Protégete en las WIFI públicas

La idea de navegar por Internet desde el hotel, la cafetería o la sala de espera del aeropuerto resulta muy atractiva. Sin embargo, hay que tener cuidado porque muchas de estas redes son un grave riesgo para la seguridad de nuestros datos

Enrique Sánchez rojo

Protégete en las WIFI públicas

5 abril 2009

Las redes WiFi o inalámbricas son cada vez más populares, y ya es habitual encontrarlas en un buen número de sitios públicos. En hoteles, cafeterías, aeropuertos e incluso bibliotecas o gimnasios ya es común contar con un punto de acceso de uso público para que clientes o usuarios puedan conectarse a Internet desde su portátil o móvil de manera gratuita o previo pago.

En estos entornos, podemos encontrarnos con redes abiertas, es decir, que carecen de cifrado alguno y a las que nos podemos conectar sin necesidad contraseña, o bien con redes protegidas por contraseña y que, por tanto, están cifradas con protocolo WEP o WPA/WPA2.

El problema de las redes abiertas (sin contraseña) es que los paquetes de información del protocolo TCP/IP viajan por el aire sin ninguna clase de cifrado o protección. Así, cualquier persona con un equipamiento mínimo, algunas aplicaciones fáciles de conseguir en Internet y unos mínimos conocimientos, podría interceptar dichos paquetes y hacerse con contraseñas, direcciones web, datos de correos electrónico, etc.

Puede parecer paranoico, pero las contraseñas de correo POP3/SMTP, por ejemplo, suelen enviarse sin cifrar o encriptar y en texto plano. Esto supone que, mientras nosotros chequeamos el correo en el aeropuerto en una de estas redes abiertas, cualquier otro usuario dentro del radio de alcance podría estar recibiendo los paquetes y visualizando inmediatamente el nombre de usuario y contraseña enviados.

Incluso en el caso de que las redes tengan contraseña y estén cifradas, de poco servirá si se trata de una clave que no cambia nunca, conocida por una mayoría o que se indica en un cartel o previa petición. En estos casos, aunque la información viaje cifrada, cualquiera que tenga acceso a la contraseña, con un proceso previo, podrá de nuevo acceder fácilmente a los datos que movamos por la red. Por ello, a continuación os damos algunos consejos importantes para estar lo más seguros posible en estos entornos.

Paso 1

Cortafuegos y carpetas compartidas

Parece algo evidente, pero muchos usuarios de portátiles por comodidad o desconocimiento desactivan el firewall o cortafuegos de sus equipos cuando están en la oficina o en casa. El problema es que, cuando salen fuera, sus puertos y conexiones estarán abiertos a cualquiera.

Esto es especialmente grave si, por ejemplo, tenemos carpetas compartidas que cualquiera podría ver sin más. Por ello, si tenemos Windows XP, acudiremos a Inicio/Panel de control/Firewall de Windows. Aquí, tendremos que marcar la opción Activado para que nuestro equipo este mínimamente protegido.

Además, podemos acudir a Inicio/Panel de control/Herramientas administrativas/Administración de equipos/Carpetas compartidas/Recursos compartidos para ver las carpetas compartidas que tenemos en el PC. Salvo las que crea y mantiene el propio Windows (generalmente ADMIN$, C$, DCIM, IPC$ y print$), podemos quitar el resto para evitar problemas.

En el caso de Windows Vista, acudiremos a Inicio/Panel de control/Firewall de Windows. En caso de no estar activado el firewall, pincharemos en la parte superior derecha de la ventana sobre Activar o desactivar Firewall de Windows, marcando la opción Activado.

Para controlar las carpetas compartidas y otras funciones en Vista, lo más cómodo es acudir a Inicio/Panel de control/Centro de redes y recursos compartidos. Una vez ahí, bajo el apartado Compartir y detectar, podemos desactivar todas las opciones que aparecen salvo la primera (Detección de redes) para garantizar la máxima seguridad.

Paso 2

El correo electrónico

Salvo que nuestro servicio de correo POP3/SMTP utilice conexiones cifradas mediante SSL, aún muy poco comunes excepto en entornos corporativos donde la seguridad es una prioridad, no es recomendable utilizar Outlook u otro cliente para descargar el correo. Esto es extensible al móvil, siempre que utilicemos un cliente POP3/SMTP, puesto que servicios de correo móvil (p.ej. Blackberry) o los que empleen la red de datos 3G no están afectados.

En estas situaciones, lo más recomendable es utilizar el correo web siempre que realice conexiones cifradas de tipo HTTPS, algo que cada vez es más común. Podemos identificar claramente estas conexiones mediante el candado de la parte superior o inferior del navegador, y porque la dirección comienza como https://…

En último caso una solución interesante es utilizar servicios gratuitos como Gmail (www.gmail.com), con el que podremos descargar y enviar correos de nuestra cuenta POP3 habitual (configurándolo desde Configuración/Cuentas) desde una cuenta de Gmail vía Web.

La razón es que Gmail sí ofrece la posibilidad de realizar conexiones seguras y cifradas (marcando la opción Configuración/General/Conexión del navegador/Usar siempre https), con lo que toda la información que movamos estará protegida y a salvo de sniffers de red.

Paso 3

Acceso remoto

Otra opción realmente práctica en esta clase de entornos es la conexión remota al PC o Mac de nuestra oficina. Utilizando servicios como NTRconnect (www.ntrconnect.com) o LogMeIn (www.logmein.com), que disponen de versiones gratuitas y de pago, podremos realizar conexiones remotas a nuestro ordenador de casa u oficina.

Con estos servicios, los datos viajan entre el servidor y nuestro portátil, con lo que no hay riesgos. Además, tan sólo estaremos recibiendo la información que nos permite ver lo que está ocurriendo en pantalla, con lo que todos los documentos o tareas se estarán ejecutando en el equipo remoto.

Estas utilidades son muy prácticas, incluso, para intercambiar ficheros de manera segura con el equipo remoto, pues ambas ofrecen dicha funcionalidad para sus clientes de pago.

Paso 4

Lo más profesional, una VPN

Yendo un poco más allá, si existe la posibilidad de montar una VPN en nuestra empresa u hogar, podemos obtener las mejores garantías. Una VPN crea un túnel cifrado y seguro entre nuestra máquina y una red remota, de manera que no le afecte la inseguridad de los puntos intermedios.

Es la solución preferida por empresas de cierto tamaño desde hace mucho tiempo, pues incluso la navegación web o la descarga de correo se hace a través de la línea ADSL que tengamos en nuestra empresa. Es decir, cualquier petición que realicemos es automáticamente redirigida a la red remota, para la que somos un cliente más, como si estuviéramos físicamente allí.

De esta forma, no sólo podremos navegar por Internet de manera segura, o descargar el correo, sino que incluso podremos acceder a las carpetas compartidas de la red remota y abrir o copiar/mover los documentos que allí residan.

Montar una VPN no está al alcance de cualquiera, no obstante, son relativamente fáciles de poner en marcha si tenemos un servidor Windows 2000/2003 Server. En estos sistemas, se configura el entorno desde Inicio/Panel de control/Herramientas administrativas/Enrutamiento y acceso remoto.

Aunque también tendremos que dar los permisos adecuados a los usuarios con derechos de acceso remoto, configurar el router para redirigir el puerto TCP 1723, y contar con un servidor DHCP que asigne las IPs automáticamente. Después, podremos crear nuevas conexiones desde el Centro de redes y recursos compartidos del propio Windows, indicando la IP pública de nuestra ADSL y utilizando un nombre de usuario y contraseña válido.

Como siempre, también existe una opción gratuita. Se trata de OpenVPN (www.openvpn.net) una aplicación Open Source pensada para Linux o Windows, que ofrece un proceso de instalación bastante simple y una gestión sencilla vía interfaz web.

Asimismo, dado que es una solución de código abierto hay una alternativa para Windows (www.openvpn.se), que lleva bastante tiempo sin actualizarse. La parte positiva es que funciona perfectamente con sistemas 2000/XP, por lo que es una utilidad ideal para ese viejo ordenador que tengamos arrinconando en alguna parte.