Cibercriminales y Redes WiFi

Nuestro estudio durante la Copa del Mundo muestra que una de cada cuatro redes es peligrosa y deberías tener cuidado para evitar pérdidas importantes de datos.

sao paulo

El reciente desarrollo del mercado smartphone y el rápido crecimiento de aplicaciones para móviles lleva inevitablemente al uso constante de smartphones y tablets y a la gestión de datos sensibles. Ya sea tu CV en LinkedIn, tus fotos privadas enviadas a tu novia/o a través de Whatsapp, Viber u otras apps parecidas, o la contraseña única de tu banco, envías y recibes muchos datos sensibles en tus dispositivos móviles. Desafortunadamente, la mayor parte de las personas no se da cuenta de lo fácil que es que un completo desconocido, sentado a 10 metros de nosotros , pueda interceptar nuestros datos (incluso aún desconfiando siempre de las personas que hay a nuestro alrededor).

Las piezas clave de este puzzle son la desprotección WiFi y la ausencia de seguridad dentro de las apps para móviles. Tener Internet en el móvil sigue siendo muy caro, sobre todo cuando viajas al extranjero. Por eso las personas usan con frecuencia el WiFi gratuito presente en aeropuertos, cafeterías y hoteles sin prestar demasiada atención a su seguridad.  En algunos estudios realizados por nuestros expertos en Sao Paulo justo antes de la Copa del Mundo, que analizaban el tipo de encriptación utilizado para las redes inalámbricas, encontramos que una de cada cuatro redes usa estándares abiertos (o lo que es lo mismo, falta total de encriptación).

Si usas estándares abiertos, cualquiera puede acceder a tu navegación y ver qué datos estás enviando. Si estás usando el sistema de cifrado WEP, puede ser hackeado en menos de 5 minutos. Así que, básicamente, la mayoría de las redes alrededor del mundo pueden ser comprometidas por criminales en cuestión de segundos.

Nuestra recomendación es que intentes conectarte a redes que usen WPA2, eso siempre. Sin embargo, la realidad es que muchas veces tienes que conectarte a redes abiertas. Además, no puedes controlar realmente lo que se está transmitiendo a través de estas conexiones.  Al usar el navegador del móvil, puedes verificar la presencia del símbolo del candado y del protocolo HTTPS en la barra de direcciones.

Muchas aplicaciones de móviles transmiten tus datos sin encriptar o no te alertan acerca de peligrosos problemas de encriptación.

La historia es diferente al usar aplicaciones de móviles. Nadie sabe realmente qué protocolos usa la aplicación. Expertos en seguridad han descubierto que muchas aplicaciones aún usan estándares abiertos para la comunicación interna con sus servidores  (es decir HTTP en vez de HTTPS), y tú ya sabes que esas conexiones son vulnerables a operaciones de “session hijacking”, al robo de contraseñas e interceptación de contenidos. Por ejemplo, si estás usando apps de mensajería instantánea, las personas pueden ver tus conversaciones en texto plano. Y no me estoy inventando nada, es un problema real que persiste en las aplicaciones para móviles.  En 2011 incluso Google, Facebook o Twitter tenían algunos problemas con la falta de certificado SSL en sus aplicaciones de móviles. Hasta el verano de 2012 Whatsapp, la famosísima aplicación de mensajería instantánea, estuvo transmitiendo todos los contenidos sin encriptar. Si alguien utiliza todavía el Messenger de Yahoo o ICQ, tengo malas noticias: aún usan protocolos de texto plano, así que todos los chats están sin encriptar y pueden ser leídos fácilmente a través de redes WiFi abiertas. Es difícil imaginar cuántas aplicaciones utilizan todavía el texto plano, incluso algunas de las compañías de primer nivel aún no han implementado la encriptación.

Si nos ponemos más técnicos, muchas aplicaciones de móviles no avisan sobre problemas con los certificados SSL, haciendo casi imposible detectar los ataques man-in-the middle.

Por supuesto, sería fácil dar un consejo sencillo como “no uses aplicaciones de móvil con datos sensibles”, pero es difícil seguir este consejo. Haciendo caso a eso, estarías sin duda volviendo al siglo XX. Así que te recomendamos un enfoque algo menos radical:

  • Usa servicios de 3G/4G en vez de WiFi en sitios públicos siempre que tengas la oportunidad;
  • Opta siempre por conexiones WiFi encriptadas (WPA2);
  • Usa las redes RPV en tu dispositivo móvil;
  • Evita llevar a cabo operaciones importantes como transacciones bancarias online en lugares públicos y a través de redes  no seguras (que efectivamente son todas las redes excepto las configuradas expresamente en casa y en el trabajo).

 

Consejos