Pensábamos que el WiFi de invitados era seguro: ahora sabemos que no lo es gracias a estos investigadores

En distintas ocasiones hemos hablado de las ventajas de crear una red WiFi de invitados para gestionar las conexiones cuando alguien llega a casa. Es una función que incluyen prácticamente todos los routers, tanto los que compramos libres como los que nos presta la operadora. Creíamos que, de esta forma, manteníamos a salvo la red principal de casa… o eso es, al menos, lo que pensábamos.

Y es que una investigación reciente ha puesto sobre la mesa un problema que afecta a este tipo de configuraciones. Existe una serie de técnicas de vulneración bautizadas como AirSnitch que puede dejar al descubierto todos los dispositivos que tenemos conectados en casa a la red principal.

Han descubierto que no es seguro

La creencia general era que configurar una red WiFi para invitados era lo más seguro para impedir que las visitas (unas más de fiar que otras) pudieran acceder a la red principal y, por tanto, a todos los dispositivos personales conectados. Esto era posible gracias a una función llamada client isolation. Su objetivo es hacer que los dispositivos conectados a una misma red sean invisibles entre sí, impidiendo que un usuario malintencionado pueda comunicarse con tu móvil u ordenador, o atacarlo, solo por estar en el mismo WiFi.

El problema es que no hay reglas claras. Los investigadores señalan que esta función no es un estándar oficial de la tecnología WiFi. Como no hay algo así como una guía universal sobre cómo debe hacerse, cada fabricante de routers (como TP-Link, Asus, etc.) se inventa su propia forma de hacerlo, lo que genera fallos y grietas en esa pared de seguridad.

Según cuentan en Banda Ancha, un equipo de investigadores, durante el congreso de ciberseguridad NDSS (organizado por la Internet Society), reveló un conjunto de técnicas de vulneración bautizadas como AirSnitch. 

Su descubrimiento es preocupante: han logrado demostrar que un usuario conectado a la red de invitados puede saltarse las barreras y comunicarse directamente con los equipos de la red principal. Lo más grave es que este fallo afecta incluso a redes protegidas con los protocolos de seguridad más modernos, como WPA2 AES y WPA3.

La red WiFi para invitados ya no es segura. Dado que las herramientas de prueba que demuestran esta brecha de seguridad ya es de dominio público, es muy probable que los ciberdelincuentes las integren rápidamente en sus ataques. En la práctica, esto significa que confiar en la red de invitados para proteger nuestros datos se ha vuelto tan ineficaz e inseguro como ocultar la red o filtrar por direcciones MAC.

¿Qué dispositivos están afectados?

Para comprobar el alcance de la amenaza, los expertos pusieron a prueba una docena de equipos, abarcando desde routers domésticos muy populares hasta sistemas profesionales de alta gama. 

Descubrieron y demostraron una serie de técnicas para saltarse este aislamiento. Se dieron cuenta de que los routers cometen errores básicos, como bloquear la comunicación solo "a medias" (en una capa técnica de la red pero dejando otras abiertas) o gestionar mal ciertas claves del WiFi.

Y el resultado fue rotundo: todos resultaron vulnerables a al menos una de las técnicas de AirSnitch. Para que te hagas una idea, la lista de equipos afectados incluye:

• Routers de uso doméstico: Modelos de Asus (RT-AX57), D-Link (DIR-3040), Netgear (Nighthawk X6 R8000), Tenda (RX2 Pro) y TP-Link (Archer AXE75).
• Sistemas de nivel profesional y empresarial: Equipos de Cisco (Catalyst 9130), LANCOM (LX-6500), TP-Link (EAP613) y la línea AmpliFi de Ubiquiti (modelos Alien y HD).
• Firmwares de código abierto: Sistemas operativos alternativos para routers como DD-WRT y OpenWrt.

Lo que puede pasar con AirSnitch

AirSnitch es peligroso pero ¿qué nos puede pasar? Si un atacante logra infiltrarse aprovechando esta vulnerabilidad desde la red de invitados, las consecuencias para la red privada pueden ser variadas e importantes.

Se puede hacer que sea más fácil hackear ordenadores, móviles o servidores conectados a la red principal pero también suplantar la identidad ya que el atacante puede hacerse pasar por el router o por otros usuarios legítimos para inyectar datos maliciosos.

Incluso estamos expuestos al conocido ataque como Man in the Middle. El delincuente se sitúa silenciosamente entre tu dispositivo y el router para espiar, interceptar y leer todo tu tráfico de datos.

Por ahora no hay una solución mágica al respecto. En el informe, los investigadores afirman que la Wi-Fi Alliance (la organización mundial que define cómo debe funcionar el Wi-Fi) ha tomado cartas en el asunto y está trabajando para estandarizar esta función. Esto obligará a todas las marcas a usar un protocolo de seguridad estricto, universal y blindado si quieren recibir la certificación oficial de WiFi.

El inconveniente es que los estándares tecnológicos tardan un tiempo en definirse, aprobarse y, sobre todo, en llegar a los routers de nuestras casas mediante actualizaciones o equipos nuevos. Mientras llega ese estándar oficial, la recomendación de los expertos en ciberseguridad es utilizar redes VLAN (Redes de Área Local Virtuales).

Una VLAN divide tu red física en varias redes virtuales completamente aisladas a un nivel mucho más profundo y hermético que el simple "aislamiento de invitados".

Pero hay un problema. La inmensa mayoría de los routers básicos que nos instalan las operadoras telefónicas en casa no tienen esta función. Suele estar reservada para routers comprados aparte (de gama alta, gaming o profesionales).

Lo que puedes hacer ya. Si tu router no soporta VLAN y quieres reducir riesgos, lo más práctico es tomar algunas precauciones:

• Comparte la WiFi de invitados solo con gente de confianza. Ya ha visto que el WiFi de invitados podría crear puentes hacia la red principal (incluso por móviles infectados sin saberlo).
• Mantener el router al día con las necesarias actualizaciones de firmware, porque los fabricantes están preparando parches.
• Si tienes muchos dispositivos IoT o trabajas con información sensible, valora un router neutro con VLAN para separar redes de verdad (personal, invitados e IoT).

Más información | NDSS

https://www.xatakahome.com/la-red-local/voy-a-recibir-invitados-casa-esta-navidad-asi-hay-que-preparar-wifi-se-conecten-seguridad