"El reto de la seguridad inalámbrica"

Gunter Ollmann
Director de X-Force, Internet Security Systems, Inc. (ISS)

Cuando el número de puntos de acceso inalámbrico desplegados por calles y terminales de aeropuertos de todo el mundo continúa creciendo y se generaliza la filosofía de "conectarse en cualquier lugar y en cualquier momento", fenómeno similar del que fuimos testigos con los teléfonos móviles a principios de los noventa, las empresas se están esforzando por comprender las últimas implicaciones que esto tiene para su fuerza de trabajo móvil.

Mientras la mayor parte de las organizaciones están familiarizadas con los fallos de seguridad asociados al Protocolo de Encriptación Wireless (WEP) original, basado en el estándar IEEE 802.11b y han intentado implantar mejores prácticas para sus empleados, casi todas han encontrado dificultades al buscar un mejor balance entre conectividad e integración de datos sin sacrificar el nivel de utilización.

Actualmente, para los empleados remotos la capacidad para conectarse a Internet e intercambiar e-mails mientras están viajando se ha convertido en algo crítico. Cualquier cuestión técnica que impida al trabajador conseguir acceso a la red en el momento oportuno y de forma rápida, puede dar como resultado llamadas frenéticas al asistente de escritorio, o provocar que los empleados manipulen sus conexiones de red en un esfuerzo por localizar cualquier conexión que les pueda servir.

Para muestra un botón. Podemos preguntar a cualquier comercial cuando se le echa el tiempo encima, cuando necesita realmente enviar un e-mail para poder facturar millones a un cliente en el último día del mes. No importa dónde estén, o con qué frecuencia han sido advertidos sobre la importancia de la seguridad, puesto que lo que harán es encender o apagar cualquier dispositivo tratando de conectarse a una red con el objetivo de enviar ese e-mail tan crítico. En este sentido, la seguridad siempre jugará un segunda "trampa" para la continuidad del negocio.

Evidentemente, existen problemas adicionales asociados a las redes inalámbricas con los que ahora los equipos de seguridad corporativa tienen que enfrentarse. Mientras el e-mail es una cuestión que, desde luego, interesa a la empresa, existe la necesidad de un acceso seguro a las aplicaciones de la intranet, tales como bases de datos de inventario y hojas de asistencia; y comunicaciones de voz como VoIP. Cada servicio adicional conectado representa nuevas amenazas de seguridad añadidas y oportunidades para que los usuarios tengan que adaptar sus herramientas.

Desde la perspectiva de un atacante (o incluso desde la de un "curioso" casual), las redes inalámbricas son fantásticas en tanto en cuanto son un medio ideal para lanzar un ataque. En este punto, debemos considerar algunos de los métodos más comunes que son utilizados por los hackers en todo el mundo:

• Desplegar puntos de acceso inalámbricos "fraudulentos" con nombres falsos o engañosos. Por ejemplo, no se necesita ninguna habilidad para establecer un punto de acceso wireless y asignarle el nombre de un proveedor local, dirigiendo al Proxy de forma transparente, todos los datos a través de la red. Haciendo esto, el hacker obtiene acceso a las credenciales de autenticación originales de todos los usuarios, además de poder observar todas sus comunicaciones encriptadas.
• El uso de puntos de acceso inalámbrico favorecen la salida de información a una velocidad muy superior a la normal. El incremento de la información de salida congestiona el resto de puntos de acceso en esa localización. De este modo, los usuarios se ven forzados a conectarse a la red que pertenece al atacante.
• Emplear antenas de largo alcance para rastrear las transmisiones de comunicaciones de datos desde largas distancias y atacando redes peer-to-peer. · Configurando puntos de acceso inalámbricos engañosos para proporcionar enrutamiento de tráfico VoIP de bajo coste en menores ratios con el fin de asegurar que todo el tráfico pasa a través del dispositivo del hacker.
• O, el más sencillo de todos, agregando un punto de acceso fraudulento en un área muy concurrida (por ejemplo, una calle), utilizando un nombre del tipo "Default" sin requerir una encriptación o autenticación. Los usuarios a menudo se conectarán a este acceso a Internet "gratuito" y actuarán como de costumbre, mientras, el ciber delincuente husmea todo el tráfico.

Cuando se combinan los vectores de ataque wireless más novedosos con una fuerza de trabajo móvil "agnóstica" en materia de seguridad (teniendo en cuenta que los estudios de seguridad anuales ponen de manifiesto que los empleados revelan sus claves de e-mail a cambio de una simple chocolatina), nos encontramos ante una situación madura tanto para oportunistas como para el crimen electrónico organizado.

Mientras haya habido varias investigaciones sobre "war-driving" (búsqueda de redes inalámbricas en una localidad por coche, utilizando un portátil o dispositivo inalámbrico para localizar los puntos de acceso) y el uso de wireless en varias tecnologías o ferias de seguridad, los informes públicos sobre el curso de las actuales vulnerabilidades dirigidas al usuario final de dispositivos inalámbricos han sido más bien pocos. Desde luego, varias comunidades de hacking se están haciendo eco de la aparición de nuevas técnicas y casos de ataques que han sido exitosos. Desde que estos ataques están dirigidos a hosts individuales, y el éxito del ataque puede no ser inmediatamente evidente, a menudo se da el caso de que las víctimas no tienen idea de que su seguridad ha fallado y las consecuencias no aparecen hasta varios días o semanas después.

La capacidad para proteger a la fuerza de trabajo móvil de las amenazas que encontrarán cuando utilicen puntos de acceso inalámbricos o hotspots en cualquier parte del mundo es sumamente importante, y las tecnologías de protección heredadas, tales como firewalls y anti-virus son, en la mayoría de las ocasiones, insuficientes. Con el objetivo de proporcionar buena seguridad, la estación de trabajo móvil o el laptop tiene que estar protegido tanto contra los ataques externos como contra los de los propios usuarios.

En este sentido, las tecnologías y técnicas más relevantes para proteger la fuerza de trabajo móvil incluyen:

• Seguridad en el escritorio que incorpora un sistema de protección de intrusiones basado en host (HIPS) capaz de identificar los últimos ataques de red y brechas de seguridad, así como bloquearlos por defecto. Por ejemplo, muchos de los hosts que unen a redes wireless legítimas se encuentran infectados por algún tipo de gusano o bot y de forma automática, tratarán de infectar cada uno de los nuevos host que se han unido a la red.
• Tecnologías VPN que crean túneles seguros entre el host móvil y la red corporativa. El que la red wireless soporte WEP (o WPA) no implica que las comunicaciones sean seguras. Esto significa que aquellos que no sean ya parte de una red inalámbrica no pueden hacer rastreos fácilmente. De hecho, la mayoría de la gente no se da cuenta de que una vez que eres parte de una red inalámbrica, incluso si la encriptación wireless está establecida, el resto de host en la red puede conectarse de forma potencial a tu host.
• Fortalecer los dispositivos móviles. La mayor amenaza para la seguridad móvil proviene de los propios usuarios. Los movimientos y decisiones a tomar deben ser dados con el fin de fortalecer el dispositivo móvil para prevenir al usuario de modificar las conexiones de red, dejando inhabilitadas las tecnologías de seguridad cuando están fuera del campo.
• Servidores Proxy corporativos para el acceso web de los usuarios remotos. Las amenazas procedentes de ataques basados en el buscador web se han incrementado sustancialmente y todos los usuarios de móviles deben ser instados a utilizar un servidor Proxy corporativo para sus conexiones a la web, al cual puede conseguirse acceso solamente sobre VPN. Esto asegura que todo el tráfico es encriptado y, con la ayuda del filtrado de contenidos, puede ser utilizado para bloquear canales de comunicación no autorizados tales como el web-mail.

Como en la mayoría de las áreas de seguridad, el sentido común juega un papel vital en la protección de la integridad de la comunicación corporativa. Sin embargo, la educación del usuario el fundamental para que una empresa tenga éxito a la hora de alcanzar su estatus de seguridad móvil. Es importante que los usuarios estén concienciados o hayan sido educados en los métodos que los hackers utilizan para acceder a las redes inalámbricas, estando de este modo capacitados, para localizar instalaciones sospechosas e impidiendo que los vectores más comunes de la ingeniería social les afecten. Además, los empleados deben entender qué mecanismos de seguridad han sido instalados en sus dispositivos móviles. De igual modo, también han de comprender qué pasos deben dar para conectarse de forma segura a la red corporativa o a la hora de enviar e-mails. Por otro lado, de forma trimestral, o una vez cada seis meses, se recomienda que actualicen y revisen sus sistemas.

Por último, insistir en que si al final de una jornada laboral, un comercial necesita enviar una factura crítica a final de mes, no basta con bloquear totalmente el acceso a la red corporativa, esto es una medida insuficiente. Existe una alta probabilidad de que este trabajador se lo envíe al cliente desde su cuenta personal en Hotmail o desde cualquier otro tipo de proveedor de correo electrónico.

Gunter Ollmann
Director de X-Force, Internet Security Systems, Inc. (ISS)