Seguridad básica para redes wifi

Muchas redes wifi se dejan abiertas porque configurar las contraseñas es complicado, pero hay otras soluciones más inmediatas
Por Darío Pescador Albiach 3 de octubre de 2006

Proteger o no proteger, esa es la cuestión. ¿Es más noble invitar a propios y ajenos a que disfruten de la conexión wifi que el usuario paga, o alzarse en armas contra los intrusos y acabar con los gorrones?

Los puntos de acceso wifi en hogares y oficinas se quedan abiertos porque sus dueños no saben cómo cerrar el acceso a los extraños. A otros simplemente no les importa, hasta el día en que descubren que un par de vecinos están monopolizando el ancho de banda con descargas masivas de películas de BitTorrent. Entonces deciden poner fin al ‘almuerzo gratis’ y llaman al pariente más próximo con conocimientos de informática para que eche el cerrojo al acceso.

Si la red local no está configurada con las medidas de seguridad adecuadas, los extraños podrían acceder a los archivos del disco duro

Además del uso del ancho de banda, hay otros motivos para proteger el acceso. Si la red local (la que forman los ordenadores de la casa y el router) no está configurada con las medidas de seguridad adecuadas, los extraños podrían acceder a los archivos del disco duro. No tiene mucha importancia si se trata de las fotos familiares, pero en una empresa puede ser más grave al dejar al descubierto documentos confidenciales.

La forma más habitual de protección es colocar una contraseña WEP o WPA, pero esto exige configurar el router por un lado, y los ordenadores que se conectan a él por otro, introduciendo la contraseña.

Hay otras medidas más sencillas que no ofrecen una protección tan elevada, pero que evitan que ‘los de casa’ tengan que introducir contraseñas. Pueden resultar muy efectivas para desanimar a la primera oleada de gorrones, aunque un vecino con conocimientos avanzados puede traspasarlas.

Cambiar la contraseña de administrador

Img

Los routers wifi se configuran con un sencillo menú al que se llega abriendo una página web, por lo general en la dirección 192.168.1.1. Aquí hay que introducir la contraseña que indica el fabricante para poder entrar. La contraseña viene en los manuales de instrucciones de los routers, por lo que es muy importante no perderlos, aunque a priori parezca que el usuario no tiene nada que operar sobre el router.

Por desgracia, cualquier persona con unos mínimos conocimientos puede hacer lo mismo y configurar el router a su antojo. Un simple cambio de contraseña es una medida importante de protección.

Conviene, no obstante, elegir bien la contraseña. Las palabras completas como ‘Alberto’ o ‘ferrocarril’ pueden descubrirse por medio de fuerza bruta (prueba y error). Las palabras combinadas en código alfanumérico, con números como ‘anto69mired’ son más seguras.

Hacer la red invisible

Img

Los puntos de acceso wifi se identifican con un nombre o SSID. El nombre por defecto suele ser el del fabricante, como ‘3Com’ o ‘DLink’. Los routers wifi tienen además una opción denominada ‘broadcast SSID’ o ‘mostrar SSID’. Si se desactiva, la red se hace invisible. No aparece en la lista de nombres cuando otro usuario activa en su ordenador la función ‘Buscar redes inalámbricas’, pero quienes lo conocen pueden añadir el nombre manualmente y conectarse. En Windows esto se hace en la ventana de propiedades de las redes inalámbricas, mediante el botón agregar.

Filtros MAC

Img

Cuando un ordenador se conecta a Internet se le asigna una dirección IP. Sin embargo, hay otro tipo de ‘número de matrícula’ que no pertenece al ordenador, sino al dispositivo conectado a la red, llamado ‘número MAC’. Por ejemplo, un ordenador portátil suele tener dos, uno para la conexión wifi y otro para la conexión de red por cable. Así como la IP puede cambiar (se asigna temporalmente), el número MAC está grabado en los circuitos. Es el número de bastidor del ordenador.

En un router wifi se puede habilitar un filtro para que sólo se conecten los dispositivos con un determinado MAC. Para conocerlo en Windows se accede al menú ‘Inicio > Configuración >Conexiones de red > Conexiones de red inalámbricas’ y se hace clic en Propiedades. En la parte superior de la ventana de propiedades aparece el dispositivo inalámbrico. Al colocar el cursor sobre él aparecerá su número MAC.

En el menú del router sólo hay que añadir una lista de los números MAC permitidos. Todos los demás serán bloqueados.

Limites DHCP

Una red wifi está pensada para que los usuarios ocasionales se conecten cómodamente. Sin embargo, si los usuarios son siempre los mismos y la red está conectada las 24 horas del día, la configuración se puede hacer más restrictiva y más privada.

Una forma sencilla es limitar el número de ordenadores que pueden conectarse. Esto se hace mediante el servicio DHCP del router, que se encarga de asignar direcciones IP automáticamente a cada ordenador que se conecta a él. Por ejemplo, el ordenador de sobremesa de los niños puede tener la dirección 192.168.1.2 y el portátil de los padres la dirección 192.168.1.3. Si se conectara un vecino gorrón, se le asignaría el número 192.168.1.4.

En el router es posible limitar el rango de direcciones IP automáticas. Si se pone como primera dirección 192.168.1.2 y como última 192.168.1.3, el vecino se quedará sin números disponibles, y por tanto no tendrá acceso.

¿Cuánta seguridad hace falta?

Todos los métodos anteriores pueden ser vulnerados con los suficientes conocimientos y paciencia. Existen programas capaces de leer los nombres ocultos de las redes o falsificar un número MAC. Además, mientras que en un hogar con pocos ordenadores la configuración es sencilla, en una oficina con personas que entran y salen, empieza a ser muy engorrosa. En estos casos la forma más segura y cómoda de proteger la red es el cifrado WEP y las contraseñas WPA-PSK. Para evitar la entrada al gorrón ocasional, puede que no sea necesario tanto.

Sigue a Consumer en Instagram, X, Threads, Facebook, Linkedin o Youtube