Todos lo hemos visto: entras en un trabajo nuevo o visitas una oficina para hacer una llamada de ventas y ves que la contraseña compartida de la red inalámbrica está escrita en todas las pizarras. Aunque no esté escrito en todas partes, probablemente sea fácil de adivinar: prueba con el nombre de la empresa seguido de 123, o con las E sustituidas por 3.
Incluso en las empresas con contraseñas de red inalámbrica difíciles de adivinar, es poco probable que la contraseña se cambiara la última vez que alguien dejó la empresa. Después de todo, es un gran obstáculo para la productividad.
Obviamente, esto no es una buena práctica de higiene de contraseñas; una contraseña compartida (y posiblemente fácil de adivinar) que rara vez se cambia apenas es segura.
Pero, ¿realmente importa?
La respuesta, como casi todo, es «depende». Hay escenarios en los que una red inalámbrica comprometida supone una amenaza real para el sistema de producción, y hay escenarios en los que, mediante un diseño cuidadoso, la red de la oficina no necesita ninguna contraseña.
Sin embargo, para la mayoría de las empresas, la seguridad de la red es vital, y las contraseñas no seguras pueden crear una gran vulnerabilidad.
¿Qué problema tiene una contraseña inalámbrica compartida?
Hay varios riesgos importantes al compartir una contraseña de red inalámbrica. Tener una contraseña compartida aumenta la probabilidad de que un atacante la descubra y acceda a tu LAN corporativa.
Aunque menos empresas mantienen recursos confidenciales en su LAN corporativa, tu oficina sigue representando una concentración de empleados, que pueden haber relajado los servicios de uso compartido de archivos o de firewall en sus portátiles. Algunas empresas mantienen almacenamiento conectado en red local (NAS) para las copias de seguridad. Aunque los hackers no puedan acceder a recursos confidenciales, un atacante seguirá pudiendo imprimir «pwn3d» en la impresora de tu oficina hasta que se quede sin papel.
En el caso más probable, el atacante puede aprovechar un mayor nivel de acceso concedido al enviar tráfico a través de la dirección IP pública de tu oficina. Muchas empresas incluyen en la lista blanca el acceso a servidores y recursos de producción en función de la dirección IP de la oficina, o eximen la autenticación multifactor del tráfico procedente de las direcciones IP de la oficina. En estos casos, un atacante tiene una vía para atacar tus datos confidenciales desde tu aparcamiento, y probablemente no te darás cuenta.
El acceso SSH en lista blanca desde tu oficina a tus servidores tiene un riesgo relativamente bajo, pero uno de los peores agujeros es una interfaz web de “admin” para tu servicio de producción que está en la lista blanca para la oficina. Las interfaces web de administración suelen estar muy abajo en la lista de prioridades para los parches de seguridad, ya que «son solo para uso interno». Pero una interfaz de administración que ejecuta código con vulnerabilidades conocidas es un blanco fácil para comprometer toda tu base de datos de producción.
Un exempleado con ganas de revancha puede representar otro riesgo. Las empresas son especialmente vulnerables en este caso, ya que ese empleado tendría conocimientos específicos sobre tu empresa y tu arquitectura. Aun así, pueden acceder a tu red sin siquiera entrar en el edificio y usar ese conocimiento para atacar un punto débil conocido.
¿Cuándo está bien usar una contraseña compartida o ninguna contraseña?
Una red inalámbrica sin contraseña puede ser útil para las redes de invitados. Las redes de invitados no deben usar la misma dirección IP pública que usan las redes de tus empleados, y probablemente estas redes deberían tener límites de ancho de banda estrictos. Los datos no se cifrarán, pero como gran parte del tráfico se realiza a través de SSL, esto ya no es una preocupación tan importante como solía ser.
Para las oficinas, una contraseña compartida está bien si cambias la contraseña cada vez que un empleado se va. Como medida de precaución, se recomienda que no tengas ningún dispositivo local y que no pongas la IP en la lista blanca en ningún sitio. Cualquiera que acceda a los recursos de producción debería tener que usar sus credenciales de empleado (¡no olvides la autenticación multifactor!) y/o usar una VPN para acceder a ellos.
¿Cómo dejo de usar una contraseña inalámbrica compartida?
El siguiente paso en la seguridad inalámbrica es pasar a un sistema de inicio de sesión que solicite un nombre de usuario y una contraseña.
Todos los principales sistemas operativos incluyen compatibilidad con esto. Esto significa que, cuando tu ordenador intente iniciar sesión en una red mediante WPA2-Enterprise, no te pedirá la contraseña compartida de la red (la que ya estás acostumbrado a ver), sino que mostrará un cuadro de diálogo solicitando el nombre de usuario y la contraseña únicos del empleado. En el backend, tu punto de acceso comunica ese nombre y contraseña a un servidor RADIUS, que devolverá una respuesta de «sí» si el nombre y la contraseña son válidos, o de «no» en caso contrario.
Como resultado, las organizaciones pueden mantener seguras sus redes y bloquear a usuarios no autorizados, mientras los empleados pueden iniciar sesión y conectarse con más facilidad que nunca.
Esto requiere un servidor RADIUS. Si no tienes uno, hay ofertas de RADIUS proporcionadas en la nube (como Foxpass) que pueden validar nombres de usuario y contraseñas con bases de datos internas o fuentes externas (como cuentas de Google Apps).
Cuando quieres acceso seguro a la red y seguridad, Foxpass es la mejor opción, ya que ofrece RADIUS en la nube y control de acceso a empresas de todos los tamaños. Foxpass tiene una prueba gratuita de 30 días y un proceso de configuración supersencillo, así que no hay razón para que no puedas tener esta protección hoy mismo. También somos gratis para organizaciones con menos de 10 usuarios.
Wi-Fi es una marca comercial de Wi-Fi Alliance®
