Asegura tu WiFi contra la intrusión no deseada
Para que te pongas una red de los más robusta. Para un entorno de usuario doméstico este sería el resumen de cosas que deberías tener en cuenta en seis areas diferentes:
Las configuraciones pueden variar según el tipo de modem que se utilice , consulta el manual de tu modem
Antes de empezar debemos aclarar que los siguientes consejos requieren tener acceso al router que tenemos en nuestro hogar, y para ello vamos a ingresar en un navegador web la dirección 192.168.0.1 o 192.168.1.1, pues estas son las dos direcciones mas comunes para acceder a la administración de nuestro dispositivo. Si ninguna de ellas te funciona, puedes utilizar los comandos necesarios para conocer la dirección IP privada.
Luego de ingresar la dirección correspondiente a nuestro router, lo mas seguro es que se nos pida un nombre de usuario y contraseña, si los sabemos pues lo ingresamos, de lo contrario tenemos tres opciones para conocerlas:
1. Ingresar a www.routerpasswords.com, seleccionar la marca y modelo de nuestro router y probar la contraseña por default que utiliza.
2. Buscar en Google: clave del router “marca de nuestro router” seguido de “la empresa (ISP) con la que tenemos contratado el servicio”. Muchos usuarios comparten las claves de acceso que normalmente son las mismas para todos los dispositivos instalados por la empresa en los diferentes hogares.
3. Contactar con la empresa a la que le contratamos el servicio de Internet y solicitarle los datos de administración del router.
Luego de ingresar la dirección correspondiente a nuestro router, lo mas seguro es que se nos pida un nombre de usuario y contraseña, si los sabemos pues lo ingresamos, de lo contrario tenemos tres opciones para conocerlas:
1. Ingresar a www.routerpasswords.com, seleccionar la marca y modelo de nuestro router y probar la contraseña por default que utiliza.
2. Buscar en Google: clave del router “marca de nuestro router” seguido de “la empresa (ISP) con la que tenemos contratado el servicio”. Muchos usuarios comparten las claves de acceso que normalmente son las mismas para todos los dispositivos instalados por la empresa en los diferentes hogares.
3. Contactar con la empresa a la que le contratamos el servicio de Internet y solicitarle los datos de administración del router.
1) Fortificar la configuración de la red WiFi
Establece cifrado WPA/WPA2-PSK
Es lo más robusto que hay hoy en día, aunque no es ni mucho menos infalible, ya que existen formas de atacar un red con WPA/WPA2-PSK, pero es lo más que podemos tener en cuanto a cifrado de red en entornos domésticos.
WPA2 and WPA (PSK) (WPA2 y WPA, PSK): Tendrá que ajustar el tipo de Encryption (Cifrado) en TKIP and AES (TKIP y AES), AES o TKIP. A continuación, deberá introducir una Pass phrase (Contraseña), también denominada Network key (Clave de red), WPA key (Clave WPA) o WPA Pre-shared key (Clave WPA compartida previamente). La contraseña debe contener entre 8 y 63 caracteres. Todos los equipos conectados a la red inalámbrica deberán tener la misma contraseña. También puede especificar una Key rotation (Rotación de la clave) en segundos, o introducir 0 en el campo para desactivar tal opción.
Cambia el SSID
El SSID es el nombre de la red, y los SSID son necesarios para poder crackear WPA/WPA2-PSK con ataques de diccionario, así que si pones uno que nadie haya pre-calculado antes, mejor que mejor.
Lo ideal es usar un nombre que sea fácilmente reconocible y que no tenga relación alguna con nosotros. En muchas ocasiones me he topado con gente que ponía como SSID su dirección o su nombre, esto es un grave error porque este nombre señala directamente al propietario de la red. Yo elegiría nombres como: Chocolate o MiWiFi, de este modo reconoceríamos nuestra red rápidamente y no daríamos información alguna sobre nosotros.
Cambia la clave por defecto
Las redes WPA/WPA2 - PSK también se atacan por el descubrimiento de los algoritmos que usaron los fabricantes para establecer claves por defecto. Herramientas como Liberad a WiFi o el archifamoso e histórico WLanDecrypter se hicieron muy populares por hacer esto, pero hay muchas como WLanAudit, iWep y un largo etcétera para algoritmos de claves de redes WiFi de routers de todo el mundo.
Oculta el SSID
Al ocultar el SSID de tu red haces que tu punto de acceso WiFi no emita los beacon frames con el nombre de la red. Ocultarlo hace que sea un paso más de trabajo para el atacante descubrir los Probe de los clientes que se conectan, pero evita curiosos. Para ello, asegúrate de marcar la opción de "Conectar a esta red aún cuando no se detecte" en la configuración de la rede WiFi en tu sistema operativo.
El problema de ocultar el SSID es que ocultar las señales inalámbricas es imposible. SSID o no, el router sigue transmitiendo ondas de radio en todas las direcciones, lo que significa que las ondas pueden ser interceptadas. No tendrán un SSID unido a ellos, pero hay otras maneras de separar las redes inalámbricas.
Esto significa que ocultar su SSID no oculta la red Wi-Fi de alguien que usa un escáner de red WiFi. Cualquier persona que trate de romper una red inalámbrica usará uno de esos escáneres, por lo que la utilidad de ocultar el SSID es bastante limitada.
Esto significa que ocultar su SSID no oculta la red Wi-Fi de alguien que usa un escáner de red WiFi. Cualquier persona que trate de romper una red inalámbrica usará uno de esos escáneres, por lo que la utilidad de ocultar el SSID es bastante limitada.
Ver tutorial para ocultar nuestra red
Cambia periódicamente el SSID y la clave
Aunque no te lo creas, aún así te pueden crackear la red, así que cambia de vez en cuanto estos valores para que no acabe tu configuración publicada en bases de datos de Wardriving. Estas bases de datos comparten las claves de redes WiFi geoposicionadas como WiFiGet, y algunas soluciones hasta usan Four Square, por lo que para cualquier que pase por allí podría venirle bien tu red WiFi.
Desactiva WPS (WiFi Protected Setup)
Esta característica permite que un equipo se conecte a la WiFi utilizando un código temporal que simplifica todo el proceso de "enrollment" de un nuevo equipo. Por desgracia las implementaciones de muchos routers no detectan los ataques de fuerza bruta y en unos minutos están en tu red WiFi. Así que desactívalo y evita estos ataques de un tirón.
Filtra por direcciones MAC de conexión
Tampoco es una medida definitiva, pero complica un poco más el trabajo del atacante, y ayuda localizar mejor a los atacantes. Para ello, en el panel de administración crea un filtro por dirección MAC para todos los equipos de tu red doméstica.
Cada tarjeta de red posee una dirección MAC (Media Access Control), que en teoría es única para cada una de ellas. Está formada por 48 bits que se suelen representar mediante dígitos hexadecimales que se agrupan en seis parejas (cada pareja se separa de otra mediante dos puntos ":" o mediante guiones "-". Por ejemplo, una dirección MAC podría ser E1:B1:CF:3D:4A:AA . Normalmente viene impresa en la tarjeta de red, aunque también se puede consultar mediante el comando ipconfig /all en ms-dos.
WPA/WPA2 - Enterprise
Si quieres quitarte de problemas en la rede tu empresa, pues piensa en utilizar WPA2 Enterprise con EAP-TLS, TLS-EAP-TLS, PEAP-TLS, o PEAP-MSCHAPv2 o algo similar para que tu red sea mucho más difícil de atacar.
Ver tutorial de como configurarlo en Windows
2.Fortificar la configuración de tu router WiFi
Actualiza el firmware de tu AP
No solo tienes que actualizar el software de tu equipo, sino también el software de tu router o punto de acceso. Para ello busca en la web del fabricante y pon el último que haya disponible para tu hardware.
Cambia la contraseña de administración de tu punto de acceso
Las passwords por defecto son un grave problema en estos dispositivos, así que procura cambiarla. Ya vimos como incluso desde un correo electrónico era posible atacar un router AP aprovechando alguna de las múltiples vulnerabilidades de CSRF que suelen tener.
No permitas la consola de administración en la WAN
Ni la consola de administración WAN, ni la consola de comandos vía Telnet o SSH. Deja que solo alguien conectado a la LAN pueda configurar las características de tu dispositivo.
Configura el Firewall de Internet y Filtra por IP
Evita que desde Internet se puedan conectar a los equipos de tu red a ningún puerto, y sobre todo evita configuraciones en las que envíes todo el tráfico de Internet a un equipo de la red, ya que lo van a brear. Si aparte de filtrado MAC, quitas el servidor DHCP y filtras por dirección IP de cliente, se lo pondrás un poco más difícil al atacante, aunque configurar y administrar tu red se hará un poco más trabajoso.
3. Fortificar la conexión desde el cliente
Valida el BSSID de tu red WiFi
Los sistemas operativos Windows validan el BSSID, es decir, que no ha cambiado el identificador de la red que depende de la dirección MAC. Esto es así para evitar suplantación de routers y ataques de Rogue AP. En el caso de Mac OS X no se valida el BSSID y tampoco en los sistemas operativos iOS de iPhone o iPad.
Utiliza una conexión VPN
Tanto si la red es tuya como si no, estar en una red WiFi compartida es como "living in the jungle", así que tira una VPN para evitar que alguien te intercepte cualquier comunicación. Recuerda el ejemplo de hackeando al vecino hax0r que me roba la WiFi y todos los ataques en redes IPv4 & IPv6 que se pueden hacer.
Ver tutorial para crear una VPN
Configura el Firewall de tu sistema operativo
Una vez que abres la VPN, el firewall del tu router no va a ayudarte, así que tienes que tener el de tu sistema operativo activo y restringiendo todos los protocolos de entrada a tu equipo. Si tienes un equipo Windows, selecciona la opción de "Red Pública" en le perfil de la conexión, que es el más restrictivo de todos - si solo vas a conectarte a Internet - y configura en detalle luego tu firewall.
4. Monitoriza la red periódicamente
Revisa los logs del router o punto de acceso Wi-Fi
Revisa las direcciones MAC y las direcciones IP de conexión a tu red. Si tienes filtrado de MAC, y alguien consiguiera entrar en la red, entonces en la red habrá varios equipos con la misma dirección IP sobre la misma dirección MAC. Esto genera alertas en software IDS (Intrusion Detection System). Si no tienes filtrado de dirección MAC, seguramente el atacante usará una falsa y tendrá otra dirección IP para no generar alertas de seguridad, pero será más fácil darse cuenta de que hay un nuevo equipo en la red.
Utiliza escaneo pasivo de conexiones
Uno de los que más me gusta y menos ruido hace porque es pasivo aunque ya es un poco antiguo, es Satori , un scanner de red que detecta los equipos en tu red por medio de las direcciones IPv4, IPv6 y direcciones físicas MAC que se usan en la red. Escanea el tráfico periodicamente de forma silenciosa a ver si tienes algún huésped no deseado. Puedes usar WireShark o lo que quieras para este trabajo.
Descargar Satori
Descargar WireShark
5.Defenderse contra la grabación en WebCam
Actualiza todo el software de tu equipo
No sé ni cuantas veces hemos hablado de esto, pero es que es verdad, hay que hacerlo. Para que el atacante pudiera tener control de tu máquina necesitaría saber las claves o explotar un bug al estilo de un pentester con Metasploit, así que evita que tenga bugs que explotar. Si lees este ejemplo te darás cuenta de que basta con que tengas el Flash sin actualizar y ... adios equipo. Actualiza el software de tu equipo o entrégalo al enemigo.
Pon contraseñas robustas
Si no puede explotar un bug, evita que tus claves puedan ser adivinadas porque sean una basura, así que ten una política de claves seguras y cámbialas periódicamente.
Usa un antimalware
Un antimalware reconoce casi todo el software comúnmente utilizado por ciber-acosadores para grabar con la webcam, así que ponte uno bueno con protección en tiempo real. .
Tapa la webcam y el micro
Lo mejor en estos casos es la seguridad física, así que como ya os he dicho muchas veces, tapa la webcam o ponte sexy para salir en Internet. Recuerda que las grabaciones tuyas se venden, tanto si estás desnudo como si no, porque muchos acosadores compran vídeos de gente haciendo cosas normales para engañar a sus víctimas. No te fies de un extraño ni aunque lo veas por la webcam.
6.Descubre quién accede a tu WiFi con WiFi Guard
La mayoría de nosotros accedemos a Internet a través de WiFi. La conexión WiFi es rápida y cómoda, ya que te permite estar en cualquier habitación o rincón de tu casa sin necesidad de cables con tu ordenador, teléfono, tableta o videoconsola.
Precisamente esa facilidad de acceso hace al WiFi tan frágil. ¿Quién no tiene un vecino que usa el WiFi de otros? Con WiFi Guard encontrarás a ese vecino gorrón y podrás bloquear su dirección MAC para que no te quite ancho de banda sin permiso.
Precisamente esa facilidad de acceso hace al WiFi tan frágil. ¿Quién no tiene un vecino que usa el WiFi de otros? Con WiFi Guard encontrarás a ese vecino gorrón y podrás bloquear su dirección MAC para que no te quite ancho de banda sin permiso.
La ventaja de WiFi Guard respecto a otros métodos, como acceder a la configuración de tu router, es que no necesita permisos especiales ni complicadas operaciones. Tan sólo abrir el programa, hacer clic en Escanear Ahora y esperar a que se muestren los dispositivos conectados.
WiFi Guard te permite analizar distintas conexiones WiFi, una en cada análisis. Para elegir la conexión a analizar basta con ir a Opciones > Adaptador de red.
WiFi Guard te permite analizar distintas conexiones WiFi, una en cada análisis. Para elegir la conexión a analizar basta con ir a Opciones > Adaptador de red.
Respecto al análisis que realiza WiFi Guard, el resultado es una lista de direcciones IP con sus respectivas direcciones MAC, nombres y fabricantes del aparato. Si el programa considera la dirección conocida o segura, la marcará con una bola verde. En caso contrario, con una bola roja.
Para estar seguros del todo, será mejor que te fijes en la columna de Vendedor. En el ejemplo de la imagen, tenemos conectados un iPhone y un iPad al WiFi, de ahí los dos dispositivos con vendedor Apple. ¿Pero qué hay de los demás? Si no te suena tener un aparato de esa marca conectado, has encontrado al intruso. En caso que reconozcas todos los dispositivos conectados, puedes estar tranquilo.
ES TODO , ESPERO QUE OS SIRVA
