Wi-Fi simplifica el trabajo cuando se está de viaje, pero también hace más fácil que miradas curiosas vean nuestros datos. Les mostraremos cómo mantenerse a resguardo.
Imagínese esta situación: Usted está en un café con su portátil y un expreso en la mano, listo para revisar los nuevos prospectos de ventas y las proyecciones financieras trimestrales. Primero se conecta al servicio gratuito de Wi-Fi que ofrece el lugar. Luego conecta su portátil a un proyector para que todo el café pueda ver claramente toda su información y finalmente entrega algunas copias impresas de sus especificaciones confidenciales de productos a otros clientes para que ellos también puedan enterarse de todo.
[<img border="0" src="/pcwla2.nsf/0/BA6649E26E6994DA8525776400151329/$File/58pulpojul10.gif">]
Quizá le parezca ridículo, pero si usa una red de Wi-Fi de acceso público sin tomar las precauciones debidas es casi lo mismo que invitar a los comensales del lugar a que compartan la información confidencial de su compañía.
NADA ES PRIVADO EN EL WI-FI ABIERTO
Hoy, la mayoría de los usuarios de tecnología saben cómo (y por qué) asegurar sus enrutadores inalámbricos de uso doméstico. Windows 7 y Vista ahora despliegan cuadros de diálogo para advertirle cada vez que se conecta a redes inalámbricas no cifradas.
[<img border="0" src="/pcwla2.nsf/0/BA6649E26E6994DA8525776400151329/$File/58wpajul10.gif">]
Pero en un restaurante, la sala de espera de un aeropuerto o en una biblioteca, la gente frecuentemente se conecta a la red sin pensarlo dos veces—y pudiera ser aceptable usar una conexión no cifrada para chequear el marcador de un partido de béisbol o el estado de un vuelo; leer correo electrónico o realizar cualquier actividad en la Web que requiera un nombre de usuario y contraseña es igual que usar su teléfono con el altavoz en medio de una muchedumbre.
Entonces ¿por qué no todos los negocios cifran sus redes públicas de Wi-Fi? La respuesta está en la dificultad del sistema de distribución de clave de la especificación IEEE 802.11: para cifrar el tráfico, el administrador o el propietario de la red tiene que seleccionar una contraseña, también conocida como la “clave de red”. El diseño requiere una contraseña por red, compartida entre todos los usuarios, aunque el propietario haya seleccionado la WEP menos segura y anticuada, o la WPA o WPA2 más segura.
En la casa, todo lo que tiene que hacer es establecer las medidas de seguridad una vez, decirle a su familia cuál es la contraseña y navegar sin preocupación desde una silla junto a la piscina. En un café, el dependiente tendría que comunicar la contraseña a cada cliente (o la tecla hexadecimal WEP de 26 caracteres) y hasta diagnosticar su conexión —lo cual no sería nada divertido para los empleados. En esa situación, no hay nada mejor que una contraseña nula para facilitar el uso.
Sin embargo, aún cuando la red esté cifrada, existe la posibilidad de que su acceso no sea completamente seguro. Una vez que su computadora sepa la contraseña, su comunicación sólo está a salvo de los que no están en la red; el resto de los comensales en el café pueden ver su tráfico porque usan la misma contraseña.
SU NEGOCIO ES EL NEGOCIO DE SUS RIVALES
Pero ¿qué pasa si opina que sus datos no son lo suficientemente importantes para que alguien se interese por ellos? Quizás usted solamente está navegando por sitios, sin abrir sesiones en sistemas de correo electrónico ni usar aplicaciones de la Web que requieran contraseñas. A lo mejor debería sentirse seguro ¿verdad? No necesariamente.
[<img border="0" src="/pcwla2.nsf/0/BA6649E26E6994DA8525776400151329/$File/59wiresharkjul10.gif">]
Imagínese que está en la red Wi-Fi del aeropuerto mientras regresa de una exhibición. En vez de chequear los centenares de mensajes de correo electrónico que le esperan (inverosímil, ¿verdad?), usted decide examinar los sitios de la Web de sus competidores, buscando ideas. O quizá trata de estudiar las compañías que piensa comprar.
En un segundo plano, como siempre, su software de correo electrónico detecta una conexión de Internet y comienza a descargar su correo electrónico. Un colega en la oficina ve el cambio de condición en su mensajero instantáneo a ‘conectado’ y le suplica aterrado: “¡Tremendo problema en la fábrica! ¡Quizá haya que retirar productos del mercado! Llama lo antes posible”.
Armado con nada más que un programa analizador de paquetes inalámbricos, cualquier otro participante de la misma conferencia y que resulta estar sentando en la misma área de espera tiene la posibilidad de obtener inteligencia competitiva basándose solamente en los sitios de la Web visitados por usted y en los mensajes instantáneos (probablemente sin cifrar) que usted recibe—para no hablar del correo electrónico personal del reclutador que indica que usted está a punto de cambiar su trabajo por otro, o las notas que reflejan sus problemas sentimentales con su media naranja. En resumen, ese “otro tipo” está leyendo sus mensajes personales quizás antes que usted mismo, y usted tiene idea de cómo pasó esto.
LIMÍTESE A UNA CONEXIÓN DE WEBMAIL SEGURA
Primero, para combatir los intrusos de correo electrónico, use un sistema de Webmail que utilice HTTPs para la sesión entera. Casi todos los sistemas de Webmail emplean HTTPs cuando le piden que se conecte, así su contraseña será transmitida de una forma segura. Sin embargo, después de la autenticación, comúnmente cambian a HTTP porque reduce la carga de computación en sus servidores y facilita la transmisión de anuncios.
[<img border="0" src="/pcwla2.nsf/0/BA6649E26E6994DA8525776400151329/$File/59gmailjul10.gif">]
Eso significa que todo el que esté en la misma red inalámbrica (bien no cifrada o mediante una contraseña compartida) puede leer el contenido de su correo electrónico. En ciertos casos, una persona incluso puede robar su cookie de sesión y entrar en su Webmail sin necesidad de conocer su contraseña. (Es decir, hasta que usted pulse el vínculo de ‘Cerrar sesión’—que usted seguramente hace todas las veces, ¿verdad?)
Dos excepciones muy notables son Gmail y su sistema de correo electrónico corporativo (como Outlook Web Access). A principios de este año, Gmail cambió su práctica común de usar HTTPs solamente para iniciar las conexiones y ahora lo utiliza durante toda la sesión de Webmail.
Los usuarios de Google Apps anteriormente podían optar por activar esta característica, pero ahora está activada por defecto con la opción para desactivarla (si odia la seguridad). Este cambio, combinado con los nuevos algoritmos de Google de detección de sesiones sospechosas, convierte al Gmail en un baluarte entre los proveedores de Webmail gratuito. Si buscaba una razón para cambiar desde su cuenta de AOL, Hotmail, o Yahoo, ya la tiene.
El sistema de Webmail de su compañía probablemente también está protegido por HTTPs en todo momento, porque esa es la configuración predeterminada para la mayoría de los sistemas. Sin embargo, recuerde que si chequea los mensajes del trabajo usando el software local (Outlook, Thunderbird, Mac OS X Mail) en vez del correo electrónico basado en la Web por medio de HTTPs, puede estar usando el cifrado o no.