se puede

utilizar para conectar dispositivos en forma inalámbrica a un coste muy bajo y con

bajo consumo de energía. Resulta particularmente adecuada porque se integra

directamente en pequeños aparatos electrónicos (como, por ejemplo,

electrodomésticos, sistemas estéreos y juguetes). Zigbee funciona en la banda de

frecuencia de 2,4 GHz y en 16 canales, y puede alcanzar una velocidad de

transferencia de hasta 250 Kbps con un alcance máximo de unos 100 metros.

Por último, las conexiones infrarrojas se pueden utilizar para crear conexiones

inalámbricas en un radio de unos pocos metros, con velocidades que puedan

alcanzar unos pocos megabits por segundo. Esta tecnología se usa ampliamente

en aparatos electrónicos del hogar (como los controles remotos), pero puede sufrir

interferencias debidas a las ondas de luz. La irDA (Infrared Data Association),

creada en 1995, tiene más de 150 miembros.”

16

Tabla 1: Tendencia de los estándares y tecnologías de WPAN2

8.1.2 WLAN: Wireless Local Area Network

Red de área local inalámbrica (WLAN - Wireless local area network) red de

comunicación inalámbrica, que se ofrece como alternativa a las redes cableadas o

como complemento de las mismas para cierta área de cobertura, usando

tecnologías de radiofrecuencia permitiendo a los usuarios mayor movilidad con el

objeto de minimizar el uso de conexiones cableadas, su alcance aproximado es de

cien metros. Existen varios tipos de tecnologías entre las cuales se mencionan las

siguientes:

Wifi3 proviene de la marca comercial WiFi. La WECA, el consorcio que desarrolló

esta tecnología, contrató a una empresa de publicidad para que le diera un

nombre a su estándar, de tal manera que fuera fácil de entender y recordar. Phil

2 Gráfica tomada para ampliar un poco el concepto del estándar, http://www.intechopen.com/books/novel-

applications-of-the-uwb-technologies/uwb-technology-for-wsn-applications 3 Concepto tomado de Wikipedia, el cual se puede ampliar más de la siguiente URL:

https://es.wikipedia.org/wiki/Wifi

https://es.wikipedia.org/wiki/Marca_comercialhttps://es.wikipedia.org/wiki/WECA

17

Belanger, miembro fundador de WECA, actualmente llamada WiFi Alliance, apoyó

el nombre WiFi.

Existen diversos tipos de WiFi, basado cada uno de ellos en una

estándar IEEE 802.11 aprobado. Son los siguientes:

Los estándares IEEE 802.11b, IEEE 802.11g e IEEE 802.11n disfrutan de una

aceptación internacional debido a que la banda de 2.4 GHz está disponible

casi universalmente, con una velocidad de hasta 11 Mbit/s, 54 Mbit/s y

300 Mbit/s, respectivamente.

En la actualidad ya se maneja también el estándar IEEE 802.11ac, conocido

como WIFI 5, que opera en la banda de 5 GHz y que disfruta de una

operatividad con canales relativamente limpios. La banda de 5 GHz ha sido

recientemente habilitada y, además, no existen otras tecnologías

(Bluetooth, microondas, ZigBee, WUSB) que la estén utilizando, por lo tanto

existen muy pocas interferencias. Su alcance es algo menor que el de los

estándares que trabajan a 2.4 GHz (aproximadamente un 10 %), debido a que

la frecuencia es mayor (a mayor frecuencia, menor alcance).

Existen otras tecnologías inalámbricas como Bluetooth que también funcionan a

una frecuencia de 2.4 GHz, por lo que puede presentar interferencias con la

tecnología wifi. Debido a esto, en la versión 1.2 del estándar Bluetooth por ejemplo

se actualizó su especificación para que no existieran interferencias con la

utilización simultánea de ambas tecnologías, además se necesita tener

40 000 kbit/s.

https://es.wikipedia.org/wiki/IEEEhttps://es.wikipedia.org/wiki/802.11https://es.wikipedia.org/wiki/IEEE_802.11bhttps://es.wikipedia.org/wiki/IEEE_802.11ghttps://es.wikipedia.org/wiki/IEEE_802.11nhttps://es.wikipedia.org/wiki/GHzhttps://es.wikipedia.org/wiki/Mbit/shttps://es.wikipedia.org/wiki/IEEE_802.11achttps://es.wikipedia.org/wiki/GHzhttps://es.wikipedia.org/wiki/Bluetoothhttps://es.wikipedia.org/wiki/Microondashttps://es.wikipedia.org/wiki/ZigBeehttps://es.wikipedia.org/wiki/Wireless_USBhttps://es.wikipedia.org/wiki/Interferenciahttps://es.wikipedia.org/wiki/Bluetoothhttps://es.wikipedia.org/wiki/GHzhttps://es.wikipedia.org/wiki/Bluetooth

18

hiperLAN2 (High Performance Radio LAN 2.0) (Kioskea.net, 2014), estándar

europeo desarrollado por ETSI (European Telecommunications Standards

Institute). HiperLAN 2 permite a los usuarios alcanzar una velocidad máxima de 54

Mbps en un área aproximada de cien metros, y transmite dentro del rango de

frecuencias de 5150 y 5300 MHz.

Protocol Release Date

Op. Frequency Data Rate (Typical)

Data Rate (Max)

Range (Indoor)

Legacy 1997 2.4 -2.5 GHz 1 Mbit/s 2 Mbit/s ?

802.11a 1999 5.15-5.35/5.47-5.725/5.725-5.875

GHz

25 Mbit/s 54 Mbit/s ~30 meters (~100 feet)

802.11b 1999 2.4-2.5 GHz 6.5 Mbit/s 11 Mbit/s ~50 meters (~150 feet)

802.11g 2003 2.4-2.5 GHz 11 Mbit/s 54 Mbit/s ~30 meters (~100 feet)

802.11n 2006 (draft)

2.4 GHz or 5 GHz bands

200 Mbit/s 540 Mbit/s ~50 meters (~160 feet)

Tabla 2: Tabla resumen de los diferentes estándares 802.11

4

Fuente: http://www.rfidc.com/docs/introductiontowireless_standards.htm

En el ámbito de asignación de canales, seguridad y velocidad de las WLAN, se extrae lo siguiente (Juanfranciscor, 2012):

Asignación de canales, los estándares 802.11a y 802.11g utilizan la banda de

2,4 – 2,5 GHz. En esta banda, se definieron 11 canales utilizables por equipos

WiFi, los cuales pueden configurarse de acuerdo a necesidades particulares. Sin

embargo, los 11 canales no son completamente independientes (canales

contiguos se superponen y se producen interferencias) y en la práctica sólo se

4 Tabla tomada de http://www.rfidc.com/docs/introductiontowireless_standards.htm

19

pueden utilizar 3 canales en forma simultánea (1, 6 y 11). Esto es correcto para

USA y muchos países de América Latina, pues en Europa, ETSI ha definido 13

canales. En este caso, por ejemplo en España, se pueden utilizar 4 canales no-

adyacentes (1, 5, 9 y 13). Esta asignación de canales usualmente se hace sólo en

el punto de acceso, pues los “clientes” automáticamente detectan el canal, salvo

en los casos en que se forma una red ad hoc o punto a punto cuando no existe

punto de acceso.

Seguridad, uno de los problemas de este tipo de redes es precisamente la

seguridad ya que cualquier persona con una terminal inalámbrica podría

comunicarse con un punto de acceso privado si no se disponen de las medidas de

seguridad adecuadas. Dichas medidas van encaminadas en dos sentidos: por una

parte está el cifrado de los datos que se transmiten y en otro plano, pero

igualmente importante, se considera la autenticación entre los diversos usuarios

de la red. En el caso del cifrado se están realizando diversas investigaciones ya

que los sistemas considerados inicialmente se han conseguido descifrar. Para la

autenticación se ha tomado como base el protocolo de verificación EAP

(Extensible Authentication Protocol), que es bastante flexible y permite el uso de

diferentes algoritmos.

Velocidad, otro de los problemas que presenta este tipo de redes es que

actualmente (a nivel de red local) no alcanzan la velocidad que obtienen las redes

de datos cableadas. Además, en relación con el apartado de seguridad, el tener

que cifrar toda la información supone que gran parte de la información que se

transmite sea de control y no información útil para los usuarios, por lo que incluso

se reduce la velocidad de transmisión de datos útiles y no se llega a tener un buen

acceso.

20

8.1.3 WMAN: Wireless Local Metropolitan Network

Haciendo referencia a CCM (Kioskea.net, 2014), “Las redes inalámbricas de área

metropolitana (WMAN) también se conocen como bucle local inalámbrico (WLL,

Wireless Local Loop). Las WMAN se basan en el estándar IEEE 802.16. Los

bucles locales inalámbricos ofrecen una velocidad total efectiva de 1 a 10 Mbps,

con un alcance de 4 a 10 kilómetros, algo muy útil para compañías de

telecomunicaciones. La mejor red inalámbrica de área metropolitana es WiMAX,

que puede alcanzar una velocidad aproximada de 70 Mbps en un radio de varios

kilómetros.”

8.1.4 WWAN: Wireless Wide Area Network

Las redes inalámbricas de área extensa (WWAN), redes de alcance mucho más

amplio, estas son utilizadas por los operadores de telefonía celular, estas redes se

interconectan entre sí por medio de antenas BTS y sus principales tecnologías

son5:

GSM (Global System for Mobile Communication)

GPRS (General Packet Radio Service)

UMTS (Universal Mobile Telecommunication System)

EDGE (Enhanced Data Rates for GSM Evolution)

CDMA2000 (Code Division Multiple Access)

CDPD (Cellular Digital Packet Data)

Mobitex HSPA (High-Speed Packet Access)

LMDS (Local Multipoint Distribution Service)

5 Tecnologías tomadas de Wikipedia: https://en.wikipedia.org/wiki/Wireless_WAN

21

Figura No. 2: Ejemplo Topología Red WWAN

Fuente: Editada de http://www.spiritdatacapture.co.uk/wwan.asp

8.2 Protocolos de Seguridad Estándar IEEE 802.11

Dentro de los protocolos 802.11x, vamos a hacer énfasis en los siguientes protocolos de redes inalámbricas, legaly 802.11, 802.11a, 802.11.b, 802.11g, se extraen los conceptos de estos estándares para ampliar un poco más6

Evolución histórica del Estándar IEEE 802.117 como un breve resumen

1986: Primeras LANs inalámbricas. 860 Kb/s. Banda de 900 MHz (no

disponible en Europa).

1993: Primeros sistemas propietarios de 1 y 2 Mb/s en banda de 2,4 GHz.

1997: El IEEE aprueba estándar 802.11. 1 y 2 Mb/s (2,4 GHz e infrarrojos).

1998: Primeros sistemas pre-estándar 802.11b (11 Mb/s a 2,4 GHz).

6 https://es.wikipedia.org/wiki/IEEE_802.11

7 Fuente histórica tomada de https://es.wikipedia.org/wiki/IEEE_802.11

22

1999: El IEEE aprueba suplementos 802.11b (hasta 11 Mb/s en 2,4 GHz) y

802.11a (hasta 54 Mb/s en 5 GHz).

12/2001: Primeros productos comerciales 802.11a.

12/2001: Publicación borrador 802.11e (QoS en WLANs).

2003: El IEEE ratifica 802.11g (hasta 54 Mb/s en 2,4 GHz).

8.2.1 Estándares WiFi 802.11

Publicado en 1997, constituyéndose en el primero de los estándares definidos por

el IEEE para aplicaciones WLAN. Funciona sobre infrarrojos y en la banda de 2,4

GHz permitiendo dos tipos de modulaciones:

DSSS (Direct Sequence Spread Spectrum)

FHSS (Frequency Hopped Spread Spectrum)

La velocidad de transmisión que es capaz de alcanzar está entre 1 o 2 Mbps,

dependiendo del fabricante. Este estándar está prácticamente en desuso.

8.2.2 Estándares WiFi 802.11b

En 1999 se ratifica 802.11b, evolución natural de 802.11, diferenciándose en el

uso exclusivo de la modulación DSSS (Acrónimo de "Direct Sequence Spread

Spectrum", sistema de transmisión de datos usado por las redes sin hilos) con el

sistema de codificación CCK. Este estándar lideró el tremendo éxito de las redes

inalámbricas. Velocidades de transmisión: 1, 2, 5.5, y 11 Mbps.

Introduce la característica, denominada DRS (Dynamic Rate Shifting) que permite

a los adaptadores de red inalámbricos reducir las velocidades para compensar los

posibles problemas de recepción que se pueden generar por las distancias o los

materiales que es necesario atravesar (paredes, tabiques, etc.).

23

En cuanto a las distancias a cubrir, dependerá de las velocidades aplicadas, del

número de usuarios conectados y del tipo de antenas y amplificadores que se

puedan utilizar.

Entre 120m (a 11 Mbps) y 460m (a 1 Mbps) en espacios abiertos Entre 30m (a 11 Mbps) y 90m (a 1 Mbps) en interiores.

8.2.3 Estándar WiFi 802.11a

En 1999, simultáneamente a 802.11b, se ratifica también el estándar 802.11a,

este utiliza la banda de frecuencia de 5 GHz y como técnica de modulación de

radio OFDM (Ortogonal Frequency Division Multiplexing). Aumenta la velocidad de

transmisión hasta 54 Mbps. Dispone de hasta 8 canales sin solapamiento, con el

consiguiente aumento en la capacidad para las comunicaciones simultáneas.

Desventajas: Mayor nivel de consumo, incompatibilidad con 802.11b al usar la

banda de 5GHz, las distancias de cobertura se ven reducidas significativamente:

30 m (54 Mbps) y 300 m (6 Mbps) en exteriores 12 m (54 Mbps) y 90 m (6 Mbps) en interiores

8.2.4 Estándares WiFi 802.11g

En junio de 2003, se ratificó un tercer estándar de modulación: 802.11g, que es la

evolución de 802.11b. Este utiliza la banda de 2,4 Ghz (al igual que 802.11b) pero

opera a una velocidad teórica máxima de 54 Mbit/s, que en promedio es de 22,0

Mbit/s de velocidad real de transferencia, similar a la del estándar 802.11a. Es

compatible con el estándar b y utiliza las mismas frecuencias. Buena parte del

proceso de diseño del nuevo estándar lo tomó el hacer compatibles ambos

24

modelos. Sin embargo, en redes bajo el estándar g la presencia de nodos bajo el

estándar b reduce significativamente la velocidad de transmisión.

Los equipos que trabajan bajo el estándar 802.11g llegaron al mercado muy

rápidamente, incluso antes de su ratificación que fue dada aprox. el 20 de junio de

2003. Esto se debió en parte a que para construir equipos bajo este nuevo

estándar se podían adaptar los ya diseñados para el estándar b.

Actualmente se venden equipos con esta especificación, con potencias de hasta

medio vatio, que permite hacer comunicaciones de más de 50 km con antenas

parabólicas o equipos de radio apropiados.

Existe una variante llamada 802.11g+ capaz de alcanzar los 108Mbps de tasa de

transferencia. Generalmente sólo funciona en equipos del mismo fabricante ya que

utiliza protocolos propietarios.

8.2.5 Definición de algunos componentes de una red WiFi:

Punto de Acceso: Dispositivo que interconecta equipos alámbricos como

routers, switches para establecer una red inalámbrica que permita conectar

equipos de forma remota por medio de una tarjeta wireless

Tarjeta de red wireless: también llamadas tarjetas WiFi, que permiten

interconectar un dispositivo con una red de forma inalámbrica

Router: dispositivo que proporciona conectividad a nivel de red o nivel tres

en el modelo OSI. Su función principal consiste en enviar o encaminar

paquetes de datos de una red a otra, es decir, interconectar subredes,

entendiendo por subred un conjunto de máquinas IP que se pueden

https://es.wikipedia.org/wiki/Capa_de_redhttps://es.wikipedia.org/wiki/Modelo_OSIhttps://es.wikipedia.org/wiki/Subredhttps://es.wikipedia.org/wiki/Internet_Protocol

25

comunicar sin la intervención de un encaminador (mediante puentes de

red), y que por tanto tienen prefijos de red distintos8.

8.2.6 Métodos de Configuración Segura

Existen varios métodos para lograr la configuración segura de una red inalámbrica;

cada método logra un nivel diferente de seguridad y presenta ciertas ventajas y

desventajas.

Es importante destacar que en conjunto se pueden mejorar o fortalecer las

debilidades y convertir la comunicación de la red más segura, pues cada uno de

ellos puede ser conexión, protocolos, canal, etc. Se detalla cada uno de ellos, con

su funcionamiento principal y las desventajas de la posible vulnerabilidad o riesgo.

8.2.7 Filtrado de direcciones MAC

Este método consiste en la creación de una tabla de datos en cada uno de los

puntos de acceso a la red inalámbrica. Dicha tabla contiene las direcciones MAC

(Media Access Control) de las tarjetas de red inalámbricas que se pueden

conectar al punto de acceso. Como toda tarjeta de red posee una dirección MAC

única, se logra autenticar el equipo. Este método tiene como ventaja su sencillez,

por lo cual se puede usar para redes caseras o pequeñas. Sin embargo, posee

muchas desventajas que lo hacen poco práctico para uso en redes medianas o

grandes:

8 Para ampliar un poco más el concepto de router siga el siguiente enlace:

https://es.wikipedia.org/wiki/Router

26

No es escalable, Es decir, por cada autorización o retiro de algunos

equipos, se deben editar las tablas de direcciones en todos los puntos de

acceso

El formato de una dirección MAC no es amigable (normalmente se escriben

como 6 bytes en hexadecimal), lo que puede llevar a cometer errores en la

manipulación de las listas.

Las direcciones MAC viajan sin cifrar por el aire. Un atacante podría

capturar direcciones MAC de tarjetas matriculadas en la red empleando un

sniffer y luego asignarle una de estas direcciones capturadas a la tarjeta de

su computador, empleando programas tales como AirJack6 o WellenReiter,

entre otros. De este modo, el atacante puede hacerse pasar por un cliente

válido.

En caso de robo de un equipo inalámbrico, el ladrón dispondrá de un

dispositivo que la red reconoce como válido. En caso de que el elemento

robado sea un punto de acceso el problema es más serio, porque el punto

de acceso contiene toda la tabla de direcciones válidas en su memoria de

configuración. Debe notarse además, que este método no garantiza la

confidencialidad de la información transmitida, ya que no prevé ningún

mecanismo de cifrado.

27

8.3 Seguridad WiFi empresarial – Servidores radius

En 1999 se asienta la tecnología inalámbrica llamada WiFi, funcionando bajo el

estándar IEEE 802.11b, que nos daba una mísera velocidad de 11 Mbps, y donde

los dispositivos aún eran únicamente compatibles con el famoso cifrado WEP, el

cual usa el algoritmo de cifrado RC4 de 128 bits (104 en realidad) y que fácilmente

puede ser roto.

La evolución hace que surja el nuevo cifrado WPA, el cual consigue solventar los

problemas de seguridad del cifrado WEP, pero ¿WPA es del todo seguro?, bueno

no del todo porque hereda muchos defectos del cifrado WEP.

A la hora de cifrar nuestra conexión WiFi existen dos maneras de cifrarlo con WPA

y WPA2 (basado en el nuevo estándar 802.11i).

WPA-PSK / WPA2-PSK (pre-shared key) o clave pre compartida, con dos

modos de seguridad:

TKIP: (Temporal Key Integrity Protocol), la cual no es del todo segura,

sobre todo si se usa conjuntamente con QoS.

AES: (Advanced Encryption Standard), un algoritmo de cifrado más seguro.

En cualquiera de estos dos tipos de cifrados existe la posibilidad de que un

atacante este capturando tráfico en el momento que nos autentiquemos contra

el AP y que capture el “handshake”, ya que todas las claves pre compartidas son

vulnerables a capturarse e intentar descifrarlas con ataques por diccionario, cosa

que no ocurre con un servidor radius, ya que genera las claves aleatoriamente.

WPA-ENTERPRISE / WPA2-ENTERPRISE (servidor radius), en este tipo de

configuración, básicamente tenemos una máquina conectada por cable al punto

de acceso, el cual manda las peticiones de autenticación a este servidor

(normalmente por el puerto UDP 1812 y 1813).

28

Los servidores radius también se utilizan por ejemplo, cuando un ISP quiere

validar las credenciales de un abonado.

Existe un pequeño inconveniente en este tipo de configuraciones Wireless y es

que dispositivos multimedia como pueden ser una PlayStation 3, Xbox 360, un

NAS o una BlackBerry (no es el caso de Android e IOS), o en general un

dispositivo de uso doméstico, no tienen la capacidad de conectarse directamente a

un servidor radius ya que carecen de la posibilidad de tener una configuración con

certificados, ya sea porque el fabricante no la ha incluido o porque el dispositivo no

lo permite. Para estos casos siempre existe la opción de conectarlos por cable a

un segundo dispositivo que sí que sea capaz de conectarse a un servidor radius y

comparta la conexión, haciendo de puente, o tener doble SSID en nuestra red

donde uno de los SSID funciona con WPA-PSK.

La norma IEEE 802.1X usada, es el llamado protocolo EAP (Extensible

Authentication Protocol), el cual es usado para conexiones PPP y adaptado a LAN

por lo que terminó llamándose EAPoL (EAP over LAN).

En estos casos se puede considerar el AP como algo transparente a la

autenticación, ya que lo único que hace es reenviar y encapsular los paquetes

hacia el servidor radius como se enuncia en el texto del autor (SANZ, 2013).

Figura No. 3: Topología aplicación radius

Fuente: http://www.securityartwork.es/2013/11/06/seguridad-wi-fi-empresarial-servidores-radius-i/

http://www.securityartwork.es/2013/11/06/seguridad-wi-fi-empresarial-servidores-radius-i/http://www.securityartwork.es/2013/11/06/seguridad-wi-fi-empresarial-servidores-radius-i/

29

9. SITUACIÓN Y TENDENCIAS DE LAS TECNOLOGÍAS INALÁMBRICAS

EN COLOMBIA E INTERNACIONAL

¿Cuál será el escenario WiFi en 2015?

De acuerdo con Ruckus Wireless (RUCKUS WIRELESS INC, 2015), confirman

las pruebas realizadas sobre el nuevo Ruckus, que supera a todos los demás

puntos de acceso inalámbrico 802.11ac y 802.11n, estás pruebas fueron

realizadas en un entorno real, que mediante el uso de herramientas de uso

estándar se sometieron a prueba de estrés a 19AP en varios escenarios de

prueba progresivos, logrando transmisiones de alta velocidad, de hasta 200Mbps.

Según como lo comenta la editora Melisa Osores en TechTarget,9 “La tecnología

WiFi está teniendo un impacto continuo en los consumidores, compañías, lugares

públicos y proveedores de servicios de todo tipo. La revolución de los teléfonos

inteligentes sigue transformando el escenario inalámbrico, hoy centrado más en

datos que en llamadas, y la tecnología más apropiada para enfrentar esta realidad

es WiFi.

Esta tecnología prácticamente se ha convertido en un servicio público, que los

usuarios buscan en cualquier empresa o lugar público al que entran. En el caso de

las compañías, la carencia de WiFi confiable las pone en seria desventaja

competitiva, especialmente en sectores como la hotelería o los proveedores de

servicios (principalmente operadores de cable y operadoras móviles).

Pensando en este escenario, Salah Nassar, gerente senior de mercadeo de

producto para empresas de Ruckus Wireless, dio a conocer las principales

tendencias que la compañía espera para el mercado de WiFi durante el 2015:

9 Observaciones tomadas de la editora Melisa Osores en:

http://searchdatacenter.techtarget.com/es/cronica/Cual-sera-el-escenario-WiFi-en-2015-80211-ac-y-hot-spot-20-tomaran-fuerza

30

2015 será el año de 802.11ac. Ahora que el mercado de consumo y los

dispositivos de mano con tecnología 802.11ac se están volviendo comunes, las

organizaciones se apresurarán a soportarlo. Además, 802.11ac Ola 2 será el

siguiente estándar WiFi para los proveedores de servicio y se lanzará en 2015.

Presenta la tecnología multiusuario múltiples entradas y múltiples salidas (MU-

MIMO), la cual permite que un punto de acceso WiFi hable con más de un usuario

a la vez.

Rentabilizar la WLAN tradicionalmente ha significado cobrar por su uso. Hoy, las

organizaciones tienen la opción de agregar servicios como análisis, ubicación,

publicidad y mercadeo como formas nuevas de rentabilidad. Se verá un

crecimiento continuo de estas formas nuevas para rentabilizar las inversiones en

infraestructura WiFi en 2015.

El impulso de bajar costos en los centros de datos al reducir los gastos de las

instalaciones sigue dirigiendo la demanda por la virtualización. Para el mercado

inalámbrico, la virtualización ofrece otro nivel de resistencia que está ligado al

modelo de alta disponibilidad del centro de datos. La virtualización también baja el

CAPEX para muchas tecnologías, lo cual abre las puertas a los servicios

gestionados.

La nube seguirá proporcionando servicios fáciles de implementar a los

revendedores de valor agregado, para que los ofrezcan a sus clientes que

prefieren „lo inalámbrico como servicio‟. Las empresas pequeñas podrán recibir

tecnología empresarial como servicios basados en ubicación y acceso seguro a

visitantes.

La tecnología basada en Hotspot 2.0 (por ejemplo, Passpoint) seguirá siendo

adoptada por mercados verticales que proporcionan acceso WiFi público, como

hotelería y transporte. Asimismo, se formarán consorcios de roaming Hotspot 2.0 a

gran escala, principalmente alrededor de las grandes operadoras de cable.

31

En particular en el ámbito de los operadores y proveedores de servicio, Steve

Hratko, director de mercadeo a operadoras/proveedores de servicio de Ruckus

Wireless, dijo que se prevé que estas organizaciones aceleren su transición hacia

el mercado de servicios WiFi administrados como una manera de generar

mayores ingresos, fortalecer sus relaciones con los clientes, aumentar las ventas

de otros servicios y crear nuevas ofertas.

Adicionalmente, la virtualización de funciones de red continuará arrasando la

industria WLAN y las llamadas WiFi se tornarán importantes en 2015 gracias al

soporte de Apple. Esta tecnología (3GPP IR-92) dirigirá grandes cantidades de

tráfico de teléfonos inteligentes a las redes WiFi y alterará fundamentalmente el

modelo de negocio de las operadoras de redes móviles. Las llamadas WiFi

también acabarán con el mercado de femtoceldas.

Otras predicciones de Hratko son:

Las operadoras de cable acelerarán sus implementaciones de WiFi amplias como

una forma de mantener a sus suscriptores contentos y evitar que se cambien de

operador.

Los home-spots se convertirán en la oferta estándar de los proveedores

alámbricos en el mundo, lo cual aumentará drásticamente la presencia de WiFi y

la utilidad de estas ofertas.

El mercado de celdas pequeñas LTE continuará desarrollándose lentamente a

medida que la industria lucha con modelos de negocios sobre quién paga por las

implementaciones en interiores. La mayoría de la emoción sobre esta tecnología

se ha concentrado en el mercado para interiores, pues es donde está la gente,

pero la economía se dirige hacia lugares que tienen que pagar por esas

implementaciones. Eso parece poco probable sin un huésped neutral de células

pequeñas LTE.

32

LTE en las bandas no licenciadas (conocidas como LTE-U) generó mucha

discusión en 2014. La tecnología será un éxito si 3GPP despliega la función de

escucha-antes-de-hablar para ser un buen vecino de WiFi. 2015 verá un progreso

significativo en esta dirección.”

Dentro de las tendencias en tecnologías inalámbricas en Colombia, una de las

herramientas que se viene utilizando con mucha fuerza por parte de auditores en

redes es la Piña WiFi o WiFi Pineapple Mark V, ya que es la herramienta de

penetración inalámbrica más avanzada de tipo que hay en el mercado.

La Piña WiFi o WiFi Pineapple Mark V10 es la última herramienta de auditoría de

red inalámbrica generación de Hak5. Que permite realizar ataques de DNS

Spoofing, hacer pruebas de seguridad por medio de ataques man-in-the-middle en

redes inalámbricas, analizar y revisar las páginas consultadas por los usuarios,

todo esto con el objeto de espiar el tráfico, y otro tipo de ataques el cual se deja a

consultar del lector. Piña WiFi les permite a los ingenieros de seguridad realizar

pruebas sobre las redes inalámbricas de la empresa. Este proyecto es

colaborativo y tiene en un solo dispositivo el hardware y software integrado, la piña

WiFi, que por medio de una interfaz web intuitiva les permite a los usuarios realizar

ataques avanzados.

Cómo funciona la Piña WiFi? (DIAZ, 2014)

“La mayoría de los dispositivos inalámbricos tienen aplicaciones que se conectan

automáticamente a los puntos de acceso que recuerdan, esto es lo que facilita la

conexión de la piña WiFi, ya que los dispositivos buscan determinada red

mandando solicitudes de conexión con el nombre de la red, entonces la piña WiFi

capta esas señales y se disfraza de la red buscada y permite la conexión.

10

Se puede ampliar más la información suministrada desde el siguiente enlace:

http://hakshop.myshopify.com/products/wifi-pineapple

33

Una vez que se ha adquirido la conexión llega el turno de las herramientas

incluidas en la piña WiFi con propósitos de monitoreo. Adicionalmente a las

herramientas incluidas, la piña WiFi puede extender sus funcionalidades con

varios módulos desarrollados por la comunidad (ejemplo: módulo reaver).

La piña WiFi genera archivos con la información que captura de la red, y los

guarda en su memoria SD. Una de las características importantes de este

dispositivo es que al momento de tener conectados a los dispositivos está al tanto

de absolutamente todo su tráfico, por lo que se guarda todo lo que se realice, tal

como, historial de navegación, contraseñas de distintas cuentas, tanto de correo

electrónico como de redes sociales.

Como cuidarse de este dispositivo?

- Si no está usando el WiFi del dispositivo móvil, manténgalo apagado. Esto

además de evitar que el equipo se conecte a cualquier red no segura,

ahorra batería.

- Todo celular o tableta guarda las configuraciones y los nombres de las

redes de donde se ha conectado. El usuario puede verificar que sí está

navegando desde donde sea, porque la piña WiFi suplanta cualquier

nombre de esas redes para conectarse al usuario, y seria muy extraño que

esté navegando, por ejemplo, con el nombre de la red de la casa, cuando

se está en un centro comercial.

- Instale una VPN en el dispositivo. Es un software de fácil instalación que se

descarga en celulares, tabletas y computadores. Este elemento logra que

todos los movimientos que el usuario hace por internet pasen por un tubo

cifrado que impide que sea detectado por un atacante. Estas VPN se

instalan fácil y se descargan de las tiendas de aplicaciones. Con solo

instalarse el equipo queda protegido”.

34

Hak5 se centra en la fabricación de herramientas de hacking inalámbricas de fácil

acceso. Desde 2008 la Piña WiFi presta el servicio de pruebas de penetración a

entes de seguridad pública como la policía, los militares y el gobierno con una

plataforma de auditoría inalámbrica versátil para casi cualquier escenario de

despliegue.

Figura 4: Dispositivo Piña WiFi Fuente: imagen tomada de: http://hakshop.myshopify.com/products/wifi-pineapple

Hardware

El firmware del Mark V es el siguiente:

CPU: 400 MHz MIPS Atheros AR9331 SoC. Memory: 16 MB ROM, 64 MB DDR2 RAM Disk: Micro SD support up to 32 GB, FAT or EXT, 2 GB Included Mode Select: 5 DIP Switches - 2 System, 3 User configurable Wireless: Atheros AR9331 IEEE 802.11 b/g/n + Realtek RTL8187 IEEE

802.11 b/g Ports: (2) SMA Antenna, 10/100 Ethernet, USB 2.0, Micro SD, TTL Serial,

Expansion Bus Power: DC in Variable 5-12v, ~1A, 5.5mm*2.1mm connector, International

Power Supply Status Indicators: Power LED, Ethernet LED, Wireless 1 LED, Wireless 2

LED

35

10. PROBLEMAS DE SEGURIDAD EN REDES INALAMBRICAS

Para entender la problemática de las redes inalámbricas, se definirá en primer

lugar qué se entiende por una red segura.

Hablar de una definición sobre que es una red segura como tal no se tiene, ya que

no existe una forma de garantizar la plena seguridad de una red Inalámbrica. Lo

que sí se puede tener en cuenta para hacer de una red lo más segura posible,

simplemente es tomar el mayor número de precauciones posibles que minimicen

los riesgos de seguridad cuando se use una red de estas. (MICROSOFT).

Las medidas de seguridad a tomar están directamente relacionadas al tipo de

actividad que se desarrolle, para el caso de las Pymes depende del tipo de

negocio que manejen, como por ejemplo si es una entidad financiera la seguridad

deberá ir enfocada en los datos financieros de sus usuarios o clientes, así mismo

como para el caso de una empresa que se dedique al desarrollo de software, su

seguridad estará dirigida a proteger los códigos de programación de sus software;

ya lo que respecta a usuarios finales, la seguridad dependerá de la información,

aplicaciones y datos que consideren confidenciales dentro de sus dispositivos

móviles, sea un computador, tablet y/o celular. Así mismo lo enuncia (Instituto

Nacional de Tecnologías de la comunicación, 2008) en el siguiente texto:

“La seguridad de las redes inalámbricas no debería constituir un esfuerzo mayor

que los beneficios que se obtengan de ella, por lo que es necesario analizar

correctamente el valor de los datos y de la disponibilidad de la información, el

costo de las medidas de seguridad y de perder presencia o imagen en el mercado,

entre otros”.

36

10.1 Análisis del nivel de vulnerabilidad en las redes WiFi

En general, la mayor parte de las fuentes bibliográficas consultadas establecen

que las redes, cableadas o inalámbricas, son seguras cuando cumplen

adecuadamente con cuatro dimensiones: autenticación (A), confidencialidad

(C), integridad (I) y disponibilidad (D). (Instituto Nacional de Tecnologías de la

comunicación, 2008)

La siguiente tabla presenta las dimensiones de seguridad afectadas por cada

posible ataque.

Tabla 3: Ataques por dimensión de seguridad

Adicionalmente, en la información presentada en la norma ISO 18028-2:2006 se

recomienda incorporar dos nuevas variables: control de acceso (CA) y no

repudio (NR). Ambas dimensiones se consideran fundamentales para analizar la

seguridad de las redes, sobre todo de las inalámbricas. (ORGANIZATION, 2006)

37

Autenticación

En la tecnología WiFi, los ataques más factibles para vulnerar la autenticación, son

los ataques de sniffing, spoofing, hijacking, la adivinación de contraseñas y

ingeniería social, a diferencia de los explicado para las redes inalámbricas en

general solo cambia el en la modulación y en el modo de transmisión de la señal.

De las investigaciones realizadas en algunas de las Pymes se pudo identificar que

la mayoría de los equipos WiFi, tienen unas medidas de seguridad muy bajas

donde solo utilizan mecanismos de cifrado WEP11, que en parte si evita el directo

a una red, pero que a hoy en día los tipos de clave que genera no son del todo

seguras, y que con software gratuitos bajados de internet y un poco de dedicación

se puede romper el cifrado. Para el caso de usuarios finales los estudios

demostraron que por lo general estos, se conectan más a redes inalámbricas que

encuentran libres sin ninguna restricción y no a la red que generalmente contratan,

olvidándose de activar las interfaces de seguridad que ofrece el dispositivo

contratado.

Confidencialidad

Con respecto a la confidencialidad, unos de los ataques más populares es el

sniffing que como se ha explicado anteriormente es capaz de capturar señales

transmitidas para analizarlas, haciéndolo de una manera sencilla con solo

conectar un portátil o cualquier otro dispositivo con acceso a la red WiFi, haciendo

que el tema de la confidencialidad vaya más sujeto al tipo de cifrado que se use en

una empresa o por un usuario final desde su casa.

“Los mecanismos de ingeniería social, los ataques dirigidos por datos, caballo de

troya, el enrutamiento fuente y el Man in the Middle cobran sentido en el momento

en que estos ataques son independientes del medio de transmisión, como en el

11

WEP (Wired Equivalent Privacy o Privacidad Equivalente al Cable).

38

caso de WiFi, y se absorben junto con los de las redes cableadas tradicionales”.

(Instituto Nacional de Tecnologías de la comunicación, 2008).

Dentro de las formas más comunes de vulnerar la confidencialidad de la

información y que se ve muy a menudo hoy en día, son los puntos de acceso no

autorizados, que a través de la suplantación se hacen pasar por los de las

empresas, así como también los usuarios que se conectan a accesos públicos

gratuitos con algún tipo de información llamativa en estos, y así se aprovecha para

espiar toda la información que se pueda de estos.

Integridad

La integridad se puede ver afectada partiendo que la tecnología WiFi es un medio

de transmisión y propagación compartido por cualquier usuario que se encuentre

en el radio de frecuencia de la comunicación, haciendo que un ataque de

modificación de datos o de enrutamiento fuente se vuelva potencialmente

ejecutable.

Disponibilidad

Dado el gran uso de las redes Wifi hoy en día en las pymes por la facilidad de

conexión y bajos costos de instalación, así como para los usuarios finales que hoy

en día encuentran en parques, aeropuertos, centros comerciales la facilidad de

conectarse a rede WiFi libres, su disponibilidad es también fácil de atacar, por lo

que cualquier persona puede intentar conectarse y realizar entre los más

conocidos, un ataque de denegación de servicio o de explotación de bugs de

software.

Control de Acceso

“Resulta bastante sencillo saber si existe una red inalámbrica WiFi si se está

dentro de su radio de cobertura, por lo que realizar un ataque de barrido de

frecuencias resulta trivial. Tan sólo habría que disponer de un terminal con interfaz

39

WiFi y escanear el medio en busca de redes inalámbricas”. (Instituto Nacional de

Tecnologías de la comunicación, 2008)

Partiendo de lo citado anteriormente, se sabe que es fácil detectar un dispositivo

de acceso Wifi como son los router inalámbricos o los AP (Access Point), teniendo

en cuenta que estamos en la era de la movilidad donde con dispositivos móviles,

como celulares, tableta, etc, siempre se está escaneando redes por parte de los

usuarios para poder llegar a tener una conexión WiFi disponible, el control de

acceso se determinará basándose en los niveles de acceso que se quiera llegar a

tener en la red.

40

11. SOLUCIONES DE SEGURIDAD CON APLICACIÓN A REDES

INALAMBRICAS WiFi

Partiendo de las visitas realizadas a las Pymes, conversaciones con usuarios

finales y las investigaciones bibliográficas, se logra determinar que para lograr

niveles adecuados de seguridad, es necesario incorporar medidas de seguridad

sobre la información, aplicaciones y sistemas que se tengan.

En este capítulo se exponen las medidas que deben tener en cuenta las pymes y

usuarios finales y que en su medida deben ser empleadas para garantizar la

seguridad deseada en las redes WiFi.

Control de Acceso

En la Pymes aplicar metodologías para implementar procedimientos que regulen

el acceso a las redes por parte de los usuarios, donde siempre que quieran

conectarse a la red a través de sus equipos tengan que hacer algún tipo de

validación; hay excepciones para el caso de usuarios finales que se conecten a

redes libres como las que se encuentran en aeropuertos o centros comerciales.

Autenticación

Establecer algún mecanismo que permita asociar al usuario con el dispositivo

conectado a la red, y que permita comprobar que se ha superado

correctamente el control de acceso. Los objetivos de esta medida deben ser:

Identificar y autenticar la identidad del usuario para acceder a la aplicación

y a otros recursos, antes de permitirle realizar cualquier acción.

Asignar a cada usuario un identificador único para su uso exclusivo y

personal, de forma que cualquier actuación pueda ser trazada.

41

Utilizar contraseñas únicas por cada usuario. En caso de requerir una

seguridad fuerte, se recomienda utilizar algoritmos para la generación de

claves.

Disponibilidad

La exposición de las tecnologías inalámbricas a todo el espectro de frecuencia

hace que esta dimensión sea especialmente importante en este entorno. Para

garantizarla se recomiendan de forma genérica las siguientes medidas: (Instituto

Nacional de Tecnologías de la comunicación, 2008)

Adoptar dispositivos de protección física de los puntos de acceso

inalámbricos.

Generar mecanismos de prevención de ataques de denegación de

servicio (control periódico de los protocolos utilizados y recibidos por los

puntos de acceso).

Confidencialidad

Los usuarios en las Pymes y los usuarios finales, siempre deben tener en

cuenta que al momento de transmitir información de cualquier tipo por una red

inalámbrica deber ir cifrada y para ello se recomiendan una serie de

mecanismos cifrados como son:

Cifrado simétrico: Algoritmo en el que la clave para cifrar es igual a la de

descifrar. La seguridad del proceso depende del secreto de la clave, no del

algoritmo. El emisor y el receptor deben compartir la misma clave,

desconocida para cualquier otro individuo, para cifrar y descifrar. (Instituto


Cifrado asimétrico: Algoritmo de cifrado que utiliza claves distintas para

cifrar y descifrar. De estas dos claves, una es conocida (pública) y la otra

permanece en secreto (privada). Lo fundamental de este sistema reside en

42

la confianza de que una determinada clave pública corresponde realmente

a quien proclama ser su propietario. Habitualmente, se utilizan diferentes

pares de claves para distintos fines (firma electrónica, autenticación

electrónica, confidencialidad). (Instituto Nacional de Tecnologías de la


Certificado reconocido: Certificados electrónicos expedidos por un

prestador de servicios de certificación que cumpla los requisitos

establecidos en la Ley de Firma Electrónica en cuanto a la comprobación

de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y

las garantías de los servicios de certificación que presten. (Instituto


Integridad

No existen soluciones específicas para mantener la integridad de la información

para redes inalámbricas, se recomienda definir y aplicar procesos y

procedimientos que eviten la instalación de software no autorizados en las

empresas, por otro lado disponer de certificados o firmas digitales que

permitan garantizar técnica y legalmente la identidad de una persona en Internet.

No repudio

La única forma de evitar el no repudio en una empresa es creando un directorio de

registros de acceso (logs), donde siempre se pueda registrar el momento en que

un usuario o proceso se conecte a la red.

Soluciones para tecnología WiFi

“Sin lugar a dudas, esta es la tecnología que permite más opciones de

configuración del nivel de seguridad de la red, más allá de la protección del propio

dispositivo. En función de las necesidades, la red WiFi se puede dejar

completamente abierta y sin cifrar para poder acceder a los recursos y datos

43

fácilmente o hacer de ella un entorno muy seguro. Frente a otras tecnologías

como NFC, Bluetooth y GSM/GPRS/UMTS/HSDPA, que no permite actuar a los

usuarios sobre sus mecanismos de defensa, la WiFi sí ofrece esta posibilidad.”

(Instituto Nacional de Tecnologías de la comunicación, 2008).

Sin embargo también es sabido que en las redes inalámbricas el punto más

vulnerable que tiene es la seguridad, debido a la forma omnidireccional en que se

difunde su señal, permitiendo que un usuario cualquiera a través de su

computador capte la señal a distancias considerables. Por lo anterior se

mencionan algunos tipos de protocolos a ser utilizados en la seguridad de las

redes WiFi.

WEP (Wired Equivalent Privacy o Privacidad Equivalente al Cable). Fue el

primer sistema de cifrado asociado al protocolo 802.11. Utiliza una clave

simétrica. Se considera como el menos seguro de todos por su facilidad

para romperlo, siempre y cuando la persona que quiera hacerlo tenga los

conocimientos informáticos adecuados.

WPA (WiFi Protected Access o Protección de Acceso WiFi). Este protocolo,

evolución del WEP, es más robusto. Fue diseñado inicialmente como

protocolo de autenticación para disminuir las deficiencias del cifrado WEP.

Aunque su longitud de clave es menor que la de WEP, su método de

cifrado es más robusto.

WPA2 (WiFi Protected Access o Protección de Acceso WiFi, versión 2).

Estándar basado en el IEEE 802.11i. Este método es considerado bastante

seguro, ya que utiliza el algoritmo de cifrado AES, por lo que su ruptura es

bastante complicada.

WPA PSK (WiFi Protected Access Pre-Share Key o Protección de Acceso

con Clave Precompartida). Según las entrevistas realizadas, esta opción de

cifrado es la más segura para una pyme o un particular. Este método difiere

44

del anterior en que existe una clave compartida por todos los integrantes de

la red previamente a la comunicación (desde la configuración de los

dispositivos). La fortaleza de la seguridad reside en el nivel de complejidad

de esta clave. (Instituto Nacional de Tecnologías de la comunicación,

2008).

Otros tipos de soluciones para darle mayor seguridad a las redes Wifi son las

mencionadas a continuación:

Autenticación por MAC

Estas opciones se pueden incrementar con una autenticación por direcciones

MAC, que consiste en dotar al punto de acceso de la red de una lista con las

direcciones MAC de las tarjetas inalámbricas que pueden asociarse a dicho punto.

Este método se puede romper, pero para ello se necesitan conocimientos de

informática avanzados. Con esta solución se preservarían las dimensiones de

autenticación y control de acceso. (Instituto Nacional de Tecnologías de la


Servidor AAA (Authentication Authorization Accounting)

En el caso de grandes empresas se pueden utilizar servidores de autenticación

centralizados, como Remote Authentication Dial-In User Service (RADIUS). Toda

la infraestructura para disponer de un sistema con un servidor RADIUS forma

parte del protocolo 802.1x. Con ello se conseguiría solventar todos los problemas

de seguridad de las redes inalámbricas asociados a la confidencialidad,

autenticación, accesibilidad e integridad. (Instituto Nacional de Tecnologías de la


Protección mediante firewall

Existen soluciones para controlar, mediante el firewall, los ataques de malware a

través de un dispositivo. El sistema de protección es capaz de identificar el equipo

45

del que proviene el ataque y dar una orden al punto de acceso para que proceda a

su desconexión. (Instituto Nacional de Tecnologías de la comunicación, 2008)

Uso de NAC (Network Access Control)

Los sistemas de autenticación de dispositivos no sólo permiten controlar quién se

puede conectar, sino también desde qué dispositivos se puede realizar dicho

acceso y si el dispositivo conectado cumple con las políticas de seguridad de la

empresa (incluso puede denegar el acceso a un equipo autorizado que no cumpla

dichas medidas). (Instituto Nacional de Tecnologías de la comunicación, 2008)

Contar con Virtual Private Network (VPN)

Una red privada virtual es una tecnología de red que permite una extensión de la

red local sobre una red pública o no controlada, como por ejemplo Internet. De

esta forma, puede controlar quién y qué máquina se conectó y el nivel de acceso.

Para asegurar la integridad de la información, la VPN utiliza funciones de hash; los

algoritmos hash más comunes son los Message Digest, versiones 2 y 5 (MD2 y

MD5), y el Secure Hash Algorithm (SHA). Para asegurar la confidencialidad, se

hace uso de algoritmos de cifrado como el DES (Data Encryption Standard), Triple

DES (3DES) y EAS (Advanced Encryption Standard). (Instituto Nacional de

Tecnologías de la comunicación, 2008). (Instituto Nacional de Tecnologías de la


46

12. FOMENTAR LA CULTURA DE SEGURIDAD EN PYMES Y USUARIOS

FINALES

Uno de nuestros objetivos es llegar a las personas, a que tengan un mayor

entendimiento de los riesgos a los que se puede enfrentar al conectarse a una red

WiFi, y aunque las redes inalámbricas son ofertadas por las empresas, finalmente

las que acceden a ellas son personas que con un cierto patrón de comportamiento

acceden a servicios bancarios, redes sociales, correo electrónico, y en general

cualquier servicio web que circule por la red.

Por tal razón lanzamos como propuesta una encuesta que puede ser aplicada a

todo tipo de público, pues a las redes WiFi acceden desde niños hasta personas

adultas que tenga el mínimo conocimiento para acceder a Internet.

Realizamos un repositorio con preguntas básicas, que cualquier persona debe

conocer como mínimo, para esto obtuvimos una muestra a través de www.e-

encuesta.com, creando una encuesta gratis, la cual permite en su versión 100

respuestas, de las cuales se lograron obtener 92 respuestas.

Se consiguió un buen resultado arrojando respuestas en donde se da por sentado

que la gran mayoría de las personas arriesga demasiado su información privada,

no teniendo una buena cultura de uso de este tipo de servicios.

http://www.e-encuesta.com/http://www.e-encuesta.com/

47

Esta misma encuesta se puede aplicar en las empresas y por tal razón la

mostramos a continuación:

Las imágenes que se registran son de nuestra autoría por tal razón no se

referencian, se puede consultar la encuesta en el siguiente link:

http://www.e-encuesta.com/answer?testId=xBaos0Uf5gI%3D

Test de Conocimiento

Figura 5. Seguridad en redes WiFi

http://www.e-encuesta.com/answer?testId=xBaos0Uf5gI%3D

48

Respuesta: la respuesta que se considera más acertada es “Nunca compartir

información privada”

Respuesta: Se debe validar con el banco antes de realizar cualquier acción, pues

el solo acceder a un link desconocido, se puede instalar cualquier gusano en el

dispositivo desde donde se intenta ingresar

49

Respuesta: el protocolo más seguro actualmente es el WPA2

Respuesta: En todas las opciones se tiene un grado de riesgo, la idea de esta

pregunta es ver que tanto arriesga una persona al ingresar a una WiFi, la

respuesta más acertada es la última

Respuesta: la opción más acertada es la segunda, sin embargo la última opción

también es válida, puesto que el proveedor de servicios de internet, debe

garantizar a los usuarios un servicio seguro (Ese es el deber ser).

50

Respuesta: la opción acertada es la tercera

Respuesta: lo ideal es tener contraseñas de configuración fuerte y en todas las

aplicaciones que se use, esta sea diferente

Respuesta: Verdadero, si tras una denuncia, las Fuerzas y Cuerpos de Seguridad

del Estado detectan que desde tu conexión a Internet se están realizando

acciones delictivas (venta de armas, distribución de material pedófilo, etc.), habrá

que demostrar que nuestra red está comprometida y que no somos los autores de

los delitos imputados.

Respuesta: Falso, una red WiFi oculta se puede lograr, se conoce como ESSID,

sin embargo no es infalible, pues existe software que puede lograr identificar las

redes WiFi ocultas, se puede lograr con “sniffer Acrylic WiFi Free”, que al

encontrarlas las marca en rojo, permitiendo identificar el tráfico que circula por la

red.

https://www.acrylicwifi.com/software/escaner-wifi-acrylic-wifi-gratuito/

51

Respuesta: Verdadero, acceder a una red WiFi que se encuentre abierta o bien

protegida con clave es denunciable utilizando la vía administrativa, alegando por

parte del usuario afectado que está sufriendo un perjuicio en el ancho de banda

contratado.

Respuesta: Falso, aunque es importante que una red WiFi esté protegida por

contraseña, cuando hablamos de redes WiFi públicas, aunque requiera de

autenticación para acceso, son muchos los riesgos a los que estamos expuestos,

además se desconocen las actividades que realicen los demás usuarios que se

conectan a la misma red WiFi

Respuesta: Verdadero, un usuario mal intencionado, puede utilizar software para

escuchar todo el tráfico que circula por la red WiFi, permitiéndole extraer

información de todo lo que el usuario realiza, como las redes sociales, correo, etc.

59

Conclusiones:

Los resultados de la encuesta, muestran como los usuarios finales arriesgan

mucho la información privada al acceder a redes WiFi

60

Banner Corporativos

Mensualmente a través de la intranet corporativa se colocará un Banner con un

mensaje alusivo a la seguridad, con la finalidad de que los funcionarios vayan

interiorizando de manera visual la cultura de seguridad que deben ir adoptando.

Se relacionan algunos ejemplos de los banner a colocar. (Incibe)

65

Posters

Se colocará un Posters corporativo con los principios de cultura de seguridad en la

cartelera informativa de la empresa, con el fin de que los funcionarios al momento

de ingresar a la empresa puedan visualizarlo. (JIMENO BERNAL, 2012)

67

13. RECOMENDACIONES DE ACTUACIÓN A LAS PYMES Y USUARIOS

FINALES PARA PREVENIR RIESGOS Y VULNERABILIDADES

A continuación se relacionan las recomendaciones que permiten responder

adecuadamente a los objetivos del presente estudio en materia de fomentar la

cultura de la seguridad en pymes y usuarios finales.

Recomendaciones del Control de Acceso:

Se debe informar a cada uno de los usuarios de la compañía, de los

derechos de acceso que tiene cada uno dependiendo su perfil, siendo ellos

conscientes de las condiciones de aceptación.

La persona que maneje los servidores de seguridad deben tener en cuenta

que cualquier usuario que deje la compañía debe ser eliminado de forma

inmediata de la base de datos y quitarle todas las autorizaciones de acceso

que tenía asignada.

Hacer énfasis a los usuarios que no pueden ni deben usar claves

compartidas.

Tener definidas políticas de autorización de acceso a usuarios,

dependiendo de su perfil y información a manejar.

Adoptar medidas en relación con el trabajo desde fuera de las instalaciones

de la organización (teletrabajo).

Implementar requisitos de identificación y autenticación de usuarios antes

de usar cualquier aplicación o sistema de la empresa.

Permitir que los usuarios asignen sus propias contraseñas, pero teniendo

en cuenta el protocolo de definición de contraseña dado por la compañía.

68

Establecer un mecanismo de bloqueo a los sistemas, donde al momento

que un usuario tenga tres intentos fallidos en el sistema, se le bloquee la

opción de ingreso y tenga que solicitar que su clave sea reseteada.

Recomendaciones de Confidencialidad:

Realizar siempre mecanismos de cifrado de la información, teniendo en

cuenta que los datos a tratar y los riesgos a los que estén expuestos lo

requiera.

Contar con una VPN (Virtual Private Network) cada vez que un usuario

necesite conectarse por fuera de la oficina, con el fin de asegurar la

confidencialidad de la información que esté trabajando. Para asegurar la

confidencialidad se hace uso de algoritmos de cifrado como DES (Data

Encryption Standard), Triple DES y AES (Advanced Encryption Standard).

Recomendaciones de Integridad:

Fomentar la cultura de hacer copias de respaldo de ficheros y bases de

datos, y de proteger y conservar la información en dispositivos de guardado

de información, como son los discos duros portables, CD o DVD.

Los archivos críticos de la empresa deben estar protegidos bajo el atributo

de solo lectura; si ya se desea hacer alguna modificación sobre estos debe

ser con previa autorización de jefes y del personal encargado de la

seguridad de la información.

Dentro de la política de seguridad debe quedar definido y divulgado a los

usuarios cuales tipos de software no son autorizados por la organización a

ser instalados y las consecuencias que generaría para un usuario de la

compañía el tratar de hacerlo.

Disponer de un certificado o firma digital, conjunto de datos en forma

electrónica, consignados junto a otros o asociados con ellos, que pueden

69

ser utilizados como medio de identificación del que firma. Este medio de

identificación es el certificado digital.

Recomendaciones de Disponibilidad:

Desarrollar actividades que garanticen la fiabilidad de las aplicaciones y de

los soportes en los que resida la información y adoptar medidas de

seguridad física.

Contar con servidores redundantes y con equipos eléctricos de respaldo

(UPS), que garanticen la no perdida de información que se maneja en la

empresa.

Adoptar medidas apropiadas de seguridad física en el entorno donde se

encuentren los equipos que den soporte a las aplicaciones, en este caso

tener los equipos en centros de datos con accesos biométricos y con la

autorización de ingreso solo al personal que se encarga de la seguridad de

la información.

Realizar controles periódicos de los protocolos que se utilizan en los puntos

de acceso para darle acceso a los usuarios, con el fin de prevenir ataques

de denegación de servicios.

Recomendaciones de No Repudio:

Disponer de certificados digitales, que permitan identificar la persona que

este firmando documentos importantes o confidenciales para la compañía.

Crear y resguardar un directorio de registro de acceso (log) que registre los

momentos en que un usuario o proceso crea, modifica o borra un archivo o

datos y los datos del usuario o del proceso.

70

Otros tipos de recomendaciones que se deben considerar sobre todo en la Pymes

para llevar a cabo una implementación de seguridad completa y efectiva, son

mencionadas a continuación:

Análisis y Gestión de Riesgos

Para hacer un análisis de riesgos en una empresa se debe tener en cuenta los

activos que sé que quieren proteger de las amenazas a las cuales son

vulnerables, y a su vez, las medidas de seguridad que se desean implementar

para prevenir, mitigar y controlar los riesgos identificados.

Se debe llevar bien organizado un inventario de los activos que se quieren

proteger.

Los activos deben ser identificados de acuerdo a su dueño, donde este

dueño debe describir la importancia en términos cualitativos o cuantitativos

para aplicar las dimensiones de seguridad.

Es necesario definir procedimientos de etiquetado y manipulación de la

información para cada uno de los distintos niveles en los que se clasifica y

las diferentes actividades: acceso, modificación, copia, almacenamiento,

transmisión y destrucción. (Instituto Nacional de Tecnologías de la


Políticas de seguridad

Una política de seguridad para ser implementada debe incluir normas, reglas y

practicas teniendo en cuenta las dimensiones de seguridad descritas en el

documento, tener claro los actores que van a estar implicados en el montaje y la

aplicabilidad de la política, y a la regulación del modo en que los bienes que

contienen información sensible van a ser gestionados, protegidos y distribuidos en

la organización.

71

Para cumplir con los objetivos descritos anteriormente, el contenido de la política

de seguridad de una compañía debe incluir: (Instituto Nacional de Tecnologías de

la comunicación, 2008)

El objeto del documento.

El ámbito de aplicación de la política.

Los recursos que se encuentran protegidos.

Las funciones y obligaciones del personal.

Las normas, procedimientos, reglas, estándares y medidas para garantizar

la autenticidad, confidencialidad, integridad, disponibilidad y conservación

de la información.

El procedimiento de identificación, autenticación y control de accesos.

El procedimiento para la gestión de incidentes de seguridad.

La gestión de soportes y copias de respaldo.

La política o el procedimiento de control de los accesos a través de las

redes.

Los planes de contingencia y de continuidad del servicio.

Los controles periódicos de verificación del cumplimiento de las normas y

procedimientos establecidos.

Auditorías de seguridad

En una auditoria simplemente se lleva a cabo la obtención de información con el

fin de evaluar de una manera objetiva los resultados obtenidos a través de un

proceso de verificación en materia de seguridad. Estas auditorías son basadas en

las normas ISO 9000:2000 y 27000.

72

Cada empresa en función de su tamaño debería incluir las siguientes

recomendaciones en sus procedimientos: (Instituto Nacional de Tecnologías de la


La auditoría a la seguridad que se vaya a ejecutar debe tener bien claro los

objetivos y se deben cumplir la periodicidad de esta, para asegurar que la

empresa ejecuta los procedimientos correctamente.

Realizar revisión periódica donde se identifique que los usuarios están

cumpliendo con los requisitos de seguridad establecidos por la empresa

por ejemplo, cambio de contraseñas, backup periódicos, etc.

Revisar de forma periódica las medidas y técnicas de seguridad para

mejorar la eficacia en la organización.

Realizar periódicamente análisis de vulnerabilidades de las redes mediante

la utilización de herramientas adquiridas que permitan la detección y

corrección de incidentes de seguridad que se puedan presentar.

73

14. CONCLUSIONES

En los capítulos anteriores se ha realizado un profundo estudio de las redes

inalámbricas en general y de la tecnología WiFi utilizada en Colombia, teniendo

como referencia las Pymes y los usuarios finales; de este documento se pudo

identificar las vulnerabilidades que se pueden presentar en seguridad a través de

los diferentes tipos de ataques mencionados, así mismo se dieron a conocer las

soluciones q

ESTUDIO DE ESQUEMAS DE SEGURIDAD EN REDES...

Documents

Transcript of ESTUDIO DE ESQUEMAS DE SEGURIDAD EN REDES...