Normalmente llevamos encendido el Wi-Fi y el 3G (o 4G) simultáneamente. Como nuestro móvil es de los listos, sabe cuando tiene que usar uno u otro para ahorrarnos dinero. Nosotros “no nos tenemos que preocupar”.
¿O sí?
El otro día, durante el desarrollo del curso de Redes IP (Instalación, Configuración y Securización), nuestro compañero Paco nos demostró cuán equivocados estábamos. ¿Y cómo lo hizo? Intentaré explicarlo:
Partamos de las siguientes premisas.
- La mayoría de los smartphones de los asistentes tenía encendido la Wi-Fi, aunque en el aula no existía ninguna red disponible. "Cuestión de comodidad"
- Algunos de ellos se habían conectado alguna vez a una red gratuita (Wi-Fi Free), por ejemplo en algún aeropuerto, en un hotel o en el autobús.
Vio que algunos intentaban encontrar la red wifi gratuíta de Tussam, la empresa de transportes municipal de Sevilla. Un servicio que los adolescentes agradecen mucho para actualizar sus WhatsApps sin gastarse un duro.
Así que decidió “disfrazarse” de esa red. Los smartphones picaron de inmediato (no son tan listos como creemos) y empezaron a conectarse con él. A partir de ahí, todos los mensajes que emitían o recibían pasaban forzosamente por el ordenador de Paco (Paco se había convertido en un Man in the Middle, un intermediario).
Para que los smartphones pudiesen mandar y recibir mensajes, el punto de acceso falso que había montado nuestro compañero daba servicio de internet real, es decir, los smartphones realmente accedían a internet.
Más tarde, en una demostración que nos dejó helados, pudimos ver las fotos que se habían enviado, los mensajes que se habían intercambiado e, incluso, el usuario y la contraseña de algunas páginas como el correo corporativo, que también podría haber sido la del banco.
¿Y qué puede hacer un hacker con nuestro usuario y contraseña del banco? Imagínatelo.
Esta demostración tan sencilla (Paco no tuvo que poner más que un punto de acceso WiFi –se compra en cualquier tienda de electrónica- y su propio portátil con algún software que te puedes bajar de la red) nos lleva a pensar que, realmente estamos vendidos.
El alto oficial de la policía de delitos informáticos de Europol, Troels Oerting, ha advertido que el número de ataques que se llevan a cabo a través de redes públicas está creciendo en los últimos meses. "Hemos visto un aumento en el uso indebido de wifi con el fin de robar información, la identidad o las contraseñas y el dinero de los usuarios que utilizan conexiones inseguras", ha explicado el funcionario.
Así lo explicaban el otro día en El Confidencial.
Y aún dijo más:
"Si lo que busca el atacante son datos, entonces quizás prefiera un organismo público. A finales del año pasado hubo un ataque similar en el Parlamento Europeo. Existe una relación entre la peligrosidad y la ubicación y afluencia de visitas que reciba el punto caliente"
> Ataque al europarlamento. Lee la noticia en El País
El Parlamento Europeo ha decidido cortar su Wi-Fi gratuita para atajar este problema. Pero hay algo que el organismo de representación de los europeos no puede hacer: apagar el interfaz wi-fi de los smartphones y tabletas de los parlamentarios.
¿Qué podemos hacer? Varias cosas. Según Fernando de la Cuadra, director de Educación de Eset España,
"[…] lo que hay que evitar es cualquier punto de acceso gratis que no tengas controlado. En los aeropuertos, por ejemplo, aparecen siempre varios puntos de redes. Y es imposible saber de dónde vienen. Sobre todo donde hay vuelos internacionales, lo que es sinónimo de mucho tráfico de negocios. Se han llegado a comprobar hasta 20 puntos abiertos distintos en el aeropuerto de Barajas".
Otro consejo, que damos aquí es “No mantengas encendida la WiFi de tu Smartphone o tableta mientras estás en movimiento”. Lo que hizo Paco el otro día lo puede estar haciendo ahora mismo alguien sentado junto a ti en el bar donde desayunas.
Y un último consejo. Si tienes VPN (Red Privada Virtual) facilitada por tu organismo o empresa, úsala, ¡siempre! No te conectes directamente a internet. Así, un man in the middle, aunque se interponga entre tú y tu destino, será incapaz de entender qué es lo que estás haciendo.