Seguridad informática: ¿Cuánto cuesta robar tus datos en una WiFi pública?

Consejos de Seguridad informática

¿Cuánto cuesta robar tus datos en una

WiFi pública?

Están disponibles en hoteles, restaurantes, bibliotecas, aeropuertos o plazas. La mayoría de locales ofrecen redes WiFi públicas y no dudamos un instante en disfrutar de sus ventajas. Es cómodo y gratuito. Sacamos nuestro teléfono móvil, nuestra tableta o nuestro portátil y nos conectamos a ellas sin pensar que un ciberdelincuente puede interceptar nuestro dispositivo y ¡robar nuestros datos!.

Aunque piense que nadie en la cafetería o en la plaza tiene los conocimientos suficientes para espiarlo. Sentimos decirle que está equivocado: el atacante no necesita ni un gran presupuesto ni ninguna destreza informática especial para robarte los datos. Será capaz de espiarlo sin demasiadas dificultades si se lo propone.

“Todo lo que necesita son 70 euros, un coeficiente intelectual medio y un poco de paciencia”, defiende el hacker Wouter Slotboom, un experto en seguridad que en tan solo 20 minutos, fue capaz de conseguir los datos personales de casi todos los usuarios de una cafetería de Ámsterdam e incluso un historial de sus últimas búsquedas en Google.

Provisto de un portátil y un pequeño dispositivo del tamaño de un paquete de cigarrillos, Wouter lanzó un programa y la antena comenzó a interceptar señales de los teléfonos celulares y portátiles del establecimiento. Después, ejecutó el clásico ataque ‘man in the middle’, logrando que su red se convirtiera en intermediaria entre la víctima y la fuente: los usuarios creían estarse conectando a la red del local y, sin embargo, se estaban conectando a la red ficticia de este experto en seguridad, que asegura que todos los programas necesarios para llevar a cabo esta tarea se pueden descargar fácilmente de Internet.

En poco tiempo, 20 usuarios se habían conectado a la red. Pero no solo eso: Slotboom fue capaz de conocer sus direcciones MAC e incluso ver las especificaciones de sus teléfonos móviles, una información que podía haber utilizado fácilmente para conocer los agujeros de seguridad de cada dispositivo. Descubrió incluso qué aplicaciones estaba utilizando cada usuario.

Este hacker pidió al periodista neerlandés que le acompañaba que escribiera su usuario y contraseña. En unos segundos, los dos datos estaban en su poder. Imagina, si eres una de esas personas que utilizan la misma contraseña en varios servicios, una técnica poco recomendable pero habitual, en un instante el ciberatacante podría tener acceso fácilmente a todos los detalles de tu vida virtual. Este experto en seguridad incluso explicó cómo desviar el tráfico, haciendo creer a un usuario que está entrando en la web de su banco cuando en realidad está accediendo a un sitio clonado. Una técnica que un ciberatacante podría utilizar para desplumarte virtualmente.

Si está pensando que Slotboom es un experto en seguridad y para él es fácil realizar todas estas tareas,  lo cierto es que hasta un niño podría de acceder a sus dispositivos conectados a una red pública. Esto es literal. Recientemente, Betsy Davis, una niña británica de siete años, logró espiar las comunicaciones de los dispositivos que estaban a su alrededor, conectados a una wifi pública, en tan solo diez minutos.

El proveedor de redes privadas Hide my ass realizó este experimento para demostrar la inseguridad de estas redes: Betsy creó un punto de acceso falso (el mismo ataque ‘man in the middle’) e interceptó las comunicaciones siguiendo las instrucciones de los tutoriales que encontró buscando en Google. Los mensajes del resto de usuarios de la red pública comenzaron a llegarle a ella en lugar de a su legítimo destinatario.

Si hasta Betsy es capaz de espiar los datos de los dispositivos de una red pública, ya puede empezar a tener un poco más de cuidado y dejar de confiar en que la gente del bar de la esquina es inofensiva.

Para ayudarte a entender mejor cuáles son los riesgos de conectarte a una red wi fi pública y cómo puede proteger los datos de sus dispositivos, el equipo de Soporte Técnico de Panda Security, responde a esas preguntas que seguro te estás haciendo.

¿Podría haber alguien conectado a la misma red espiando las comunicaciones?

Sí, cualquiera que esté conectado puede capturar el tráfico que sale de nuestro dispositivo, y para ello hay aplicaciones gratuitas sencillas de utilizar y que se encuentran disponibles y accesibles en Internet

¿Quiere esto decir que alguien podría capturar mi usuario y contraseña de Facebook?

No. Afortunadamente, Facebook, y la gran mayoría de redes sociales, servicios de correo electrónico, tiendas online, etc. cuentan con páginas seguras. Nos conectamos a ellas a través de SSL, algo que vemos en el navegador (dependiendo del que utilicemos) cuando se muestra el icono de un candado junto a la página a la que accedemos. Esto significa que toda la información que enviamos a dicho sitio está cifrada, de tal forma que, aunque sea capturada, no será accesible.

¿Qué sucede con el resto de páginas web? ¿Pueden ver qué estoy visitando, o es posible acceder a la información que relleno en una página web no segura?

Sí. De forma muy sencilla es posible capturar esta información, y cualquiera podría ver a qué páginas te estás conectando, o qué escribes en un foro o cualquier otro tipo de página no segura.

Entonces siempre que la página web sea segura, puedo estar tranquilo, ¿verdad?

Sí. Pero tiene que ser segura realmente. La captura del tráfico de red es uno de los ataques que se pueden llevar a cabo, pero no el único. Si el punto de acceso ha sido puesto allí por alguna persona malintencionada puede, por ejemplo, cambiar la configuración del router WiFi, de tal forma que le lleve a la página que quiera. Es decir, podemos escribir en el navegador www.facebook.com y que la página que nos muestre no sea realmente la de Facebook sino una copia, de modo que cuando escribamos nuestro usuario y contraseña se lo estemos dando directamente al ciberdelincuente. O, lo que es peor, que la página a la que nos dirija contenga algún exploit que infecte nuestro dispositivo sin que nos demos cuenta. En cualquier caso, la página falsa no será segura, lo que nos puede servir como pista para detectar que no es la real.

¿Pero esto se puede evitar si sé que el punto de acceso WiFi es de origen confiable, como un comercio?

No. Aunque evidentemente es más seguro, nadie puede garantizar que el router no haya sido comprometido, y cambiada, por ejemplo, la configuración de los DNS, lo que facilita un ataque como el descrito anteriormente en el que somos llevados a una página falsa. En 2014, de hecho, han aparecido agujeros de seguridad en routers muy populares que permiten hackearlos de tal forma que el atacante pueda cambiar la configuración del mismo sin ningún problema.

¿Hay alguna manera de protegerse ante este tipo de ataques?

Sí. Un buen método es utilizar un servicio de VPN (Virtual Private Network), que hace que todo el tráfico que salga de nuestro dispositivo esté cifrado. Da igual que la página sea segura o no, todo estará cifrado. Y mientras estemos conectados a la VPN no se utiliza la configuración DNS del router en ningún caso, por lo que estamos protegidos ante ataques como los anteriormente descritos.

¿Y qué pasa con las redes WiFi protegidas con contraseña? ¿El riesgo es el mismo?

Esto simplemente va a garantizar que en principio sólo van a estar conectados al mismo punto de acceso WiFi aquellos que conozcan la contraseña, ni más ni menos. En cierta forma, podemos decir que limita los riesgos al disminuir el número de personas que se pueden conectar, pero pueden producirse exactamente el mismo tipo de ataques que en una red abierta no protegida por contraseña.

¿Todo esto aplica a todo tipo de dispositivos, o sólo a computadoras?

A todos: computadoras, tablets, móviles o cualquier otro dispositivo que se conecte a la red.

¿Y qué pasa entonces con WhatsApp? ¿Es posible que se vean mis conversaciones o las fotos y vídeos que envío?

No. Afortunadamente ahora esa información va cifrada. Antiguamente no era así, y, de hecho, se llegó a desarrollar una aplicación que permitía ver los chats si estabas conectado a la misma red. Esto ya no es posible, aunque existe una forma de que puedan averiguar tu número de teléfono móvil si estás conectado con WhatsApp en la misma red que el atacante, pero de ahí no pueden pasar.