Internet lento… ¿WiFi hackeada?

Primera parte: El escenario

¿Le ha pasado que justo cuando está viendo en Netflix la mejor parte del último capítulo de su serie favorita, de pronto la imagen se congela y aparece el clásico mensaje de “cargando 15%”? Pues a mí sí… en momentos como esos medito si volver a Amazon Prime, pero esa es otra historia.

Volviendo al punto, estaba de visita en casa de mi prima viendo el último capítulo de Shadow Hunters y justo en el momento clímax cuando Jace decide buscar a Clary para contarle el secreto que le compartió Valentine mientras sostenía la Espada Alma (sin spoilers)… paff!! Internet lento… buffering de Netflix… cargando al 15%…. reconectando :’-(

De modo que – sin desesperarme – decidí buscar las causas de la lentitud de la conexión de Internet de mi prima (mentira, estaba absolutamente desesperada por saber qué sucedía con Clary y Jace!!). En fin, en primera instancia pensé que era culpa del proveedor, pero nop. Reiniciar el router solucionó el problema momentáneamente, pero luego de unos minutos… Internet lento otra vez >:-(

Segunda parte: Algo huele mal

Ya un poco molesta, decidí revisar la red inalámbrica usando WiFi Analizer (el aplicativo para monitoreo de WiFi que toda chica debe tener en su teléfono) y oh sorpresa, había varios equipos conectados a la WLAN, entre ellos un Blackberry… mmm… sospechoso… el teléfono de mi prima y el mío son de marca Samsung (imagínenme arqueando las cejas).

Interrogando a mi prima cual agente de la CIA, descubrí que ella tenía sólo 2 dispositivos conectados a la WLAN en ese momento, 1 iPod y 1 teléfono Android, sumados a mi Android y al router son 4 dispositivos (así es, no he olvidado cómo sumar); pero en la lista de vecinos mostrada por WiFi Analyzer habían 6 dispositivos… Ajá!! Teníamos definitivamente intrusos en la red!!

¿Pero de quién era ese misterioso Blackberry? ¿Y ese otro disposito de marca Alfa? Y más aún, ¿qué estaba haciendo tan lenta la red?

Acceder a la interfaz de administración del router inalámbrico no era factible en este escenario, porque el router no era de mi prima sino del proveedor de Internet y por ende habría tenido que hackearlo para poder ingresar a la interfaz de administración (vetado para mí dado que soy white-hat-hacker). Así que opté por hackear al cracker. Por la pura pica vencí la pereza y traje de mi carro mi laptop con Kali Linux, hice un ataque MITM usando ARP caché poisoning (tema de otro artículo) y levanté un aplicativo para analizar el tráfico proveniente del intruso.

Mis sospechas se confirmaron… el cracker estaba haciendo un consumo intensivo del ancho de banda del Internet de mi prima. El análisis mostró tráfico de video y descargas provenientes del equipo del intruso.

 

 

 

 

 

Tercera parte: Tomando correctivos

Bien, ya teníamos la certeza de que había al menos un intruso en la red – pues quedaba la duda de si el dueño del Blackberry y nuestro cracker podrían ser la misma persona. ¿Ahora cuál sería nuestro siguiente paso?

Durante la revisión de la WLAN de mi prima observé que el problema no era el nivel de cifrado, puesto que el router estaba usando WPA2 y no tenía activo WPS, por tanto mi deducción es que el cracker logró colarse en la red realizando un ataque basado en diccionario a la clave de la WLAN, la cual realmente era muy fácil y corta (un nombre común, un par de números y un símbolo, 8 caracteres en total).

Por ende la solución obvia era cambiar la clave de la WiFi por una frase larga que cumpliera con criterios de complejidad (de al menos 14 caracteres, no basada en diccionario y que incluyera números y símbolos). No obstante, el router pertenecía al proveedor de Internet, así que no podía hacer el cambio yo misma.

Finalmente, mi prima contactó con servicio al cliente del proveedor de Internet y le cambiaron la clave de forma remota, intrusos fuera, tema solucionado.

Conclusiones

  • Los problemas de lentitud en el acceso a Internet ya sea corporativo o en casa, no siempre se deben a problemas del proveedor o a un alto tráfico de los usuarios legítimos de la red. En ocasiones la lentitud se debe a que tenemos uno o varios intrusos en nuestra red que están colmando nuestro ancho de banda con tráfico no deseado.
  • Cuando nuestra red es inalámbrica es más fácil para un cracker atacarnos, puesto que no tiene barreras físicas que le impidan hacerlo.
  • Un router inalámbrico puede ser vulnerado fácilmente aún si cuenta con protocolos al momento considerados “seguros” (como es el caso de WPA2), si usa un sistema de autenticación de clave precompartida personal (PSK) en el que la clave no cumple con criterios de complejidad.
  • Si nuestro router inalámbrico usa un protocolo vulnerable como WEP, o por aún OPEN con control por MAC u OPEN solamente, estamos invitando a los intrusos a nuestra WiFi.
  • Tener intrusos en la red en el mejor de los casos traerá lentitud a nuestra conexión de red. En el caso de mi prima, es posible que se tratara de un vecino que sólo quería Internet gratis, pero imagínense si se tratara de un cyberdelincuente que quisiera robar información confidencial como secretos corporativos o números de tarjetas de crédito. Un cracker podría utilizar los datos recolectados para suplantar la identidad de personas. Como vieron, me resultó muy fácil hackear al cracker e interceptar su navegación… ¿Y si hubiese sido al revés?

Recomendaciones

  • Asegurar el perímetro de la red es tan sólo el primer paso para proteger nuestra información. Es importante implementar medidas adicionales de seguridad para protegernos en el caso de que alguien rompa el perímetro y logre infiltrarse en la red.
  • Hay diversos equipos y herramientas de software que pueden ayudarnos a proteger tanto el perímetro de la red como nuestros datos. Por citar algunos ejemplos: firewalls de próxima generación (NGFW, los hay de diferentes marcas, tamaños y costos tanto para empresas como para el hogar), software para protección de dispositivos finales como PC’s, tablets y smartphones (Endpoint Protection).
  • Si en última instancia logran vulnerar nuestras defensas y llegan a nuestros datos, nos queda nuestra última carta… el cifrado documental. Los sistemas operativos actuales ofrecen herramientas de cifrado incluidas, que permiten proteger nuestra información para que sólo pueda ser leída por quien conoce la clave.

Sobre estos y otros temas publicaré artículos posteriores, si desea estar al tanto por favor no olvide suscribirse a nuestra lista de correos.

Notas y referencias

  • MITM: de las siglas en inglés Man in the Middle, es un tipo de ataque que permite ponerse “en medio” de una transmisión y de este modo interceptar las comunicaciones. Una defensa efectiva contra este tipo de ataques es navegar en sitios que cifren la información (Ej: HTTPS en lugar de HTTP).
  • Hacker: experto en seguridad informática.
  • Cracker: hacker malicioso.
  • Kali Linux: sistema operativo Linux especializado en seguridad informática que incluye herramientas para hacking y cómputo forense.
  • Router: dispositivo de comunicaciones que permite enlazar una red con otra. Usualmente se lo utiliza en el perímetro de la red para conectarla a Internet.
  • WLAN: red inalámbrica.
  • WEP: Wired Equivalent Privacy, es un protocolo de cifrado para redes inalámbricas que tiene serias vulnerabilidades y puede ser hackeado fácilmente.
  • WPA2: WiFi Protected Access, es la última versión al momento del protocolo WPA usado para el cifrado en redes inalámbricas.
  • WPS: WiFi Protected Setup, stándar introducido para facilitar el acceso inalámbrico a redes WPA2. Se han detectado ciertas vulnerabilidades  que afectan a diversos dispositivos que implementan WPS, por ello no se recomienda activarlo.
  • WiFi: siglas utilizadas para denominar al estándar IEEE 802.11b inicialmente y que hoy se usa indistintamente para referirse a las redes inalámbricas.
  • ARP: Address Resolution Protocol, es un protocolo utilizado en la capa de Acceso a Internet de la arquitectura TCP/IP para realizar resolución de direcciones IP a direcciones físicas conocidas como MAC addresses.
  • ARP Spoofing o ARP Caché Poisoning: método MITM en el que se suplanta la traducción entre una IP y la MAC respectiva en la tabla ARP de uno o varios equipos víctimas.

1 Comment

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*